A função de DPO - Data Protection Officer - está prevista na Lei Geral de Proteção de Dados como obrigatória. Ele também é chamado de Encarregado de Dados e, no Brasil, nossa Autoridade Nacional de Proteção de Dados (ANPD) excluiu a obrigatoriedade desse profissional somente nas pequenas empresas cujo rendimento anual não seja expressivo, o volume de dados tratados não seja grande, e desde que não sejam tratados dados sensíveis (dados pessoais sobre origem "racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico" - art. 5º, II, da Lei nº 13.709/18).

O DPO deve ser nomeado pela empresa que coleta e trata dados de pessoas (sejam de clientes, pacientes ou colaboradores), pois atuará como canal de Comunicação entre o controlador (empresa), os titulares dos dados e a ANPD. Muitas empresas nomeiam alguém do seu quadro de pessoal para exercer a função. No entanto, há diversos erros sendo cometidos, como: não pagamento pelo acúmulo da função ao empregado (gerando passivo trabalhista), entrega de responsabilidade a quem não possui conhecimento técnico para atuar como DPO e alta probabilidade de incidentes não serem tratados como deveriam, por medo de se expor ou perder o emprego.

A solução para isso já existe no mercado: DPO "as a servisse". É a terceirização desse serviço, essencial e obrigatório perante a lei. Além de não ser uma pessoa inexperiente, a terceirização reduz os custos de um funcionário CLT em até três vezes. Atualmente, as empresas que estão sendo investigadas pela ANPD possuem na sua lista de irregularidades justamente a falta de nomeação desse profissional - o que pode levar ao pagamento de multa de até 50 milhões, ao bloqueio do banco de dados e ao fechamento da empresa, até que seja considerado resolvido o incidente.

Esse dado encontra ressonância na pesquisa realizada pelo NIC.br, que aponta que apenas 17% das empresas brasileiras possuem um DPO (interno ou terceirizado). E vejam: descobrir se há um DPO nomeado é algo muito fácil; basta entrar no site da empresa e, se não estiver claro como a luz do dia quem é que exerce a função e o meio de contato, estamos diante de uma grave violação à lei.

Para deixar mais claro, vou enumerar algumas das principais atribuições do DPO, conforme está na LGPD (art. 41): I - aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências; II - receber comunicações da autoridade nacional e adotar providências; III - orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e IV - executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

Em resumo, o DPO é quem vai receber o projeto de implementação da LGPD na empresa e vai mantê-lo vivo, fazendo as análises e mapeamentos constantemente, resolvendo problemas, treinando os funcionários (especialmente os novos), respondendo aos titulares de dados, respondendo à ANPD suas solicitações, enfim, é como um Diretor do Compliance.

Isso explica a contratação de um DPO terceirizado, pois todas essas atribuições precisam ser exercidas por um especialista altamente qualificado, o qual, se for contratado, gerará um custo à empresa três vezes maior do que o valor da mensalidade da empresa terceirizada. Além disso, a empresa deverá contratar um software específico para esse tipo de trabalho, que possui alto custo.

Por fim, vale lembrar que o DPO não é quem faz a implementação da LGPD na empresa, ele apenas prossegue e leva adiante, após a adequação ter sido feita. A maioria das empresas que prestam o serviço terceirizado também oferecem o serviço de implementação, de forma separada, o que auxilia muito às empresas que precisam começar do zero.