DPO: conheça o “xerife” que cuidará dos dados das empresas na era do LGPD

Views: 46
0 0
Read Time:10 Minute, 13 Second

A Lei Geral de Proteção de Dados, popularmente conhecida como LGPD, finalmente se prepara para entrar em vigor. No último dia 26 de agosto, ela foi aprovada pelo Senado, sob a forma de Projeto de Lei de Conversão (PLC) 34/2020, que prevê que ela passe a valer 15 dias úteis depois de chegar à Casa Civil e ser sancionada pelo presidente Jair Bolsonaro.

Logo, ainda que haja uma discussão ou outra para ver se a lei passa a valer de forma retroativa, é bastante razoável supor que entre em vigor a partir de meados de setembro. Mas, é importante salientar que as penalidades só começam a ser aplicadas a partir de agosto de 2021, de acordo com a Lei 14.010.

Considerando que a LGPD levou vários anos de discussão e sua entrada em vigor já era esperada, uma parte das empresas já está mais preparada para ela. No entanto, outra parte esperava uma data oficial da sua entrada em vigor para começar a se preocupar em se adaptar à legislação. E, em ambos os cenários, uma nova profissão promete ganhar um papel importante no mundo corporativo: a do Data Protection Officer. Ou, simplesmente, DPO.

Mas o que é o Data Protection Officer (ou DPO)?

Em uma explicação mais formal, o DPO é um profissional especializado no âmbito de proteção de dados pessoais e segurança da informação. Ele assegura a conformidade legal e monitoramento dos tratamentos de dados dentro da empresa, sendo o principal canal de comunicação entre a empresa, os titulares dos dados e a autoridade administrativa – no caso do LGPD, esta é a Autoridade Nacional de Proteção de Dados (ANPD), que será formada nos próximos meses.

As principais atuações do DPO são aceitar reclamações e comunicações dos titulares, receber comunicações da autoridade nacional e adotar providências, bem como orientar funcionários e os contratados da empresa a respeito das práticas necessárias ao tratamento de dados pessoais.

Em outras palavras, o DPO funcionará como uma espécie de “xerife” dos dados de uma empresa. Isso vale tanto para as informações dos clientes de uma empresa, como também os dados de funcionários da mesma, que trafegam, por exemplo, por companhias que processam folhas de pagamento, convênios de saúde, fornecem vale alimentação e/ou refeição, entre outras.

“Como ‘guardião’ dos dados pessoais dentro de uma empresa, o DPO de uma companhia deve exigir que todos os projetos que são desenvolvidos dentro de uma organização tenham de passar por ele”, afirmou ao Canaltech Simone Santinato, DPO e diretora da Etek NovaRed Brasil, empresa especializada em segurança da informação. “Ele vai olhar para todas as informações que estão dentro destes projetos e deve questionar quais delas fazem sentido para os negócios da empresa, de forma que ela não enfrente problemas futuros nesse manuseio”.

Ítalo Nogueira, presidente da Associação das Empresas Brasileiras de Tecnologia da Informação (Assespro) tem uma visão parecida com a de Santinato. Para ele, o DPO terá um papel muito similar ao de um ombudman, presente, principalmente, em veículos de mídia. “Entre as atribuições do DPO dentro de uma empresa, ele receberá as reclamações do uso indevido de dados por parte dos usuários, fazendo o link com os departamentos que tratam essas informações”, afirmou. “Além disso, ele será o ‘cara’ da auditoria, que controla e estabelece normas e processos, realiza treinamentos com os funcionários que tratam dos dados de terceiros e internos e também será a ponte com a ANPD, para manter a organização devidamente atualizada quanto às regras da LGPD”.

E quais especializações são exigidas para se tornar um DPO?

“Neste momento, para exercer a profissão de DPO no Brasil, não existe a necessidade legal de credenciamento ou certificação, apesar de existirem uma variedade de cursos e certificações oferecidas no mercado hoje em dia”, afirmou Marco Antonio Loschiavo Leme de Barros, consultor do escritório BFAP Advogados. “No entanto, é importante mencionar que existem empresas independentes certificadoras, como a EXIN que oferece selos no âmbito da privacidade e tecnologia da informação e a International Association of Privacy Professionals (IAPP), que é a principal comunidade global de profissionais de privacidade e que possui certificações sobre a regulação e leis de privacidade na Ásia, Canadá, Europa e Estados Unidos”.

Como ainda não se exige especializações para se tornar um DPO, tais cargos podem ser exercidos por diversos tipos de profissionais. Hoje, advogados, administradores e profisionais de TI são os que mais têm interesse pela posição e que buscam informações sobre ela. “O DPO pode ser visto como o ‘cara chato’ da empresa, já que ele precisa ser muito rígido no tratamento dos dados. Logo, ele deve ter, principalmente, soft skills. Ele deve ser aberto ao diálogo, escutar as dores da organização, entender e modificar os processos da mesma, mas de forma suave, programada”, declarou Nogueira. “Além disso, ele deve ser um profissional bastante orientado a dados, com visão dos impactos positivos e negativos da gestão das informações. E claro, mesmo sem ser advogado, precisa ter um conhecimento profundo dos artigos da LGPD”.

O uso do diálogo constante pelo DPO é reforçado por Santinato, que dá uma dica que pode ser preciosa: a criação de um “comitê de privacidade” nas empresas. “Esse comitê pode ter pessoas dos departamentos de Marketing, RH, Vendas, Jurídico, Novos Projetos, entre outros”, disse a especialista. “Cada área que lida com tratamento de dados deve estar presente neste comitê. Dessa forma, o DPO terá um canal aberto com todos e terá mais acesso ao que está sendo feito com essas informações e pode implementar as boas práticas exigidas pela LGDP com mais eficiência”.

E que ferramentas o DPO têm à disposição para cuidar dos dados de uma empresa?

No quesito Tecnologia, o patamar já está mais adiantado para os DPOs. Já há à disposição no mercado diversas ferramentas que permitem que ele tenha uma visão mais ampla de tudo o que está sendo feito com as informações tratadas dentro de uma empresa.

Uma dessas ferramentas é o software de data mapping. A solução é rodada dentro do banco de dados da empresa e, usando Inteligência Artificial, ela mapeia e pesquisa todas as informações que estão armazenadas lá. Com isso, a tecnologia consegue detectar se há dados replicados, se existem informações dos clientes da organização rodando web afora sem o conhecimento da mesma e que tipo de informação está presente na intranet das próprias companhias. “O data mapping dá visibilidade total ao DPO sobre o que está sendo feito não só com as informações dos usuários na internet, mas também o que acontece com esses dados dentro da própria empresa”, explica Simone.

A especialista da Etek NovaRed Brasil também menciona uma outra solução que promete ser bem útil ao DPO no relacionamento da sua empresa com outras: “É a chamada ‘solução de gestão de risco de terceiros’ “, explica ela. “O DPO insere o domínio de uma empresa que está fazendo negócios com a sua. E ferramenta permite que você verifique todo o posicionamento digital dessa organização. Dessa forma, você terá uma boa noção com quem você está lidando, criando uma estrutura e exigindo onde a empresa terceira deve melhorar antes que os negócios prossigam. Ou não. Dessa forma, sua companhia não será comprometida por falhas alheias”.

Simone cita ainda uma terceira solução, que cuida da governança da privacidade: “Nessa plataforma você coloca uma série de dados de clientes, empresas com quem a sua mantém um relacionamento e até mesmo os dados dos funcionários e processos como entrevistas e feedbacks”, descreve a especialista. “Essa plataforma cria uma teia complexa de informações e entrega o mapeamento do processo de cabo a rabo. Dessa forma, o DPO entende como esses dados estão sendo manuseados. Logo, ele tem um panorama total das informações. Até mesmo cookies de navegação são registrados”.

Para ítalo, da Assespro, de fato, não faltam ferramentas tecnológicas à disposição do DPO. “Algumas soluções de data mapping, por exemplo, conseguem detectar até mesmo se alguém de dentro da companhia tentou furar algum processo que coloque em risco o tratamento dos dados”, afirmou ele. “Além disso, o Blockchain também ajudará muito no trabalho de um DPO, já que ele consegue registrar um histórico do uso desses dados. Sem contar a criptografia. As empresas poderão usar soluções que criptografam documentos e dados que vão de uma ponta a outra totalmente protegidos. Caso haja algum tipo de interceptação por parte de terceiros, esse arquivo não poderá ser aberto”.

Empresas de todos os tamanhos precisarão de um DPO?

Os três especialistas ouvidos pelo Canaltech são unânimes em afirmar que NÃO. Nem todas as empresas necessitarão de um DPO em seus quadros. “A necessidade em ter um DPO não está tão atrelada ao tamanho da empresa e sim, ao volume de dados que ela processa”, diz Santinato.”Uma empresa de energia, que vende energia elétrica para distribuidoras, por exemplo, se relaciona apenas com outras empresas que compram dela. Mas seu core business não é o tratamento de dados. Logo, mesmo sendo uma companhia de grande porte, não teria a necessidade em ter um DPO. Por outro lado, uma startup pequena, que desenvolve, por exemplo, um app de entregas à domícilio já precisaria de um Data Protection Officer. Isso porque ela trabalha com um volume de dados sensíveis enorme, como endereços, CPF, informações bancárias, etc. Mesmo sendo muito menor que essa empresa de energia”.

Já para Marco Antonio Loschiavo, a LGPD é precisa ao definir que a nomeação do DPO é obrigatória para empresas que realizam o tratamento de dados pessoais no âmbito de sua atividade econômica. “Assim, são destinatários desta legislação empresas que oferecem serviços e bens que exigem o controle regular e sistemático de dados, independente do porte”, explica. “Alguns exemplos se referem aos serviços do e-commerce, do varejo, consultórios e clínicas médicas. É recomendável que esses setores se mobilizem de imediato para rever seus processos, políticas de privacidade e viabilizar o tratamento seguro dos dados de sua clientela, de modo a evitar violações civis, além das administrativas previstas pela LGPD”.

Por fim, Ítalo Nogueira afirma que o mais importante é a empresa entender a necessidade desse profissional e calcular como ele entrará em seu orçamento. “Caso uma companhia entenda que não é necessário ter um DPO dedicado em seus quadros, ele pode contratar uma consultoria que já ofereça esse serviço”, afirma. “Além disso, tão importante quanto os DPOs é a ANPD se cercar de nomes técnicos em seu board, dada a complexidade do tema e para facilitar o relacionamento com as empresas”.

Cursos para se tornar um DPO

Como dissemos logo acima, atualmente, advogados, administradores e especialistas de TI são os vem apresentando maior interesse pela posição de DPO. E procura por esse profissional deve crescer nos próximos meses. No mercado, os salários devem partir de R$ 8 mil e podem passar dos R$ 20 mil.

“Imaginamos que a demanda por encarregados de dados ou o DPO vai crescer muito e uma forma para comprovar o mínimo necessário para atuação na área é, justamente, um certificado, principalmente se a pessoa não tem qualquer tipo de experiência, até porque a profissão é nova. E um certificado será um diferencial”, afirma Rubia Ferrão, facilitadora do painel Proteção de dados pessoais da criança e adolescente do Centro Educacional Renato Saraiva (CERS).

E pensando nessa demanda, a Assespro e suas regionais, em parceria com o CERS lançaram um curso de formação para DPO. Com mais de 20 horas de aula, o curso será na modalidade de ensino à distância (EAD) e terá modalidades como “Panorama legal da proteção de dados e GDPR”, “Limites e desafios da privacidade em ambientes corporativos” e “Laboração do relatório de impacto à proteção de dados pessoais”.

As aulas serão gravadas e disponibilizadas no site do curso no prazo de 48 horas da sua gravação. O aluno poderá assistir a cada aula até três vezes. O público-alvo são os profissionais dos setores jurídico, compliance, gestão, segurança da informação, tecnologia, de empresas com atuação multinacional e nacional.

O curso é indicado para todas as empresas que lidam por meio digital ou papel com dados pessoais, como nome, identidade, endereço, IP, geolocalização, cookies e dados sensíveis, entre eles, origem racial ou étnica, religião, opiniões políticas, dados genéticos, dados biométricos etc. Para mais informações, visite o hotsite da Assespro.

FONTE: CANALTECH

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *