Linkedin Youtube Instagram
Faça parte
Linkedin Youtube Instagram

Pensar no DPO como um membro da alta direção é errado? Qual seria a estrutura adequada?

‎Por Thiago Vieira

Desde a entrada em vigor de leis como a Lei Geral de Proteção de Dados (LGPD) no Brasil e o Regulamento Geral sobre a Proteção de Dados (GDPR) na Europa, as empresas tiveram que se adaptar a novas exigências na gestão de informações pessoais. Nesse contexto, o papel do Data Protection Officer (DPO) – ou Encarregado de Proteção de Dados – tornou-se essencial para garantir conformidade, segurança e transparência no tratamento de dados.

No entanto, muitas organizações enfrentam um dilema: onde o DPO deve ser posicionado dentro da hierarquia corporativa? Algumas empresas optam por integrá-lo à alta direção, enquanto outras o veem como um profissional independente, reportando-se diretamente à gestão executiva. Mas qual é a abordagem correta?

Este artigo explora se considerar o DPO como um membro da alta administração pode ser um erro e qual seria a estrutura organizacional mais adequada para garantir sua efetividade e conformidade com a legislação.



O DPO pode ser um membro da alta direção?

A resposta depende da estrutura da organização e do nível de autonomia do DPO dentro dela. De acordo com o artigo 38 do GDPR e as diretrizes da Autoridade Nacional de Proteção de Dados (ANPD) no Brasil, incluindo a Resolução CD/ANPD Nº 18 de 2024,  o DPO deve atuar com independência e sem conflitos de interesse. Isso significa que ele não pode estar envolvido diretamente nas decisões sobre o tratamento de dados pessoais que ele mesmo deve monitorar.

Se o DPO for um diretor ou executivo de áreas como TI, jurídico ou compliance, pode haver risco de conflito de interesses, pois ele estaria auditando decisões das quais participou. Por exemplo:

  • Se o DPO for também o diretor de TI, ele pode ser pressionado a minimizar riscos de segurança para justificar decisões tecnológicas já tomadas.
  • Se for o diretor jurídico, pode haver viés ao interpretar regulamentos de forma que beneficiem a empresa, em vez de garantir a melhor proteção aos titulares dos dados.

Dessa forma, posicionar o DPO como um membro da alta administração pode comprometer sua independência e dificultar a fiscalização interna, o que vai contra as diretrizes da LGPD e do GDPR.



Qual seria a estrutura ideal para o DPO?

Para garantir autonomia e evitar conflitos de interesse, a estrutura ideal do DPO deve considerar três pilares fundamentais:

1 – O controlador e o processador devem garantir que o encarregado da proteção de dados esteja envolvido, de forma adequada e oportuna, em todas as questões relacionadas à proteção de dados pessoais.

2 – O responsável pelo tratamento e o subcontratante devem apoiar o encarregado da proteção de dados na execução das tarefas referidas no artigo 39.º , disponibilizando-lhe os recursos necessários para a execução dessas tarefas, bem como o acesso aos dados pessoais e às operações de tratamento, e para manter os seus conhecimentos especializados.

3 – O controlador e o processador devem garantir que o encarregado da proteção de dados não receba nenhuma instrução sobre o exercício dessas tarefas. 2 Ele ou ela não deve ser demitido ou penalizado pelo controlador ou pelo processador por executar suas tarefas. 3 O encarregado da proteção de dados deve se reportar diretamente ao mais alto nível de gestão do controlador ou do processador.

4 – Os titulares dos dados podem entrar em contato com o encarregado da proteção de dados para todas as questões relacionadas ao processamento de seus dados pessoais e ao exercício de seus direitos ao abrigo do presente Regulamento.

5 – O encarregado da proteção de dados está vinculado ao sigilo ou à confidencialidade no que diz respeito ao desempenho das suas funções, em conformidade com o direito da União ou dos Estados-Membros.

6 – O encarregado da proteção de dados pode desempenhar outras tarefas e deveres. O responsável pelo tratamento ou subcontratante deve garantir que tais tarefas e deveres não resultem num conflito de interesses.

  1. Independência funcional – O DPO deve atuar de forma independente, sem estar subordinado a áreas que tomam decisões sobre o tratamento de dados.
  2. Acesso à alta administração – Embora não deva fazer parte da alta direção, o DPO precisa ter comunicação direta com os líderes para influenciar estratégias e garantir conformidade.
  3. Recursos e suporte adequados – O DPO deve contar com uma equipe ou apoio interno para desempenhar suas funções sem restrições operacionais.



Modelos comuns de estrutura para o DPO

DPO independente, reportando-se ao conselho ou CEO

Nesse modelo, o DPO não pertence a nenhum departamento específico, mas responde diretamente ao CEO ou ao Conselho de Administração. Isso garante autonomia, permitindo que ele atue sem interferências.

Vantagens

  • Garante independência total na fiscalização do uso de dados.
  • Facilita o alinhamento estratégico entre privacidade e governança corporativa.
  • Evita conflitos de interesse com áreas operacionais.

Desvantagens

  • Pode ser difícil implementar essa estrutura em empresas menores devido a custos.
  • Requer forte apoio executivo para ter influência dentro da empresa.

DPO vinculado a compliance ou governança corporativa

Aqui, o DPO é parte da área de compliance, riscos ou governança, garantindo que sua atuação esteja alinhada com outras normas regulatórias. Esse modelo funciona bem para empresas que já possuem uma estrutura de compliance sólida.

Vantagens

  • Facilidade na integração com outras regulamentações e normas internas.
  • Boa visibilidade dentro da empresa, sem envolvimento direto na tomada de decisão sobre dados.

Desvantagens

  • Pode haver desafios se a estrutura de compliance não for bem definida.
  • Dependência de processos burocráticos internos para atuação efetiva.
    DPO vinculado a uma Diretoria de Privacidade

Nesse modelo, o DPO faz parte de uma diretoria ou departamento específico de privacidade dentro da empresa. Essa diretoria é dedicada exclusivamente a questões de proteção de dados e privacidade, e o DPO se integra a essa estrutura, muitas vezes liderando ou sendo um cargo chave dentro dela.  Esse modelo é adequado para organizações que veem a privacidade como uma função central e estratégica, muitas vezes atuando em parceria com o Compliance, investindo em uma estrutura robusta para gerenciá-la.

Vantagens

  • Permite uma atuação mais profunda e com conhecimento especializado em questões de proteção de dados, já que o DPO está inserido em um ambiente totalmente dedicado a essa temática.
  • Facilita a coordenação de todas as atividades relacionadas à privacidade dentro da empresa, garantindo uma abordagem mais coesa e consistente.
  • Estar dentro de uma diretoria de privacidade pode facilitar a comunicação e a colaboração com outros profissionais que também se dedicam exclusivamente a essa área, incluindo a eficácia em uma situação de crise, otimizando o trabalho do DPO.
  • Uma diretoria de privacidade demonstra o compromisso da empresa com a proteção de dados, o que pode garantir maior visibilidade e recursos para as atividades do DPO.

Desvantagens

  • A diretoria de privacidade pode se tornar um “silo” dentro da organização, dificultando a integração da privacidade com outras áreas e objetivos de negócio mais amplos. O DPO precisa garantir que a privacidade não seja vista como uma função isolada, mas sim integrada à cultura da empresa.
  • É importante definir claramente as responsabilidades do DPO dentro da diretoria de privacidade para evitar sobreposição de funções com outros membros da equipe e garantir que o DPO possa exercer seu papel específico de fiscalização e consultoria.

DPO terceirizado (DPO as a Service)

Empresas que não têm estrutura para manter um DPO interno podem contratar DPOs terceirizados, um modelo conhecido como DPO as a Service. Esse profissional atua de forma externa, prestando consultoria contínua para garantir conformidade com as regulamentações.

Vantagens

  • Redução de custos para empresas menores.
  • Acesso a profissionais altamente especializados.
  • Garantia de independência na fiscalização de dados.

Desvantagens

  • Menor integração com os processos internos da empresa.
  • Pode haver limitação no tempo de resposta a incidentes.



Como garantir que o DPO tenha impacto na organização?

Independentemente da estrutura adotada, algumas práticas são essenciais para garantir que o DPO desempenhe seu papel de forma eficiente:

  • Acesso direto à alta administração – O DPO precisa ter autoridade e influência para comunicar riscos e orientar decisões estratégicas.
  • Recursos adequados – O trabalho do DPO não pode ser apenas simbólico. Ele precisa de ferramentas, equipe e orçamento para implementar boas práticas de proteção de dados.
  • Treinamento e engajamento interno – Todos os colaboradores devem entender o papel do DPO e colaborar para a conformidade com a LGPD e o GDPR.
  • Processos claros de auditoria e monitoramento – O DPO deve conduzir revisões periódicas para garantir que as práticas de proteção de dados estejam sendo seguidas corretamente.

Importante destacar que o DPO deverá ter acesso direto às pessoas de maior nível hierárquico dentro da organização, aos responsáveis pela tomada de decisões estratégicas que afetem ou envolvam o tratamento de dados pessoais, bem como às demais áreas da organização.

Portanto, posicionar o DPO como um membro da alta administração pode ser um erro caso comprometa sua independência e imparcialidade. A legislação exige que o DPO atue sem conflitos de interesse, o que significa que ele não pode estar envolvido diretamente na tomada de decisões sobre o tratamento de dados que ele mesmo precisa monitorar, porém ainda assim deve estar próximo a essas decisões.

O modelo ideal de estruturação do DPO depende do porte e da complexidade da empresa, mas a regra geral é que ele tenha autonomia, acesso direto à liderança e os recursos necessários para atuar de maneira estratégica.

Empresas que compreendem a importância dessa estrutura fortalecem não apenas sua conformidade regulatória, mas também sua reputação e competitividade em um mercado cada vez mais orientado pela privacidade e proteção de dados.

Thiago-Vieira

CONSELHEIR@

Thiago Vieira

Experiência de 17 anos de carreira nas áreas de Governança, com atuação destacada em Compliance, Gestão de Riscos e Auditoria. Abrange também Segurança da Informação, Proteção de Dados Pessoais, Melhoria Contínua, Auditoria de Certificação, Controles Internos, Continuidade de Negócio e Governança de TI. Foco em empresas de grande porte e alto fluxo de informação, atuantes no setor de mídia (radiodifusão), telecom, saúde e financeiro.

Como Data Protection Officer (DPO) desde a divulgação da LGPD, atuou no SBT e na Prevent Senior, onde liderou a transformação da governança em privacidade de dados, criando e implementando uma estrutura robusta e de alto desempenho.  Com visão estratégica, garantiu a aderência à Lei Geral de Proteção de Dados Pessoais (LGPD) e outras normas, através de auditorias internas e da promoção de uma cultura de conformidade sustentável.

Search
LinkedIn
Twitter
Facebook
WhatsApp
Email

, , , , ,

Quem também está com a gente

Empresas, Startups, Centros de Pesquisa e Investidores

blocoAssociados_1811-mix_01
blocoAssociados_1811-mix_02
blocoAssociados_1811-mix_03
blocoAssociados_1811-mix_11
blocoAssociados_1811-mix_04
blocoAssociados_1811-mix_10
blocoAssociados_1811-mix_09
blocoAssociados_1811-mix_08
blocoAssociados_1811-mix_07
blocoAssociados_1811-mix_06
blocoAssociados_1811-mix_05

Um ecossistema onde inovação e conexão se somam para desbloquear o potencial
ilimitado da transformação digital. Faça parte!

assessoria@redelideres.com

55 (11) 98426-4469

© 2024 Rede Líderes Digitais. Todos os direitos reservados.