Achou o título desta postagem estranha? Pois é, talvez seja. Mas fato é que o DPO adjetivado não existe e vou explicar o por quê agora.
Hoje eu quero falar um pouco sobre o DPO, tema que parece ter voltado à cena após algumas notícias e mensagens recentes em redes sociais que são, no mínimo, preocupantes.
Indo direto ao ponto: tem gente por aí adjetivando o DPO. E isso é um total desserviço ao correto entendimento do que é o DPO, do que ele faz, e da sua importância para a área da proteção de dados.
A estratégia é simples e você também pode colocá-la em prática (apesar de eu ser contra): basta você dizer a frase “existe o DPO” e, em seguida, colocar um adjetivo. Por exemplo:
- Existe o DPO ágil.
- Existe o DPO moderno.
- Existe o DPO superior.
- Existe o DPO protetor.
E por aí vai.
Você provavelmente já viu isso. E arrisco-me a dizer que você também já percebeu que logo após a adjetivação do DPO vem a venda de um curso. “Existe o DPO azul, a última novidade na área de proteção de dados. Quer ser um DPO azul? Faça o curso de formação de DPOs azuis e não fique de fora do mercado!” A frase deve ter algumas variações.
Se você pensa assim, é melhor voltar 10 casas na sua formação em proteção de dados e começar do zero novamente. Você não entendeu nada.
Peço para você fazer isso porque adjetivar o DPO é a pior coisa que alguém pode fazer. Como eu disse acima, é um desserviço ao papel do DPO, ao seu firme estabelecimento como um dos pilares da responsabilização de uma empresa, e principalmente à proteção da privacidade dos titulares.
Não existe “DPO assim” ou “DPO assado”. A LGPD, aliás, fala em “encarregado de proteção de dados”, que associamos ao “encarregado de proteção de dados” do Regulamento europeu e aí passamos a chamar de “dipiôu”. Mas tudo bem, nem me preocupo tanto com isso, até porque eu concordo em chamar o encarregado de DPO mesmo no caso brasileiro.
Mas o que não dá para aceitar é adjetivar o DPO.
Assim como também não dá para aceitar frases como estas:
- “No Brasil a LGPD não fala nada em ‘conflito de interesses’, portanto qualquer um da empresa pode ser DPO.” Tá errado! Esse entendimento é míope, sem ética profissional, e não corresponde a uma análise estrutural da LGPD em todos os seus aspectos, além de demonstrar falta de conhecimento básico sobre o que está no Art. 5º, inciso VI.
- “Pela LGPD temos dois tipos de DPOs, um do Art. 5º, inciso VIII, e outro do Art. 41.” Tá errado! Novamente, falta de compreensão básica da lei: o que está no Art. 5º apresenta o conceito de encarregado, e o que está no Art. 41 define suas funções.
- “O DPO deve estar preocupado com multas e deve evitar que titulares entrem na justiça contra a empresa.” Tá errado! Novamente, quem pensa assim precisa ler o conceito de “controlador” pela LGPD. Além disso, sugiro ler o Guia Orientativo da ANPD sobre Agentes de Tratamento e o Encarregado, que apesar de ser super-enxuto em relação ao DPO, traz informações básicas sobre esta função. E quem pensa assim precisa ter um pouquinho de bom senso também: o DPO, que é o “representante” do titular dentro da empresa, deve defender a empresa? Isto é total demonstração de falta de conhecimento sobre o que é o DPO e sobre como ele atua na prática.
- “O DPO é o responsável pela implementação das medidas de proteção de dados pessoais e deve se lembrar de que está sujeito ao princípio da responsabilização e prestação de contas.” Gente, esta é a cereja do bolo. Tá errado 10 mil vezes! DPO orienta a empresa. DPO não implementa nada.
Estas são algumas das pérolas que venho coletando desde janeiro deste ano (2023) a respeito do que dizem sobre o DPO. Todas elas erradas, sem sentido, sem correlação com a realidade jurídica e prática da atuação do DPO – e, arrisco-me a dizer, algumas beirando a falta de ética. E quem repete estas ideias acaba por prejudicar ainda mais a atuação do DPO, que já é difícil. Afinal de contas, se um empresário ouve essas abobrinhas, como o DPO vai se impor posteriormente ao dizer que não é o responsável pelas decisões em relação à proteção de dados, e sim a empresa?
Espero que esteja claro para você porque o DPO adjetivado não existe. Tentar adjetivar o DPO não passa de uma ação que diminui a atuação prática do DPO e coloca os titulares em último lugar na fila do pão da privacidade.
Vamos que vamos e #colanopapai!
Prof. Matheus, sempre trazendo a realidade da atuação do DPO. Quem transforma o DPO em um objeto não conhece mesmo as ações do dia a dia. Parabéns pelo texto!
É isso mesmo, Marcelo!
Prof. Matheus Passos.
Bom dia, boa tarde ou boa noite, onde estiver.
Excelente análise e considerações com relação ao tema “O DPO adjetivado não existe”.
Conteúdo consistente, embasado, ÉTICO e um alerta.
Sensacional também esse trecho de uma das frases: “…coloca os titulares em último lugar na fila do pão da privacidade”.
Muito obrigado pelo seu empenho e dedicação nesta causa.
O professor é uma inspiração.
Meus sinceros cumprimentos.
Obrigado, Julio. Temos de chamar a atenção para este tipo de tema justamente para evitar a “coisificação” do DPO.
Concordo em gênero, número e grau. Criar adjetivos, classificações derivadas e níveis de DPO só serve para vender purpurina e confete. O Encarregado ou DPO deve ser o que se define: Um profissional com habilidades multidisciplinares aplicadas à privacidade, proteção de dados e segurança da informação que agregue ao seu portfólio o conhecimento do negócio, dos processos, compliance e conformidade e tudo aquilo, que, de forma ilimitada ou indefinível, possa lhe proporcionar condições de exercer as suas atividades com profissionalismo e excelência. Classificar ou adjetivar um profissional pode simplesmente criar uma segregação entre os mesmos, originando subcategorias ou dissidências, de forma negativa e limitadora. A diversidade de conhecimentos é que possibilita a adequação de cada um à sua realidade, sem rótulos. Somos DIPIOU. Somos encarregados. O “Plus” é do indivíduo e nada além.
Isso é tudo, sem mais! Concordo 100% contigo.