O DPO é uma pessoa (física ou jurídica) voltada ao cumprimento das normas / melhores práticas de proteção de dados e respeito à privacidade na empresa. Sua nomeação costuma ser exigida pela leis mais recentes, nesse campo, incluindo a Lei Geral de Proteção de Dados (LGPD), que preferiu adotar a denominação “Encarregado”.
Sua atuação pressupõe amplo conhecimento do negócio e independência para formular recomendações
que resguardem a privacidade dos titulares dos dados tratados na empresa.
Aconselha-se a indicação de um DPO por empresa, cujo nome e meios de contato devem ser publicamente
divulgados, estabelecendo-se um canal seguro de comunicação com o mesmo.
As atividades do DPO consistem, basicamente, em:
• Receber requerimentos, reclamações e comunicações em geral dos titulares de dados pessoais, endereçando-os, prestando esclarecimentos e viabilizando o exercício dos seus direitos;
• Ser ponto de contato com as autoridades fiscalizatórias, referendando junto a elas as práticas
adotadas na empresa, prestando contas e respondendo a eventuais requerimentos;
• Assegurar a manutenção de registros das operações de tratamento de dados pessoais conduzidas pela empresa;
• Elaborar Relatórios de Impacto à Proteção de Dados (RIPD) para averiguar o risco no uso de
dados pessoais e a conformidade regulatória da empresa, especialmente no desenvolvimento
de novos produtos, serviços e práticas (Privacidade by Design);
• Realizar auditorias internas e proativamente estabelecer estratégias de compliance e prevenção de riscos envolvendo dados pessoais;
• Orientar e treinar os colaboradores da empresa a respeito das melhores práticas de proteção
de dados pessoais;
• Empreender medidas de resposta a incidentes com vazamento ou furto de dados pessoais,
incluindo o reporte às autoridades ou aos titulares respectivos.
O indivíduo/empresa escolhido deve possuir (ou desenvolver) os seguintes requisitos:
• conhecimento jurídico-regulatório acerca da legislação e das melhores práticas em proteção de dados pessoais, com ênfase na LGPD;
• conhecimento técnico acerca dos bancos de dados e da estrutura de Tecnologia da Informação e Segurança da Informação da empresa;
• conhecimento detalhado da empresa e do seu modelo de negócio, com acesso ao mais
alto nível de cada gerência;
• conhecimento de práticas de compliance e conformidade;
• independência de atuação, evitando a ocorrência de conflito de interesse.
de Compliance, Gestão de Riscos, Estratégia ou Jurídico.