Você sabe que faz um Data Protection Officer ou DPO? Ele é uma espécie de guardião tecnológico que assegura a proteção das informações de dados. Que agora é extremamente importante em vários setores, quando a Lei Geral de Proteção de Dados – LGPD entrar em vigor.
Contudo, vamos imaginar que em sua empresa existem vários sistema de monitoramento por câmeras, o responsável pela vigilância precisa ficar atento a cada movimento, independente. Seja na área interna ou externa do local. A função deste profissional é registrar, investigar se algo está fora do normal.
O que é um DPO?
Da mesma maneira é com o DPO, o profissional que será um encarregado da proteção de dados, poderá ser um colaborador da empresa, terceiro ou consultor contratado. Eventualmente, estará envolvido em todas as questões relacionadas à proteção de dados.
Em outras palavras, o DPO guia a organização na proteção dos dados pessoais armazenados, orientando como obter a conformidade. Também será o ponto de contato com as autoridades que monitoram as atividades no Brasil, a ANPD – Autoridade Nacional de Proteção de Dados.
As tarefas de um DPO segundo a LGPD:
Assim, segundo os termos do artigo 41 da LGPD, as empresas que manipulam dados dos clientes deverão nomear um novo profissional, o “Encarregado pelo Tratamento de Dados Pessoais” (DPO). Esse profissional terá como funções:
- receber reclamações dos clientes sobre uso indevido de dos dados;
- prestar esclarecimentos e adotar providências para sanar problemas ligados ao tema;
- orientar os funcionários sobre as formas legais de manipulação de dados de terceiros;
- receber comunicações da Autoridade Nacional de Proteção de Dados (futura agência reguladora de dados pessoais).
Na prática, caberá ao profissional acompanhar todo o ciclo de vida dos dados que trafegam na empresa ou seja, terá que saber como são coletados, por quais meios, como são usados, com quem são compartilhados e como são descartados. Enfim, deverá fazer um mapeamento completo de tudo o que circula na empresa.
Isso significa que o DPO deverá estar envolvido em todos os projetos da organização. Deverá também ser a última instância na decisão de manipulação de dados, de forma que sua posição hierárquica ainda é um desafio a ser estudado nas empresas.
E porque o DPO é importante agora?
O DPO tem a autonomia e autoridade para refutar os interesses dos CEOs quando as movimentações envolverem práticas ilegais de tratamento de dados.
Mas como um funcionário subordinado ao CEO, ele tem a liberdade para ir contra decisões da cúpula da organização e inclusive podendo gerar prejuízos financeiros com a legalidade de suas posições.
Mesmo com a possibilidade de trazer caminhos que limitem o lucro das empresas, os CEOs deverão dar total apoio e autonomia a esses profissionais de segurança digital. Já que, em caso de ação corporativa que atente contra o marco civil de proteção de dados. Sendo elas a direção, a empresa e claro o DPO poderão ser conjuntamente responsabilizados.
Qual formação deve ter um DPO?
Ainda não existe um padrão para esse novo profissional em segurança da informação.
Entretanto, as atribuições impostas na LGPD se trata de um cargo cujo ocupante deverá ter conhecimento em temas como criptografia, programação, Marco Civil da Internet, LGPD, GDPR e também ser um expert em Direito Digital de forma ampla.
Além disso, assim como ocorre nos 120 países que já contam com legislação específica de proteção de dados, o mercado exigirá desses profissionais certificação da Exin, instituição holandesa especialista mundial em formar DPOs com o apropriado reconhecimento internacional.
O título é fornecido a quem conseguir desempenho acima de 65% em cada um dos 3 exames.
Que são disponibilizados em português:
- Information Security Foundation (ISFS);
- Privacy and Data Protection Foundation (PDPF);
- Privacy and Data Protection Practitioner (PDPP).
Então, cada um dos três exames obrigatórios cumpre com uma função diferente. A primeira prova é um framework sobre segurança de TI, o que garante que o DPO tenha o entendimento necessário sobre a área. Mesmo se a sua formação for de outro campo, como o jurídico, por exemplo.
A segunda, por sua vez é focada no conhecimento sobre aspectos conceituais de proteção de dados.
Inegávelmente, a terceira diz respeito à implementação, isto é, uma prova mais prática, que mostra se o interessado na certificação saberá de fato tomar decisões baseadas no conhecimento comprovado anteriormente.
Preparação.
Como efeito, surgem inúmeros curso preparatório. já que a partir deles é possível ter acesso a conteúdos que abordam de forma didática a LGPD e as implementações dela.
Mas além dos curso, existem outras formas de se manter atualizado sobre o tema é aconselhável manter contato com grupos que tratem de privacidade de dados.
Afinal, essa é a essência da LGPD e do DPO. Existem diversos grupos, tanto a nível nacional quanto regional. Como resultado, é importante essa troca de conhecimento, estar em contato com quem também está trabalhando e aprendendo sobre a área.
Quais os principais desafios do DPO?
Neste caso, o primeiro desafio é posicionar-se adequadamente na estrutura organizacional da empresa. Como o DPO vai impedir projetos idealizados pela cúpula da empresa? Como se, a possível falta de autonomia de um DPO interno sugere a contratação de empresas especializadas, nos moldes das auditorias.
Outro desafio é a formação multifacetada e extremamente ampla.
Toda via, trata-se de um profissional raro no mercado, que deverá transitar confortavelmente entre as áreas de Direito e TI. Exigindo conhecimentos que vão do desenvolvimento de software à legislação em segurança digital e jurisprudências adotadas nos tribunais.
Há ainda desafios de ordem trabalhista, o DPO deverá ter conhecimento de absolutamente todos os dados que são capturados e tratados nos servidores da empresa. Porém, ter mais de um DPO geraria conflitos de informações.
Por outro lado, como um único profissional daria conta de toda essa demanda? Essa questão passa por problemas junto à legislação trabalhista, como a limitação de jornada.
Quais as diferenças entre GDPR e LGPD?
A exigência de nomeação de um Encarregado pelo Tratamento de Dados Pessoais na Lei Geral de Proteção de Dados Pessoais é decorrência da inspiração desse normativo à GDPR – General Data Protection Regulation. Um marco europeu de proteção à privacidade na web, elaborado em 2016. Mas cuja vigência só foi iniciada em maio de 2018.
Na GDPR europeia, há uma seção especialmente dedicada ao DPO, molda figura do profissional, determinando os casos em que ele deverá fazer-se presente na empresa, em posição na companhia e tarefas desenvolvidas.
Determina também que a indicação do DPO será obrigatória quando o tratamento de dados for feito por órgão público, empresa que lide com monitoramento massivo de dados pessoais ou quando há processamento de dados sensíveis.
Já a LGPD, não especifica os casos de obrigatoriedade do DPO, deixando implícito que este abrange todas as empresas que tratam dados de terceiros.
Diferenças.
Outra diferença é que a GDPR impõe ao DPO, basicamente, as funções de informação, aconselhamento ou cooperação. Enquanto o artigo 41 da LGPD traz a figura de um sujeito mais ativo, responsável por receber reclamações e resolver problemas ligados ao tema.
Conclusão.
Por fim, o fato é que os empresários tiveram o prazo até agosto de 2020 para incorporar em sua dinâmica a figura do DPO. Lembrando que, sob pena de sujeitar-se a sanções que vão desde advertências a multas diárias pesadas.
Por tanto, importante lembrar também que não é só uma questão de se adequar à lei, é uma questão de respeito ao consumidor e também de viabilização do negócio. Então, quem não se adaptar, vai ter cada vez menos espaço no mercado. Seja para crescer, para vender ou para fornecer serviços e produtos.
A propósito, sua empresa já está preparada para as mudanças trazidas pela LGPD, inclusive sobre o DPO?