Lei Geral de Proteção de Dados: Quem pode ser o DPO?

Publicado em 15/02/2022
Por Alexandre Fuchs das Neves

Ainda com muito desconhecimento, a Lei Geral de Proteção de Dados é aplicável ao nosso setor, mas somente relativos aos dados pessoais, com a finalidade única de analisar os créditos e celebrar as operações rotineiras.

Quais dados são fornecidos: os já referidos dados pessoas, tais como o nome completo, número do Cadastro de Pessoas Físicas (CPF), número do Cadastro Nacional de Pessoa Jurídica (CNPJ), e-mail, telefone, endereço e data de nascimento, demais informações cadastrais, financeiras, bancárias, fiscais e patrimoniais fornecidas pelo próprio Titular e/ou obtidas por consultas a cadastros públicos e birôs de crédito.

Estes dados, ao longo da contratualidade, devem ser tratados, ou seja são colhidos analisados e guardados. Não estamos falando de dados sensíveis, que formam um grupo de dados completamente diverso dos dados pessoais.

Após a paralisação das operações, devem ser guardados por até 5 anos e posteriormente expurgados corretamente. Mas quem é o tal de DPO, também chamado de encarregado de dados?

Nos termos do art. 5º, VIII da Lei Geral de Proteção de Dados, encarregado é a pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados.

A lei não estipula se o encarregado precisa ser pessoa física ou pessoa jurídica, desta forma abre algumas possibilidades de atuação, podendo inclusive ser alguém dos quadros societários da sua empresa ou um gerente. Noutras palavras: não se faz necessário contratar um terceirizado para tanto. Mas esta pessoa precisa:

1. Conhecimento em proteção de dados pessoais e privacidade;

2. Capacidade de transitar bem entre diferentes públicos e de traduzir linguagem técnica e jurídica para o público em geral;

3. Conhecimento em gestão de riscos, segurança da informação e governança de dados pessoais;

4. Habilidade para promover cultura de segurança de dados na empresa;

5. Entendimento sobre o segmento de atuação da organização.

Ainda:

“Vale ressaltar um detalhe, a fim de evitar conflitos de interesse, o encarregado não poderá estar diretamente alocado na área de tecnologia da informação ou ser gestor de sistemas, com exceção daqueles que lidam exclusivamente com aspectos relacionados a proteção de dados pessoais.

A identidade e as informações de contato do encarregado deverão ser divulgadas publicamente, de forma clara e objetiva no site da empresa que o contratou.”

Fonte: https://blog.daryus.com.br/saiba-quais-sao-os-requisitos-para-se-tornar-o-dpo-da-sua-empresa/#:~:text=Quem%20pode%20ser%20DPO%2FEncarregados,Nacional%20de%20Prote%C3%A7%C3%A3o%20de%20Dados

Alexandre Fuchs das Neves é advogado e consultor jurídico do SINFAC-SP – Sindicato das Sociedades de Fomento Mercantil Factoring do Estado de São Paulo.