DPO (Data Protection Office): O que é? Quanto custa manter um DPO? Será que sua empresa precisa disto?
DPO é um conceito incorporado à LGPD que define a atuação de agente responsável pelos dados pessoais armazenados por uma empresa e a política de uso destes dados e sua segurança. Já publicamos aqui sobre a LGPD (Lei Geral de Proteção de Dados), sancionada em agosto de 2018 e em vigor desde 18/09/2020. (acesse aqui)
A LGPD (Lei 13.709, de 2018) garante maior controle dos cidadãos sobre suas informações pessoais, e obriga empresas específicas a terem um DPO. Por isso primeiro vamos lembrar, que no artigo que publicamos sobre LGPD o foco estava na normatização do site da empresa. Se o seu site não está dentro destas normas, então nem adianta seguir com a leitura deste artigo, pois sua empresa está certamente correndo o risco de fiscalização, processo e multa. Se preferir, a equipe de desenvolvimento do GRUPO MID faz esta análise do seu site e propõe as atualizações necessárias, que podem envolver reprogramação, ou simples avisos. Algumas vezes, no entanto é preciso uma mudança na política de tratamento de dados pela empresa e até revisão de estratégias de marketing.
O QUE É DPO?
Agora vamos falar de DPO (Data Protection Office). A primeira coisa estranha é a adoção de uma sigla e denominação em inglês para um cargo/função de algo previsto em uma legislação brasileira. Ocorre que esta sigla não está na legislação e é decorrente das necessidades impostas pela LGPD, que teve uma resposta rápida do mercado a estas necessidades. No Capítulo IV desta Lei, cujo título é DOS AGENTES DE TRATAMENTO DE DADOS PESSOAIS, na Sessão I aparecem as figuras de Controlador e Operador e na Sessão II a figura do Encarregado pelo Tratamento de Dados Pessoais. Você pode acessar este link: LGPD e ler toda a Lei Geral de Proteção de Dados, incluindo os Capítulos, Sessões e Artigos que trataremos aqui. Mas para facilitar o entendimento desta Lei e o que segue na prática, referente a atuação das empresas, vamos deixar de lado a redação jurídica para comentar e esclarecer ao máximo este texto legal.
1º Controlador: representa a figura do responsável pela elaboração de relatórios, políticas e práticas de proteção de dados em uma empresa. Embora ele possa ser uma pessoa ele também poderá ser um departamento. A Lei diz que o Controlador deverá indicar encarregado pelo tratamento de dados pessoais (operador).
2º Operador: O operador deverá realizar o tratamento segundo as instruções fornecidas pelo controlador, que verificará a observância das próprias instruções e das normas sobre a matéria. Neste caso o operador é uma pessoa. Esta pessoa pode ser qualquer funcionário da empresa, desde que a sua função não exerça influencia no modo atual de tratamento de dados da empresa. Senão ficaria tudo da mesma forma. Ele será o responsável não só dentro da empresa como poderá ser chamado a responder solidariamente à empresa em caso de processos por questões de tratamento de dados. Por isso deverá ser uma pessoa qualificada.
Ocorre que isto criaria em uma empresa a necessidade de criar departamento, contratar ou nomear pessoas qualificadas para a gestão destes dados, sua proteção e outras obrigações legais. E isto certamente será feito em grandes empresas. Para médias empresas e pequenas empresas isto torna-se muito difícil e caro.
Além disso há uma obrigatoriedade legal para certas empresas e certos tipos de dados coletados, em adequar-se a este modelo de gestão e responsabilidade. No final deste artigo vamos listar os tipos de empresas e dados que são obrigado a ter DPO e as que aconselhamos ter DPO.
Mas então se existem na LGPD apenas as figuras de Controlador e Operador, o que é DPO. É simples, o entendimento é que estes serviços podem ser prestados por empresas que são qualificadas para tal, pela sua experiência no mercado, tratando-se portanto de terceirização dos serviços. Uma analogia, (que embora possa ter falhas), ajuda a entender isso. Pense na contabilidade de uma empresa. Uma grande empresa pode e deve ter o seu próprio Departamento de Contabilidade e neste departamento, claro, um contador. Já empresas de pequeno ou médio portes, optam por contratar um escritório de contabilidade que poderá prover perfeitamente as necessidades contábeis, deixando a empresa focada em seu negócio. Assim o DPO é a terceirização da figura de Controlador, deixando na empresa apenas a figura do operador (devidamente treinado pela empresa que faz DPO). Isto implica em grande redução de custos, aumento da eficiência no tratamento de dados, diminuição de esforço da empresa em compreender todos os aspectos jurídicos e tecnológicos e outras ações fora do foco da empresa.
Então agora que sabemos o que é DPO precisamos responder a duas outras perguntas: sua empresa precisa contratar DPO? Quanto custa um serviço de DPO?
Para saber se sua empresa precisa contratar DPO consulte as 2 listas abaixo:
QUAIS EMPRESAS E TIPOS DE DADOS QUE SÃO OBRIGADOS POR LEI A TER DPO?
– Se a sua empresa mantém qualquer destes dados, deve ter DPO:
- Dado pessoal: informação relacionada a pessoa natural identificada ou identificável;
(como nome, endereço, telefone, e-mail e outros dados que normalmente temos de nossos clientes). É interessante que pensamos apenas em grandes empresas que atuam na Internet, como hotéis, pousadas, pizzarias e e-commerce, por exemplo, que mantém um extenso cadastro de clientes. Mas algumas empresas, mesmo de pequeno porte, acumulam estes dados. - Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural. Se a sua empresa atua na área de saúde, ou assistência social, ela certamente possui algum destes dados. Se atua com crianças, menores de 18 anos, como escolas, colônia de férias, parques, etc.. também possui dados sensíveis.
- Dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento; (se a sua empresa possui um aplicativo que coleta dados dos usuários, ela também poderá estar incluída aqui).
- Dados internacionais. A LGPD também cita e regulariza este tipo de dado, quando ele envolve a transferência de qualquer informação entre Brasil e outro país. Se a sua empresa tem filial ou clientes no exterior, ela se enquadra aqui.
- Sabe aquela famosa lista de e-mails de clientes que a empresa coleta na hora da venda para entrar em contato depois? Está enquadrada aqui.
QUAIS EMPRESAS NÃO SÃO OBRIGADAS MAS DEVERIAM TER DPO?
Todas as empresas que coletam dados em grande quantidade já estão se adequando e devem ser os primeiros alvos de fiscalização. No entanto empresas de médio porte e mesmo profissionais autônomos que fazem uso de dados cadastrais deveriam contratar agora um serviço de DPO, por um motivo muito simples: custo.
Uma empresa com grande quantidade de dados poderá embutir facilmente os custos de DPO em suas transações, com baixo impacto na maior parte delas. Mas aquele que tem hoje uma quantidade de dados razoável corre o risco de ser enquadrado na lei com grande perda para seu negócio. Neste caso o DPO terá um custo relativamente baixo, e o fará crescer já orientado para o enquadramento legal.
É o caso de empresas que estão iniciando atividades de E-Commerce e por isso começam a aumentar cada dia mais o seu banco de dados com cadastro de clientes. Ou que utilizam programas de gestão de clientes (CRMs); Ou ainda a empresa que coleta estes dados para campanhas de marketing por e-mail ou mensagens em whatsapp. Aquelas que tem dados sensíveis, como dados de crianças, jovens, doentes, por exemplo, já estão obrigadas. Independente do número de pessoas em seu cadastro. Aliás a lei não cita de forma alguma a questão de volume de dados para a obrigatoriedade de seu controle.
QUANTO CUSTA UM DPO OU UM PROFISSIONAL DPO?
*Quanto ao custo, um profissional especializado na proteção de dados está relacionado com um salário médio de R$19.720,00 (em março de 2022) se observarmos ainda os custos sobre a folha de salário deste, o valor será impossível para muitas empresas de médio porte e as de pequeno porte ficam sem chance de contratação.
Já a contratação de um DPO através de empresas que prestam este serviço, sem dúvidas é uma fração deste salário (nesta data por volta de R$6.200,00/mês), e por ser uma contratação de Pessoa Jurídica, não tem peso sobre folha de salários. Como elas prestam estes serviços a muitas empresas, assim como a comparação que fizemos com os serviços de contabilidade, fica fácil entender porque é mais barato e eficiente. No entanto o valor final será sempre diferente para cada empresa, dependendo do volume de dados tratados na empresa, da sensibilidade dos dados tratados e de outras variantes de segurança e gestão de cada empresa. Há também a possibilidade de consultoria e assessoria prestados por um tempo determinado, normalmente 30 dias, estabelecendo rotinas e transferindo conhecimentos para o staff da empresa, o que pode baratear ainda mais os custos.
Chame pelo WhatsApp 41999555006 e solicite informações sobre DPO ou adequações para o seu site.
A equipe do GRUPO MID está a sua disposição.
*Valores indicados nesta matéria são referentes a março/abril de 2022.
