Na ausência temporária do DPO, quem responde por ele?
Você está vendo a versão anterior da nova experiência da Alura que estamos preparando para você. Em breve, ela ganha uma identidade visual novinha totalmente pensada em potencializar seus estudos!
Na ausência temporária do DPO, quem responde por ele?
Olá, Franklin. Como vai?
Essa é uma dúvida excelente e extremamente prática para o cotidiano das organizações. As férias, licenças médicas ou ausências temporárias de profissionais acontecem em qualquer empresa, e a governança de dados não pode parar nesses períodos, sob o risco de a empresa violar os prazos legais de atendimento da LGPD.
Diretamente ao ponto: a LGPD não define em texto de lei quem deve substituir o DPO (Encarregado) em sua ausência temporária. No entanto, com base nas diretrizes e guias de boas práticas da ANPD (Autoridade Nacional de Proteção de Dados), o mercado adota estratégias bem consolidadas para cobrir esse cenário.
Para garantir a continuidade da conformidade legal, as organizações costumam responder a essa ausência das seguintes maneiras:
Em empresas de médio e grande porte, a boa prática de governança dita que deve ser desenhada uma estrutura de DPO Substituto (ou Co-DPO). Essa pessoa — que geralmente é um advogado do time de compliance ou um especialista em segurança da informação — fica previamente designada e treinada para assumir o canal de comunicação oficial e tomar decisões urgentes enquanto o titular estiver ausente.
Muitas empresas não centralizam as decisões de privacidade em uma única pessoa física, mas sim em um Comitê de Privacidade e Proteção de Dados. Na ausência temporária do DPO, o comitê assume colegiadamente as responsabilidades de responder às requisições de titulares e reportar incidentes de segurança, garantindo que nenhum prazo legal seja perdido.
Se a empresa contratou uma pessoa jurídica (uma consultoria ou escritório de advocacia) para atuar como seu DPO, esse problema praticamente desaparece. O contrato com essas empresas costuma prever cláusulas de SLA (Acordo de Nível de Serviço), garantindo que, se o consultor principal adoecer ou tirar férias, a empresa terceirizada alocará imediatamente outro profissional qualificado para responder pelo canal, sem interrupção dos serviços.
Independentemente de quem a empresa escolher para responder temporariamente, existem obrigações que não podem ser pausadas:
privacidade@empresa.com) ou formulário no site deve continuar recebendo e processando os pedidos dos titulares dentro do prazo legal.Portanto, a responsabilidade de definir quem responde pelo DPO na sua ausência é da própria empresa (controladora), que deve deixar isso formalizado em seu Plano de Resposta a Incidentes e Continuidade de Negócios.
Espero que possa ter lhe ajudado!