Na área da privacidade e proteção de dados, um dos maiores equívocos que ainda persiste é a compreensão (ou a falta dela) sobre o papel do DPO (Data Protection Officer). Muitas vezes, essa função é interpretada de forma equivocada, gerando expectativas desalinhadas, confusão conceitual e, não raramente, um “jogo de empurra” quando o tema é responsabilidade.

Neste artigo, vamos abordar, de forma direta e objetiva, os desafios enfrentados pelo DPO e desmistificar algumas interpretações incorretas, especialmente sobre gestão e governança da privacidade.

1. Onde Reside a Verdadeira Confusão?

É fundamental compreender que a conformidade legal com a LGPD/GDPR é apenas um dos pilares da gestão da privacidade e proteção de dados. Se esse ponto ainda não está claro, é necessário revisitar os fundamentos que sustentam a governança moderna.

A origem dessa confusão — frequentemente temperada por toques de dissimulação — está ancorada em duas dimensões que se retroalimentam:

• Ignorância: desconhecimento deliberado ou negligente da taxonomia, dos conceitos e das teorias que embasam a gestão da privacidade e, por consequência, sua consolidação nas normatizações primárias e secundárias em todo o mundo.

• Má-fé: a tendência, especialmente em organizações com baixa maturidade, em deslocar responsabilidades para áreas meio como forma de ocultar e transferir a própria inação, incompetência ou omissão.

Ignorância e má-fé frequentemente andam juntas impedindo a evolução necessária para que possamos usar a tecnologia da informação — hoje, cada vez mais baseada em dados — de forma ética e segura, com respeito aos verdadeiros titulares: cidadãos e consumidores.

2. A Conivência da Alta Administração

No setor público e privado, não são raros os casos em que CEOs, agentes políticos, gerentes e burocratas demonstram desconhecimento profundo sobre privacidade e proteção de dados. O cenário se agrava quando deixam de buscar aconselhamento especializado, tornando-se, assim, coniventes com práticas inadequadas.

Essa conivência manifesta-se de duas formas:

1. Negligência estrutural: quando não são disponibilizados recursos materiais e humanos adequados para que o especialista (o DPO) atue corretamente.

2. Sabotagem ativa: quando melhorias são deliberadamente bloqueadas sob pretextos como “isso pode atrasar o andamento das demandas de negócio”.

Para piorar, gestores desinformados ou mal-intencionados frequentemente atribuem indevidamente obrigações e responsabilidades ao DPO e à área de privacidade e proteção de dados sem qualquer base legal ou teórica. Como diz o provérbio: “o dedo que acusa tem três virados para si mesmo”.

Essa projeção ocorre especialmente quando surgem incidentes — como vazamentos de dados — que já haviam sido reiteradamente alertados.

Não se trata de um caso isolado. É uma realidade reconhecida e debatida em diversos círculos profissionais: desde órgãos públicos, passando por multinacionais, até grandes empresas de tecnologia (big techs).

3. O Que o DPO Não É: Desmistificando o Papel

É imprescindível entender o que o DPO não é:

• O DPO não é responsável pelo tratamento de dados pessoais.

• O DPO não possui poder autorizativo para permitir ou proibir tratamentos de alto risco.

• O DPO não tem competência sancionatória para punir gestores que persistem em práticas inadequadas, mesmo após alertas.

• O DPO não pode demitir ou exonerar membros da alta administração que atuam à revelia das normatizações.

A função do DPO é eminentemente consultiva e orientadora, nunca executiva ou repressiva. Trata-se de um profissional que promove boas práticas, mas não possui autoridade para compelir a gestão a agir.

4. O DPO Como Habilitador e Consultor Estratégico

Uma das principais mudanças percebidas por profissionais que obtêm certificações internacionais em privacidade — como as da IAPP (International Association of Privacy Professionals), da ISO (International Organization for Standardization) ou da EXIN — é a mudança da visão contemporânea sobre o papel do DPO.

Ele deixa de ser visto como um fiscal, juiz ou policial, para se tornar um habilitador estratégico: alguém que orienta a alta gestão na adoção de práticas que possibilitem o uso ético e responsável dos dados a fim de viabilizar o alcance dos objetivos estratégicos das organizações.

Esse é o verdadeiro valor do DPO: consultor da alta gestão, um representante dos cidadãos e consumidores, promovendo segurança jurídica, organizacional e reputacional, e não um obstáculo ou um guardião exclusivo das conformidades legais.

5. A Responsabilidade É Intransferível: Da Alta Gestão

Nenhum documento — seja um Termo de Responsabilidade, um Relatório de Impacto à Proteção de Dados (RIPD), uma nomeação em Diário Oficial ou uma promoção corporativa — é capaz de transferir ao DPO (ou à sua equipe) a responsabilidade final pelos atos e decisões de gestão.

A responsabilidade última permanece com a alta gestão: gestores, gerentes, diretores e conselhos administrativos. Trata-se de um princípio basilar das organizações modernas: a autonomia de gestão implica responsabilidade.

Ao assumir uma posição de liderança, vêm junto os bônus e os ônus — inclusive o de assegurar que as medidas técnicas e organizacionais adequadas sejam implementadas para mitigar riscos no tratamento de dados pessoais.

Qualquer tentativa de responsabilizar o DPO, frente às suas atribuições legalmente delimitadas, só pode ser classificada como má-fé: uma manobra primária e inócua de culpar terceiros pela própria incompetência ou omissão na gestão.

O que o mundo precisa hoje é de accountability.

6. Ignorância e Má-fé: Dois Lados da Mesma Moeda

Ignorância e má-fé são os dois lados da mesma moeda. Uma ferramenta retórica recorrente para quem opta por não agir, seja por omissão, seja por incompetência.

Aqueles que preferem manter-se nessa postura carecem da confiança necessária em seu papel e negligenciam a necessidade premente de transformar a realidade organizacional em prol da proteção da privacidade e dos direitos dos cidadãos e consumidores.

7. Conclusão: Evoluir é Assumir Responsabilidades

Desmistificar o papel do DPO é essencial para o amadurecimento das práticas de governança da privacidade. O DPO é um parceiro estratégico, não um bode expiatório.

A proteção efetiva dos dados pessoais exige compromisso e responsabilidade das lideranças. Cabe à alta gestão implementar as medidas e decisões necessárias, contando com o suporte técnico e consultivo do DPO, mas sem jamais transferir-lhe a responsabilidade final.

Gostou deste conteúdo? Compartilhe sua opinião nos comentários ou responda a este e-mail. Queremos saber o que você pensa!

A seguir: “[s01e02] Safety, Privacidade e Alinhamento na Inteligência Artificial”

Até a próxima,