Na ausência temporária do DPO, quem responde por ele?
Na ausência temporária do DPO, quem responde por ele?
Olá, Franklin. Como vai?
Essa é uma dúvida excelente e extremamente prática para o cotidiano das organizações. As férias, licenças médicas ou ausências temporárias de profissionais acontecem em qualquer empresa, e a governança de dados não pode parar nesses períodos, sob o risco de a empresa violar os prazos legais de atendimento da LGPD.
Diretamente ao ponto: a LGPD não define em texto de lei quem deve substituir o DPO (Encarregado) em sua ausência temporária. No entanto, com base nas diretrizes e guias de boas práticas da ANPD (Autoridade Nacional de Proteção de Dados), o mercado adota estratégias bem consolidadas para cobrir esse cenário.
Para garantir a continuidade da conformidade legal, as organizações costumam responder a essa ausência das seguintes maneiras:
Em empresas de médio e grande porte, a boa prática de governança dita que deve ser desenhada uma estrutura de DPO Substituto (ou Co-DPO). Essa pessoa — que geralmente é um advogado do time de compliance ou um especialista em segurança da informação — fica previamente designada e treinada para assumir o canal de comunicação oficial e tomar decisões urgentes enquanto o titular estiver ausente.
Muitas empresas não centralizam as decisões de privacidade em uma única pessoa física, mas sim em um Comitê de Privacidade e Proteção de Dados. Na ausência temporária do DPO, o comitê assume colegiadamente as responsabilidades de responder às requisições de titulares e reportar incidentes de segurança, garantindo que nenhum prazo legal seja perdido.
Se a empresa contratou uma pessoa jurídica (uma consultoria ou escritório de advocacia) para atuar como seu DPO, esse problema praticamente desaparece. O contrato com essas empresas costuma prever cláusulas de SLA (Acordo de Nível de Serviço), garantindo que, se o consultor principal adoecer ou tirar férias, a empresa terceirizada alocará imediatamente outro profissional qualificado para responder pelo canal, sem interrupção dos serviços.
Independentemente de quem a empresa escolher para responder temporariamente, existem obrigações que não podem ser pausadas:
privacidade@empresa.com) ou formulário no site deve continuar recebendo e processando os pedidos dos titulares dentro do prazo legal.Portanto, a responsabilidade de definir quem responde pelo DPO na sua ausência é da própria empresa (controladora), que deve deixar isso formalizado em seu Plano de Resposta a Incidentes e Continuidade de Negócios.
Espero que possa ter lhe ajudado!