Pular para o conteúdo
Compliance MSPA

Dpo

Definição Simples (O que é?)

Seção intitulada “Definição Simples (O que é?)”

O DPO (Data Protection Officer), chamado de “Encarregado” pela LGPD, é o profissional que atua como o ponto focal de proteção de dados dentro de uma organização.

Ele é o principal canal de comunicação sobre o tema entre a empresa (Controlador), os donos dos dados (Titulares) e a autoridade governamental (ANPD). A sua função é orientar a empresa sobre como cumprir a lei e fiscalizar se as regras estão a ser seguidas.

Definição Formal (O que diz a Lei?)

Seção intitulada “Definição Formal (O que diz a Lei?)”

Conforme o Art. 5º, VIII da LGPD, o Encarregado é a “pessoa indicada pelo Controlador e Operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)”.

O Art. 41 detalha as suas atividades, que incluem:

  1. Aceitar reclamações e comunicações dos Titulares;

  2. Receber comunicações da ANPD e adotar providências;

  3. Orientar os funcionários e contratados da entidade;

  4. Executar as demais atribuições determinadas pelo Controlador ou em normas complementares.

Exemplos Práticos

Seção intitulada “Exemplos Práticos”

  • Comunicação Interna: O DPO realiza um treino com a equipa de Marketing sobre como obter Consentimento válido para uma nova campanha.

  • Comunicação com o Titular: Um cliente envia um e-mail a pedir a exclusão dos seus dados. O DPO é o responsável por receber esta solicitação, encaminhar internamente e garantir que ela seja atendida.

  • Comunicação com a ANPD: A empresa sofre um Incidente de Segurança e o DPO é o profissional que formaliza a Comunicação de Incidente à autoridade.

  • DPO as a Service: Muitas empresas, em vez de contratarem um funcionário em tempo integral, contratam uma consultoria especializada (como a MSPA) para atuar como seu DPO externo.

Ponto de Atenção (Erro Comum)

Seção intitulada “Ponto de Atenção (Erro Comum)”

O erro mais comum é nomear alguém da equipa de TI ou do Jurídico como DPO sem lhe dar autonomia ou tempo para a função (acumulando cargos).

A lei exige que o DPO tenha “autonomia” e não sofra Conflito de Interesses. Se o DPO de TI for o mesmo que implementa as medidas de segurança, ele estaria a “fiscalizar a si mesmo”, o que é um conflito claro e invalida a sua atuação perante a ANPD.

Você Sabia? (Curiosidade)

Seção intitulada “Você Sabia? (Curiosidade)”

A indicação do Encarregado (DPO) é, em regra, obrigatória para todos os Agentes de Tratamento. No entanto, a ANPD criou uma regra de exceção: os Agentes de Tratamento de Pequeno Porte (como microempresas, startups e EPPs) estão dispensados da obrigatoriedade de indicar um DPO, embora fazê-lo ainda seja considerado uma boa prática de governança.

Termos Relacionados

Seção intitulada “Termos Relacionados”

  • Controlador

  • Titular

  • ANPD (Autoridade Nacional de Proteção de Dados)

  • Conflito de Interesse na Atuação do Encarregado

  • Agentes de Tratamento de Pequeno Porte