Requisitos de DPO do RGPD: Você Precisa de um Encarregado de Proteção de Dados? (2026)

Os artigos 37 a 39 do RGPD exigem que determinados controladores e operadores nomeiem um Encarregado de Proteção de Dados (DPO, na sigla em inglês). A obrigação é compulsória em três cenários: você é uma autoridade ou órgão público; suas atividades principais exigem monitoramento regular e sistemático em larga escala de pessoas; ou suas atividades principais envolvem o tratamento em larga escala de dados de categoria especial ou de condenações penais.
Quando um DPO É Obrigatório? Os Três Gatilhos do Artigo 37(1)
O artigo 37(1) do Regulamento (UE) 2016/679 estabelece três condições, qualquer uma das quais aciona uma obrigação compulsória de designar um DPO. Atender a um único gatilho já é suficiente.
| Gatilho | Artigo | Exemplo Representativo |
|---|---|---|
| Autoridade ou órgão público (exceto tribunais no exercício da função jurisdicional) | Art. 37(1)(a) | Uma agência fiscal nacional, um governo municipal, uma universidade pública, um hospital estatal |
| Atividades principais que exigem monitoramento regular e sistemático de titulares de dados em larga escala | Art. 37(1)(b) | Uma rede de publicidade na internet, um provedor de telecomunicações que rastreia registros de chamadas, um banco que realiza pontuação de crédito |
| Atividades principais consistentes no tratamento em larga escala de dados de categoria especial (Art. 9) ou de dados de condenações penais (Art. 10) | Art. 37(1)(c) | Uma rede hospitalar que trata registros de saúde de pacientes, uma empresa privada de segurança que realiza verificações de antecedentes criminais em larga escala |
O considerando 97 confirma esse marco e acrescenta que o nível exigido de conhecimento especializado do DPO deve corresponder à complexidade das operações de tratamento.
Gatilho Um: Autoridade ou Órgão Público (Artigo 37(1)(a))
Toda autoridade ou órgão público deve nomear um DPO, independentemente da escala ou da sensibilidade de seu tratamento. O gatilho é incondicional: nenhum limite de volume, nenhuma categoria de dados específica, nenhum tipo específico de atividade é exigido.
A exceção expressa cobre os tribunais no exercício da função jurisdicional. O considerando 20 explica que a independência judicial exige que as autoridades de controle não fiscalizem diretamente o tratamento de casos pelos tribunais. As demais funções administrativas dos tribunais (folha de pagamento, recursos humanos, gestão predial) continuam sujeitas ao RGPD; essas atividades ficam fora da isenção da função jurisdicional.
O que conta como autoridade pública depende do direito nacional de cada Estado-Membro da UE. Departamentos do governo central, autoridades regionais e locais, agências reguladoras, emissoras públicas financiadas pelo Estado, universidades públicas financiadas pelo Estado, e hospitais públicos são os casos paradigmáticos. Órgãos mistos, público-privados, e empresas estatais podem ou não se qualificar, dependendo do direito constitucional e administrativo do Estado-Membro relevante.
Gatilho Dois: Monitoramento Regular e Sistemático em Larga Escala (Artigo 37(1)(b))
O Gatilho Dois se aplica a controladores e operadores cujas atividades principais exigem monitoramento regular e sistemático de titulares de dados em larga escala. Ambos os elementos exigem atenção: "monitoramento regular e sistemático" e "larga escala" são qualificações distintas.
O Que Significa "Monitoramento Regular e Sistemático"
O antigo Grupo de Trabalho do Artigo 29 (WP29), cujas diretrizes foram adotadas pelo Comitê Europeu para a Proteção de Dados (CEPD) em 25 de maio de 2018, tratou disso no WP243 rev.01. "Regular" significa contínuo, recorrente em intervalos fixos, ou ocorrendo de forma constante ou periódica. "Sistemático" significa que ocorre segundo um sistema, é pré-organizado ou metódico, ou é realizado como parte de um plano geral de coleta de dados.
Exemplos do WP29 de monitoramento regular e sistemático: operar uma rede de telecomunicações; fornecer serviços de internet; rastrear dados de localização de aplicativos móveis; programas de fidelidade com análise comportamental; tratamento de dados biométricos para controle de acesso; monitoramento por CFTV de pessoas em espaços públicos; publicidade comportamental; e rastreamento por meio de dispositivos conectados.
O Que Significa "Larga Escala"
O RGPD não define "larga escala" numericamente. O considerando 91 estabelece que o tratamento em larga escala visa a lidar com uma quantidade considerável de dados pessoais em nível regional, nacional ou supranacional, e pode afetar um grande número de titulares de dados. Como contraexemplo, o considerando 91 observa que um único médico ou advogado que trata dados de pacientes ou clientes não constitui tratamento em larga escala.
O WP29 identificou quatro fatores de avaliação: o número de titulares de dados (em termos absolutos ou como proporção da população relevante); o volume ou a variedade de itens de dados tratados; a duração ou a permanência da atividade; e a extensão geográfica.
O CEPD trata os seguintes como larga escala: um hospital que trata dados de pacientes no curso normal de suas operações; uma empresa de transporte que trata dados de viagens em todo o sistema de transporte público de uma cidade; um processador de geolocalização em tempo real que cobre uma rede rodoviária nacional; um motor de busca que trata dados para publicidade comportamental em escala global. Não são larga escala: um único médico ou especialista que trata registros de pacientes; um único advogado que trata dados de clientes.
Gatilho Três: Tratamento em Larga Escala de Dados de Categoria Especial ou de Condenações Penais (Artigo 37(1)(c))
O Gatilho Três se concentra na sensibilidade dos dados, e não no tipo de monitoramento. Ele se aplica quando as atividades principais consistem no tratamento em larga escala das categorias especiais listadas no artigo 9(1) ou de dados de condenações penais nos termos do artigo 10.
O artigo 9(1) enumera oito categorias especiais: origem racial ou étnica; opiniões políticas; convicções religiosas ou filosóficas; filiação sindical; dados genéticos; dados biométricos tratados para identificar uma pessoa de forma unívoca; dados de saúde; e dados relativos à vida sexual ou à orientação sexual.
Os dados do artigo 10 relacionam-se a condenações penais e infrações. A maioria das organizações que tratam dados do artigo 10 em suas atividades principais o faz sob uma via estatutária específica. O requisito de larga escala continua a se aplicar; uma pequena instituição de caridade que realiza uma única verificação de antecedentes criminais de um voluntário não aciona esse elemento.
Organizações com probabilidade de atender ao Gatilho Três: uma seguradora de saúde privada que trata dados de subscrição médica para toda a sua base de clientes; uma empresa de recrutamento que realiza verificações de antecedentes criminais em larga escala; um serviço de testes genéticos que trata DNA de centenas de milhares de consumidores; um provedor de controle de acesso biométrico que cobre uma grande força de trabalho.
O Conceito de "Atividades Principais"
Os Gatilhos Dois e Três exigem que o tratamento relevante faça parte das "atividades principais" da organização. O tratamento auxiliar ou de apoio não aciona a obrigação de DPO.
O WP29 traçou a linha entre as funções empresariais primárias e as funções de apoio, como folha de pagamento, gestão de TI e recursos humanos. Um hospital trata dados de saúde como atividade principal porque a assistência médica é sua finalidade primária. O tratamento de sua folha de pagamento, embora envolva dados pessoais, é auxiliar e não aciona o Gatilho Três.
Uma empresa de segurança que monitora shoppings e espaços públicos com CFTV se envolve em monitoramento regular e sistemático como atividade principal, porque a vigilância é o principal serviço que ela vende. Um supermercado que instala CFTV para prevenção de furtos usa a vigilância como ferramenta secundária, não como oferta primária.
Muitas empresas de médio porte tratam dados pessoais extensivamente em sistemas de RH, plataformas de CRM e software de contabilidade, mas nenhuma dessas atividades é principal no sentido do RGPD. Um fabricante cuja atividade primária é a produção de bens trata dados de funcionários e clientes como funções de apoio. Se sua atividade principal não envolve monitoramento em larga escala nem tratamento em larga escala de categoria especial, nenhuma obrigação compulsória de DPO surge nos termos dos Gatilhos Dois ou Três.
Nomeação Voluntária de DPO
O artigo 37(4) confirma que, quando a nomeação não é obrigatória, as organizações "podem ou devem" designar um DPO. A linguagem "devem" se refere a possibilidades no direito da União ou dos Estados-Membros que exigem a designação além da referência básica do artigo 37(1); as organizações devem verificar a legislação nacional de implementação.
O CEPD recomenda a nomeação voluntária para qualquer organização que trate volumes significativos de dados pessoais, independentemente de os limites obrigatórios serem atendidos. Um DPO voluntário pode demonstrar prestação de contas, construir confiança regulatória, e reduzir o risco de infrações não detectadas.
Crucialmente, os artigos 38 e 39 se aplicam integralmente a um DPO voluntário. Uma organização não pode nomear um DPO nominal, despojado de independência ou protegido das regras de conflito de interesse.
Quem Pode Atuar Como DPO?
Qualificações Exigidas
O artigo 37(5) exige a designação com base em qualidades profissionais e conhecimento especializado da legislação de proteção de dados e de suas práticas, além da capacidade de realizar as tarefas do artigo 39. Não existe uma qualificação ou exame prescrito. O conhecimento especializado exigido é proporcional à sensibilidade dos dados e à complexidade do tratamento.
O WP29 identificou áreas relevantes de especialização: leis nacionais e europeias de proteção de dados; o setor e a matéria da organização; a infraestrutura de negócios e de TI da organização; a gestão da função de conformidade; e os marcos de transferência internacional de dados.
Para uma pequena organização que coleta apenas dados básicos de contato para uma newsletter, um funcionário competente, com entendimento razoável do RGPD, pode ser suficiente. Para uma grande multinacional que trata dados biométricos, opera publicidade comportamental, e transfere dados entre jurisdições, é apropriado um conhecimento jurídico e técnico especializado.
Funcionário ou Prestador de Serviço Externo
O artigo 37(6) permite expressamente que o DPO seja um funcionário ou desempenhe a função sob um contrato de serviço. O modelo de DPO externo cresceu significativamente desde a entrada em vigor do RGPD. Escritórios de advocacia, consultorias e fornecedores especializados em privacidade oferecem serviços de DPO compartilhados ou fracionados.
Quando o DPO é externo, o contrato de serviço deve ser estruturado de forma que os artigos 38 e 39 sejam atendidos. O DPO externo deve ter acesso genuíno às operações de tratamento e à administração da organização, não servir meramente como um contato de conformidade nominal.
DPO em Nível de Grupo e DPO para Múltiplas Autoridades
O artigo 37(2) permite que um grupo de empresas nomeie um único DPO, desde que esse DPO seja facilmente acessível a partir de cada estabelecimento. O artigo 37(3) permite de forma semelhante um único DPO para várias autoridades ou órgãos públicos, levando em conta sua estrutura organizacional e seu porte.
"Facilmente acessível" é um requisito funcional. O DPO deve poder ser contatado por funcionários, titulares de dados e autoridades de controle sem dificuldade indevida. O WP29 identificou fatores de apoio: comunicação clara dos dados de contato do DPO em todo o grupo; disponibilidade para consulta sobre questões de proteção de dados; e presença física onde ocorre tratamento complexo ou sensível.
O artigo 37(7) exige que os controladores e operadores publiquem os dados de contato do DPO e os comuniquem à sua autoridade de controle. A identidade completa não precisa ser publicada, mas um endereço de contato acessível aos titulares de dados deve ser.
As Tarefas do DPO Nos Termos do Artigo 39
O artigo 39(1) enumera cinco tarefas mínimas. A expressão "pelo menos" deixa claro que o direito de um Estado-Membro, os termos de contratação do DPO, ou a própria governança da organização podem atribuir responsabilidades adicionais.
Tarefa Um: Informar e Assessorar (Artigo 39(1)(a))
O DPO deve informar e assessorar o controlador, o operador e os funcionários sobre as obrigações do RGPD e outras disposições aplicáveis de proteção de dados. Isso abrange orientação sobre fundamentos legais de tratamento, mecanismos de consentimento, procedimentos de direitos dos titulares de dados, treinamento de equipe, e estratégia de proteção de dados.
O DPO informa e assessora; o DPO não decide. Nos termos do artigo 38(3), o DPO não pode receber instruções no exercício de suas tarefas, mas o controlador ou operador mantém a autoridade de decisão sobre como os dados pessoais são tratados. O papel do DPO é garantir que os tomadores de decisão compreendam o panorama jurídico e sinalizar diretrizes que não estejam em conformidade.
Tarefa Dois: Monitorar a Conformidade (Artigo 39(1)(b))
O DPO deve monitorar a conformidade com o RGPD, com outras disposições de proteção de dados aplicáveis, e com as políticas de proteção de dados da própria organização. O monitoramento envolve: atribuir responsabilidades de proteção de dados; realizar auditorias internas; revisar acordos de tratamento e arranjos de compartilhamento de dados; atualizar os registros de atividades de tratamento; monitorar pedidos de exercício de direitos dos titulares de dados; e acompanhar as medidas técnicas e organizacionais de segurança.
O artigo 39(1)(b) também menciona a sensibilização e o treinamento de funcionários. O DPO, portanto, tem uma obrigação permanente de manter a força de trabalho atualizada sobre os requisitos do RGPD, à medida que o marco regulatório e as operações de tratamento da organização evoluem.
Tarefa Três: Assessorar em AIPDs (Artigo 39(1)(c))
Quando uma nova atividade de tratamento é suscetível de gerar um alto risco para os titulares de dados, o artigo 35 exige uma Avaliação de Impacto sobre a Proteção de Dados (AIPD) antes de o tratamento começar. O DPO fornece aconselhamento sobre a AIPD e supervisiona sua execução.
Nos termos do artigo 38(1), o DPO deve ser envolvido "de forma adequada e em tempo útil", e deve ser consultado desde o início de qualquer projeto com probabilidade de exigir uma AIPD. O aconselhamento do DPO e a resposta do controlador devem ser documentados junto com o registro da AIPD. O considerando 97 observa que o DPO deve auxiliar na avaliação de se uma AIPD é necessária e na determinação de como realizá-la.
Se um controlador prossegue com uma atividade de tratamento de alto risco apesar da objeção documentada do DPO, tanto o aconselhamento do DPO quanto a decisão do controlador devem ser registrados por escrito. Essa documentação evidencia a independência do DPO e a prestação de contas do controlador nos termos do artigo 5(2).
Tarefa Quatro: Cooperar com a Autoridade de Controle (Artigo 39(1)(d))
O DPO deve cooperar com a autoridade de controle. A cooperação inclui facilitar inspeções e investigações; fornecer informações nos termos dos poderes de investigação do artigo 58 da autoridade de controle; participar de reuniões ou audiências; e gerenciar as notificações de violações de dados à autoridade nos termos do artigo 33.
Tarefa Cinco: Atuar Como Ponto de Contato para a Autoridade de Controle (Artigo 39(1)(e))
O DPO atua como ponto de contato para a autoridade de controle em questões de tratamento e, quando apropriado, realiza a consulta prévia nos termos do artigo 36. A consulta prévia é o mecanismo pelo qual um controlador que não consegue mitigar os riscos identificados pela AIPD a um nível aceitável consulta a autoridade de controle antes de iniciar o tratamento.
A função de ponto de contato também significa que os titulares de dados têm um endereço publicado para exercer seus direitos do RGPD. O artigo 37(7) garante que os dados de contato do DPO estejam publicamente disponíveis, e o artigo 38(4) confirma que os titulares de dados podem contatar o DPO sobre todas as questões de tratamento e de direitos.
A Abordagem Baseada em Risco na Prática
O artigo 39(2) exige que o DPO, em todas as cinco tarefas, leve em conta o risco associado às operações de tratamento, considerando a natureza, o âmbito, o contexto e as finalidades. Uma abordagem proporcional, baseada em risco, direciona a atenção para as atividades com maior probabilidade de criar riscos elevados: definição de perfis, decisões automatizadas, tratamento em larga escala de categoria especial, e transferências transfronteiriças sem salvaguardas adequadas.
Independência do DPO e Proteção Contra Demissão (Artigo 38)
Nenhuma Instrução Permitida
O artigo 38(3) estabelece que o DPO "não recebe instruções relativamente ao exercício dessas funções". Essa proibição se aplica em todos os níveis de gestão. O DPO se reporta diretamente ao mais alto nível de gestão, o que, na maioria das estruturas corporativas, significa o conselho ou um órgão de governança equivalente.
Um DPO que determina que uma atividade de tratamento é ilícita não pode ser instruído a aprová-la. Um DPO que acredita que a organização está subnotificando violações de dados não pode ser silenciado. O DPO deve ter liberdade para escalar preocupações à autoridade de controle nos termos do artigo 39(1)(d), sem aprovação interna.
Proteção Contra Demissão e Penalidades
O artigo 38(3) proíbe demitir ou penalizar o DPO por desempenhar suas tarefas. Um DPO que é demitido, rebaixado, tem sua remuneração reduzida, ou sofre outra medida adversa por causa de sua função de DPO tem uma reivindicação direta nos termos do RGPD, e a autoridade de controle pode investigar e sancionar o controlador ou operador.
A proteção se aplica tanto a DPOs empregados quanto a prestadores de serviço externos. Um controlador não pode rescindir o contrato de serviço do DPO em retaliação por o DPO ter levantado preocupações de conformidade. Cláusulas contratuais que dão ao controlador um direito irrestrito de rescisão sem justa causa podem comprometer o requisito de independência se usadas para suprimir uma atividade lícita do DPO.
Recursos e Acesso
O artigo 38(2) exige que o controlador e o operador forneçam os recursos necessários para realizar as tarefas do artigo 39 e manter conhecimento especializado, além de acesso aos dados pessoais e às operações de tratamento. Os recursos incluem tempo, financiamento para treinamento e desenvolvimento profissional, e apoio administrativo. Para um DPO em tempo parcial ou externo, isso inclui acesso significativo a sistemas, documentação e pessoal.
Um DPO que não consegue obter os registros de atividades de tratamento, participar de reuniões em que decisões de tratamento são tomadas, ou revisar contratos de aquisição que envolvam dados pessoais carece do acesso necessário para realizar o monitoramento previsto no artigo 39(1)(b).
Conflito de Interesse
O artigo 38(6) permite que o DPO desempenhe outras tarefas e funções, mas o controlador ou operador deve garantir que essas tarefas não criem conflito de interesse com a função de supervisão do DPO.
As diretrizes do WP29 (WP243 rev.01) identificaram funções geralmente incompatíveis com a função de DPO: CEO, COO, CFO, CMO, diretor de RH e diretor de TI ou de segurança. Em organizações menores, onde uma pessoa acumula várias funções, a função de DPO deve permanecer isolada de funções que definem os objetivos do tratamento.
O teste é funcional, não nominal. Alterar um cargo de "Gerente de TI" para "DPO", mantendo as responsabilidades substantivas inalteradas, não elimina o conflito. Existe um conflito sempre que a função envolve determinar as finalidades e os meios do tratamento de dados pessoais.
Os DPOs externos enfrentam seus próprios riscos: um escritório de advocacia que assessora um cliente sobre a legalidade de uma estratégia de tratamento, ao mesmo tempo em que atua como DPO, pode enfrentar um conflito quando a função de DPO exigir que ele aconselhe contra essa estratégia. As organizações que usam serviços externos de DPO devem confirmar que o fornecedor tem medidas de governança para gerenciar esses conflitos.
Consequências do Descumprimento
Multas Nos Termos do Artigo 83(4)
As violações dos artigos 37, 38 e 39 se enquadram no patamar inferior de multa do RGPD, previsto no artigo 83(4), que cobre as obrigações previstas nos artigos 8, 11, 25 a 39, 42 e 43. O máximo é de 10 milhões de euros ou 2% do faturamento anual mundial total da empresa no exercício anterior, o que for maior.
Violações relacionadas a DPO comumente sancionadas: falha em nomear um DPO exigido; nomeação de um DPO sem qualificações ou independência; atribuição do DPO a uma função conflitante; falha em fornecer recursos ou acesso suficientes; e falha em publicar os dados de contato do DPO.
Fiscalização na Prática
As autoridades de controle em toda a UE já investigaram e multaram organizações por violações relacionadas a DPO. As autoridades alemãs de proteção de dados têm sido particularmente ativas, dado que o requisito de DPO tem raízes na legislação federal alemã de proteção de dados anterior ao RGPD. Várias autoridades de controle têm tratado DPOs nomeados apenas nominalmente, sem autoridade real, sem recursos adequados, e sem proteção contra interferência da gestão, como equivalentes a não ter DPO algum.
A falha em publicar os dados de contato do DPO está entre as violações mais simples de detectar por uma autoridade de controle: é visível na própria política de privacidade. As autoridades de controle que realizam varreduras de avisos de privacidade em sites rotineiramente sinalizam a ausência de informações de contato do DPO.
Consequências Além das Multas
O descumprimento dos requisitos de DPO compromete a prestação de contas nos termos do artigo 5(2). Um controlador que carece de um DPO exigido tem uma deficiência estrutural de prestação de contas, que pode agravar a penalidade de qualquer violação associada ao RGPD encontrada na mesma investigação.
Para empresas B2B, as equipes de compras que realizam diligência prévia de conformidade com o RGPD sobre fornecedores e suboperadores cada vez mais solicitam evidências de nomeação de DPO, dados de contato do DPO, e registros de atividades de tratamento. A ausência de um DPO exigido é uma constatação relevante em avaliações corporativas de risco de fornecedores.
O UK GDPR e o Requisito de DPO
O Reino Unido manteve o RGPD como direito interno por meio do European Union (Withdrawal) Act 2018 e do Data Protection Act 2018. O UK GDPR reproduz o texto da UE com modificações mínimas. Os artigos 37, 38 e 39 do UK GDPR reproduzem os equivalentes da UE de forma quase literal, e os três gatilhos obrigatórios permanecem inalterados.
A Information Commissioner's Office (ICO) é a autoridade de controle do UK GDPR. A ICO acompanha de perto a abordagem do WP29 e aplica o mesmo marco analítico de "larga escala" e "atividades principais" que as autoridades de controle da UE. As organizações sujeitas a ambos os regimes podem nomear DPOs separados ou um único DPO cobrindo ambos, desde que esse DPO seja acessível a ambas as autoridades de controle, aos funcionários e aos titulares de dados.
O regime de multas do UK GDPR é denominado em libras esterlinas: o patamar inferior é de até 8,7 milhões de libras esterlinas, ou 2% do faturamento anual global, o que for maior.
Como Avaliar Se Sua Organização Precisa de um DPO
Comece pelo Gatilho Um: a organização é uma autoridade ou órgão público segundo o direito nacional do Estado-Membro da UE relevante? Se sim, um DPO é obrigatório. Se a organização opera em vários Estados-Membros, verifique se algum deles classifica a entidade como um órgão público.
Se não for uma autoridade pública, identifique as atividades comerciais principais. Para cada atividade principal, pergunte: essa atividade exige monitoramento regular e sistemático de pessoas? Se sim, esse monitoramento é realizado em larga escala? Se ambas as respostas forem sim, o Gatilho Dois se aplica.
Em seguida, para cada atividade principal, pergunte: essa atividade envolve o tratamento de dados de categoria especial do artigo 9(1) ou de dados de condenações penais do artigo 10? Se sim, esse tratamento é realizado em larga escala? Se ambas as respostas forem sim, o Gatilho Três se aplica.
Documente a análise. Mesmo quando nenhum DPO obrigatório é exigido, uma avaliação documentada demonstra prestação de contas nos termos do artigo 5(2) e protege a organização caso uma autoridade de controle venha a questionar a decisão posteriormente. Atualize a avaliação sempre que as atividades de tratamento mudarem de forma relevante, inclusive por meio de aquisições, novas linhas de produtos, ou arranjos alterados de compartilhamento de dados.
Para saber como as obrigações de DPO se encaixam no programa mais amplo de conformidade com o RGPD, a lista de verificação de conformidade com o RGPD fornece uma visão estruturada das obrigações de controladores e operadores. Organizações fora da UE que avaliam se o RGPD se aplica a elas podem começar com o guia RGPD Para Pequenas Empresas. Para uma introdução completa ao regulamento, veja o que é o RGPD.
Aviso legal: Este artigo fornece informações jurídicas gerais sobre os requisitos de Encarregado de Proteção de Dados do RGPD e não é aconselhamento jurídico. A conformidade com o RGPD é específica aos fatos, e a aplicação dos artigos 37 a 39 a qualquer organização em particular depende de suas atividades específicas de tratamento, seu status jurídico, e o direito nacional do Estado-Membro relevante. Consulte um profissional de proteção de dados qualificado ou um advogado para obter aconselhamento adaptado à sua situação.
Frequently Asked Questions
Pequenas empresas precisam de um DPO segundo o RGPD?
As pequenas empresas não estão automaticamente isentas do requisito de DPO nos termos do artigo 37. O considerando 13 permite que os Estados-Membros adaptem as regras para micro, pequenas e médias empresas em alguns contextos, mas o artigo 37 não contém uma isenção para PMEs. Uma pequena empresa que atende a qualquer um dos três gatilhos obrigatórios do artigo 37(1) deve nomear um DPO. Na prática, a maioria das pequenas empresas não realiza tratamento em larga escala como atividade principal, e não são autoridades públicas, de modo que os gatilhos dificilmente se aplicam. Mas a obrigação depende da natureza e da escala do tratamento, não do tamanho da força de trabalho ou do faturamento. Uma startup que opera um aplicativo de dados de saúde com centenas de milhares de usuários poderia acionar o artigo 37(1)(c), mesmo empregando menos de 20 pessoas.
Um DPO pode ser um consultor externo ou prestador de serviço?
Sim. O artigo 37(6) declara expressamente que o DPO pode desempenhar a função com base em um contrato de serviço com um provedor externo. O arranjo de DPO externo é comum para organizações que não conseguem justificar uma contratação interna em tempo integral. Os artigos 38 e 39 devem ser atendidos independentemente do arranjo de emprego: o DPO externo deve ter independência genuína, não deve estar sujeito a instruções, deve ter acesso às atividades de tratamento e à alta administração da organização, e deve estar protegido contra demissão ou penalidade por desempenhar suas tarefas. O contrato de serviço deve refletir esses requisitos explicitamente.
Uma empresa americana com clientes na UE precisa nomear um DPO do RGPD?
Uma empresa americana sujeita ao RGPD nos termos do artigo 3(2) deve avaliar se atende aos gatilhos do artigo 37(1). Se suas atividades principais exigem monitoramento regular e sistemático em larga escala de titulares de dados na UE, como é comum para empresas de tecnologia de publicidade, corretores de dados e grandes plataformas de análise, o Gatilho Dois se aplica, e um DPO deve ser designado. Se as atividades voltadas à UE da empresa americana forem limitadas e não envolverem monitoramento sistemático em larga escala nem dados de categoria especial em larga escala, nenhum DPO é exigido, embora um representante separado na UE, nos termos do artigo 27, ainda possa ser obrigatório. As empresas americanas devem realizar e documentar a avaliação do artigo 37 como parte de seu programa geral de conformidade com o RGPD.
O proprietário do negócio ou o CEO pode atuar como DPO?
O CEO não pode atuar como DPO, devido à vedação de conflito de interesse prevista no artigo 38(6). As diretrizes do WP29 (WP243 rev.01) identificaram especificamente a função de CEO como incompatível com a função de DPO, porque o CEO determina as finalidades e os meios do tratamento de dados da organização, e a função de supervisão do DPO exige independência dessa autoridade de decisão. O mesmo raciocínio se aplica ao COO, CIO, CMO, CFO, e ao diretor de tecnologia da informação. Um proprietário de negócio que também é CEO não pode sanar esse conflito se autodesignando DPO, mesmo em uma organização pequena. A solução para organizações muito pequenas costuma ser um serviço externo de DPO.
Quais são as penalidades por não nomear um DPO quando exigido?
A falha em nomear um DPO exigido é uma violação sujeita a multas nos termos do artigo 83(4), que abrange as obrigações previstas nos artigos 25 a 39, e impõe multas de até 10 milhões de euros ou 2% do faturamento anual mundial total, o que for maior. A falha em publicar os dados de contato do DPO nos termos do artigo 37(7) é sancionável de forma independente. As autoridades de controle avaliam as multas com base na natureza, na gravidade e na duração da violação, no caráter intencional ou negligente da infração, e no grau de cooperação. O UK GDPR reproduz essa estrutura, com o teto do patamar inferior em 8,7 milhões de libras esterlinas ou 2% do faturamento anual global.
O que um DPO faz, na prática, no dia a dia?
As atividades diárias de um DPO decorrem das cinco tarefas do artigo 39(1). Eles assessoram as equipes sobre se uma nova funcionalidade de produto exige uma AIPD, e revisam a avaliação assim que é elaborada. Auditam os registros de atividades de tratamento nos termos do artigo 30. Revisam acordos de tratamento de dados e cláusulas contratuais-padrão antes da assinatura. Investigam pedidos de exercício de direitos dos titulares de dados e garantem respostas dentro do prazo. Coordenam-se com as equipes de TI e segurança após uma violação de dados pessoais para determinar se a notificação do artigo 33 à autoridade de controle, em até 72 horas, é exigida. Planejam e ministram treinamento de equipe. Atuam como ponto único de contato para a autoridade de controle e garantem que a correspondência regulatória receba respostas oportunas e precisas.
O RGPD exige um DPO tanto para operadores quanto para controladores?
Sim. O artigo 37(1) se aplica tanto a controladores quanto a operadores. Um operador de dados, como um provedor de serviços em nuvem, uma empresa terceirizada de folha de pagamento, ou uma plataforma de tecnologia de marketing, deve nomear um DPO se suas atividades principais, na condição de operador, atenderem aos gatilhos de monitoramento em larga escala ou de dados de categoria especial em larga escala. A avaliação de DPO do operador se concentra em suas próprias atividades principais, não nas atividades dos controladores que ele atende. Um provedor de infraestrutura em nuvem que hospeda dados em nome de milhares de controladores, e monitora padrões de uso de rede em larga escala, pode acionar o artigo 37(1)(b) de forma independente do que seus clientes controladores fazem com os dados.
Um único DPO pode cobrir várias empresas?
Sim, em dois cenários. O artigo 37(2) permite que um grupo de empresas designe um único DPO, desde que o DPO seja facilmente acessível a partir de cada estabelecimento. O artigo 37(3) permite que várias autoridades ou órgãos públicos designem um DPO compartilhado, levando em conta sua estrutura organizacional e seu porte. O requisito de fácil acessibilidade significa que o DPO deve poder ser contatado por funcionários, titulares de dados e autoridades de controle em cada entidade, sem dificuldade indevida. Os dados de contato do DPO compartilhado devem ser publicados por cada entidade, nos termos do artigo 37(7), e o DPO deve ter capacidade suficiente para cobrir as tarefas de DPO de todas as entidades.
Um DPO é o mesmo que um responsável por privacidade ou um responsável por conformidade?
Não necessariamente. Um DPO segundo o RGPD é uma função estatutária específica, com tarefas definidas nos termos do artigo 39, uma garantia estatutária de independência nos termos do artigo 38, e proteção contra demissão. Muitas organizações têm responsáveis por privacidade ou por conformidade cujas descrições de cargo se sobrepõem às funções de DPO, mas essas funções não equivalem a um DPO estatutário, a menos que a pessoa tenha sido formalmente designada e seus dados de contato publicados nos termos do artigo 37(7). Uma organização que depende de um responsável interno de conformidade sem uma designação formal não cumpriu sua obrigação do artigo 37. Da mesma forma, uma designação formal isolada não é suficiente: o DPO designado deve ter as qualificações, os recursos, a independência e o acesso que os artigos 37 e 38 exigem.
Qual é o papel do DPO em uma violação de dados?
O artigo 39 não lista a gestão de violações de dados como uma tarefa autônoma, mas o papel do DPO decorre das tarefas de monitoramento e cooperação previstas no artigo 39(1)(b), (d) e (e). Na prática, o DPO avalia se um incidente de segurança constitui uma violação de dados pessoais nos termos do artigo 4(12), determina se há probabilidade de risco para os direitos e liberdades dos titulares de dados, assessora sobre se a notificação do artigo 33 à autoridade de controle, em até 72 horas, é exigida, assessora sobre se a notificação do artigo 34 aos titulares de dados afetados é necessária, e atua como o contato com a autoridade de controle ao longo da investigação. O DPO deve ser envolvido desde o momento em que uma possível violação é identificada, e não depois de a gestão já ter tomado decisões sobre notificação.
Sources and References
- Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho (RGPD): artigo 37, Designação do Encarregado de Proteção de Dados(eur-lex.europa.eu)
- Regulamento (UE) 2016/679: artigo 38, Posição do Encarregado de Proteção de Dados(eur-lex.europa.eu)
- Regulamento (UE) 2016/679: artigo 39, Funções do Encarregado de Proteção de Dados(eur-lex.europa.eu)
- Regulamento (UE) 2016/679: considerando 97 (Encarregado de Proteção de Dados)(eur-lex.europa.eu)
- Regulamento (UE) 2016/679: considerando 91 (Avaliação de Impacto sobre a Proteção de Dados e Tratamento em Larga Escala)(eur-lex.europa.eu)
- Diretrizes do WP29 sobre Encarregados de Proteção de Dados (WP243 rev.01), adotadas pelo CEPD(ec.europa.eu)
- Comitê Europeu para a Proteção de Dados: Arquivo de Documentos do Grupo de Trabalho do Artigo 29(edpb.europa.eu)
- Regulamento (UE) 2016/679: artigo 83, Condições Gerais para a Aplicação de Multas Administrativas(eur-lex.europa.eu)
- Regulamento (UE) 2016/679: artigo 35, Avaliação de Impacto sobre a Proteção de Dados(eur-lex.europa.eu)
- Data Protection Act 2018 (Reino Unido): Parte 2 e Anexo 6, que incorporam o UK GDPR(legislation.gov.uk)
- Guia da ICO sobre o UK GDPR: Encarregados de Proteção de Dados(ico.org.uk)
- Regulamento (UE) 2016/679: artigo 9, Tratamento de Categorias Especiais de Dados Pessoais(eur-lex.europa.eu)
- Regulamento (UE) 2016/679: artigo 10, Tratamento de Dados Pessoais Relativos a Condenações Penais e Infrações(eur-lex.europa.eu)