O mundo atual está em constante mudança e efusão. Surgem a cada dia novos tópicos para discussão, com a mobilização de pessoas e empresas, bem como também dos governos. Dois dos tópicos mais relevantes na atualidade são a privacidade e a segurança de dados.
Nesse sentido, alguns termos se destacam em meio às conversas: LGPD (Lei Geral de Proteção de Dados), GDPR (General Data Protection Regulation) e DPO (Data Protection Officer, ou Encarregado pelo tratamento de dados pessoais).
O DPO é um dos profissionais mais requisitados nesse novo momento. Sua importância para as empresas é reforçada sempre que o tema surge. Por isso, é fundamental que se entenda melhor esse cargo em perspectiva com o que a lei principal (LGPD) sugere.
Conheça 7 ações para garantir a segurança dos seus dados baixando gratuitamente nosso e-book exclusivo!
O que é o DPO (Data Protection Officer)?
O Data Protection Officer é o profissional encarregado por fazer o intermédio entre uma empresa, os titulares dos dados e as entidades principais de fiscalização. É o gestor principal do programa de conformidade com as leis.
No Brasil, temos a LGPD, que institui a necessidade de um encarregado. Na Europa, isso é feito com a GDPR.
Ou seja, o Data Protection Officer é um profissional estratégico que cumpre a função de ajudar as empresas no processo de adaptação e conformidade com as leis.
Assim, trabalha na comunicação e na fiscalização internamente, de modo que a empresa consiga se posicionar adequadamente no cenário da proteção.
Então, percebe-se que se trata de uma posição mais complexa, interdisciplinar. Veremos mais detalhes ao longo deste artigo. Vamos elucidar as características desejáveis para um Encarregado pelo tratamento de dados pessoais no tópico “Como se tornar um DPO?”.
É importante pontuar que o Data Protection Officer pode ser um profissional interno encarregado das funções, formado dentro da organização ou contratado especificamente, ou uma pessoa de fora.
Contudo, muito se fala hoje de DPO as a service, um modelo de serviço um tanto similar à computação em nuvem.
Empresas especializadas podem oferecer expertise nesse sentido, para atender aos clientes especificamente de acordo com suas necessidades.
Há alguns anos, o mercado nem mesmo conhecia essa posição. Ela foi se tornando mais relevante na medida em que vimos os debates sobre proteção de dados crescerem e ganharem forma.
Diante disso, é preciso entender o contexto, o que faremos no próximo tópico.
Cenário atual da proteção de dados no Brasil
Para entender o contexto, precisamos citar as duas leis mais importantes nesse sentido. Uma foi aprovada na Europa e está em vigor por lá. A outra é de 2018 e foi aprovada aqui no Brasil.
General Data Protection Regulation (GDPR)
A GDPR é a primeira norma geral que regula a proteção de dados nesse novo momento de maturidade digital em que estamos.
Traz uma série de princípios revolucionários que, quando assimilados pelas empresas, devem ajudar a tornar o tratamento de dados mais seguro e saudável para todos.
Um deles é o foco maior no titular, no dono dos dados. Essa pessoa deverá ter o poder de decidir como os dados serão tratados, bem como deverá autorizar o uso. Para isso, a organização, antes do tratamento, deve informar a necessidade e a finalidade de uso.
Outro ponto é que, em casos de incidentes, tudo deve ser muito claro para os titulares. No geral, a lei foca bastante em transparência e em clareza, de modo a evitar ambiguidades e ruídos na comunicação.
Outro fator é a importância do chamado privacy by design — um cuidado com a privacidade desde o início da concepção de produtos. Privacidade como um dos pilares na produção e no design dos itens, portanto.
Vale citar também a diferença entre dados pessoais, dados anônimos e dados pseudo anônimos. Os pessoais são os que permitem identificar uma pessoa diretamente, ao passo que anônimos são o contrário disso.
Segundo a GDPR, o DPO deve estar antenado com todos esses pontos para garantir que a empresa observe isso com o máximo de cuidado.
Lei Geral de Proteção de Dados Pessoais (LGPD)
No Brasil, temos uma versão da GDPR que foi adaptada para a nossa realidade: a Lei Geral de Proteção de Dados. Traz basicamente todos os principais pontos da lei europeia, com apenas leves mudanças.
Diante dessa nova era na segurança da informação, muito se exige das empresas, como a questão do controle do ciclo de vida dos dados, a transparência e uma gestão focada em oferecer autonomia aos titulares.
Caso contrário, a empresa pode sofrer multas sérias ou indenizações. Ou seja, o preço de não se alinhar à norma geral é financeiro e também em reputação. Por isso, a negligência acaba não sendo uma boa ideia.
Quais são as responsabilidades do DPO segundo a LGPD?
Vamos entender melhor as responsabilidades de um encarregado pelo tratamento de dados pessoais segundo a LGPD.
Em uma definição mais geral, podem falar de monitoramento e fiscalização. Além disso, é importante falar em conscientização de todos os membros.
O Data Protection Officer é responsável por repassar a comunicação e as diretrizes da ANPD (agência nacional de proteção de dados) e fazer essa interação com os membros internos. Ou seja, ele deve ser o intérprete entre as partes.
A partir da compreensão do texto da lei e do que a ANPD sugere, o DPO transmite as informações e esclarece o que é importante.
Da mesma forma, essa pessoa deve estar encarregada do treinamento de todos os membros e de equipes específicas para proteção de dados e compliance.
Outra atribuição do encarregado é controlar o privacy by design, garantindo esse cuidado geral com a privacidade e a proteção em todas as etapas. Ou seja, o profissional deve fiscalizar tudo e assegurar a conformidade.
Outra função importante é a criação de relatórios que ajudem a estabelecer a conformidade de uma forma mais prática e concreta. A partir disso, é possível identificar pontos de melhoria e usar indicadores para controlar melhor a adaptação à lei.
No geral, a coordenação do programa de compliance, com a gestão de todas as equipes e das áreas interdisciplinares, é feita pelo Data Protection Officer.
Também é função dele verificar e avaliar os riscos à proteção de dados e à conformidade, de modo a tornar isso mais claro e concreto. Afinal, uma visão madura dos riscos permite traçar e desenvolver planos de ação para combatê-los.
Quais são as responsabilidades do DPO segundo a LGPD?
Vale também mencionar a definição de medidas técnicas que ajudarão de fato a otimizar a segurança. Ou seja, é pensar nas táticas específicas para garantir a proteção em todos os pontos e evitar riscos de segurança.
Nesse sentido, o profissional trabalha diretamente com a equipe mais técnica para a criação de métodos de proteção de dados, combate aos ataques virtuais e outros.
Pode envolver o uso de backups, o uso de criptografia, métodos de recuperação de desastres, etc.
Antes de fechar, precisamos destacar mais duas atribuições: uma delas é o controle do mapeamento de dados; outra é o monitoramento das atualizações com relação à lei geral.
A importância do Data Protection Officer para as empresas
O Data Protection Officer é o elo de ligação entre a empresa e os órgãos de fiscalização. Já pontuamos isso. Agora, vamos desenvolver melhor a questão da necessidade desse cargo e da importância em tempos digitais.
O DPO ajudará as empresas a se posicionarem melhor no cenário das discussões sobre privacidade e segurança. Com isso, a empresa se tornará mais relevante e conseguirá de fato ser referência sobre o assunto.
Isso facilita até mesmo na gestão de novos contatos e clientes. O encarregado pelo tratamento de dados pessoais consegue, na soma dos fatores, melhorar a reputação da empresa, permitindo novas negociações e oportunidades financeiras.
Além disso, também é importante ter um bom DPO a bordo por conta de questões financeiras. Um Data Protection Officer organizando o compliance e trabalhando com as equipes técnicas ajuda sobretudo a controlar os custos e gastos.
Uma vez que menos desastres e problemas financeiros ocorrem, é viável administrar melhor as finanças e evitar essas despesas extras.
Um DPO é importante também em termos de organização da área de compliance. Quando se tem um profissional encarregado (ou um comitê) apenas para isso, torna-se viável esquematizar melhor as soluções para alcançar a conformidade.
Ou seja, a empresa necessariamente terá que estruturar processos, reuniões, documentos e estratégias para proteger os dados e criar as condições de compliance.
Como se tornar um DPO?
Agora, vamos falar um pouco mais sobre o cargo e a carreira de encarregado pelo tratamento de dados pessoais e sobre como ingressar nesse mercado.
Falaremos sobre três aspectos: perfil esperado, as certificações e o salário.
Perfil esperado
O perfil do Data Protection Officer ideal é um perfil interdisciplinar, de alguém que sabe se comunicar e interligar diferentes frentes da empresa.
Afinal, deve ser uma pessoa com bom arcabouço para leitura e interpretação das leis, mas também com bom conhecimento sobre segurança e privacidade.
Ou seja, envolve conhecimento sobre como lidar com as leis e normas, a interpretação delas e a criação de mecanismos para aplicá-las. Contudo, deve também entender a linguagem técnica para fazer a mediação.
Por isso, é muito comum que profissionais de DPO sejam pessoas do Direito, com especialização em Direito Digital. Ou seja, pessoas focadas nessa área mais técnica.
Algumas até mesmo aprendem programação e a lidar com softwares para poder melhorar em suas atribuições. Ou se especializam na segurança, aprendendo mais sobre redes também.
Sobretudo é preciso saber trabalhar em equipe, entender a importância de se manter sempre atualizado e saber aprender coisas novas sempre.
Quais certificações são precisas?
Um certificado interessante é o que foca na norma ISO/IEC 27001. Também existem cursos bons focados em privacidade e na interpretação do conteúdo das leis mais relevantes (GDPR e LGPD).
Nesse sentido, é importante atentar para o fato de que existem muitos cursos disponíveis por aí. Até mesmo trilhas com várias formações.
Qual é o salário de um DPO?
Estima-se que um Data Protection Officer ganhe no Brasil cerca de R$ 21 mil reais, segundo o site Vagas.
Quais empresas precisam de um DPO?
Hoje, todas as empresas podem se beneficiar de um cargo estratégico como esse.
Companhias que já começaram um projeto de segurança e de proteção podem melhorar ainda mais seus esforços, com a definição de uma pessoa (ou uma equipe) que ficará responsável por organizar a questão.
Empresas de tecnologia ou de áreas mais técnicas ganham com a expertise em Direito de um profissional desses. Por outro lado, empresas do setor jurídico, por exemplo, podem ganhar com o conhecimento mais técnico, focado em segurança.
Até mesmo organizações da contabilidade e de outras áreas percebem um profundo avanço.
No geral, as empresas que gerenciam dados pessoais precisarão pensar em um encarregado como uma obrigação, e não só como um algo a mais. Afinal, pode ser custoso em termos financeiros e em termos de imagem a negligência e a falta desse cuidado.
DPO interno ou DPO as a service?
Existe o DPO interno e o DPO as a service. O DPO interno é alguém da própria empresa, contratado ou promovido, que está alinhado internamente aos objetivos, aos valores e à cultura da companhia.
É alguém da casa, com atribuições típicas. Que dialoga melhor com os outros colaboradores, portanto.
Por outro lado, o DPO como um serviço é um encarregado contratado, um especialista de fora, que pode trabalhar em uma empresa especializada em conformidade com as leis de privacidade.
Nesse caso, envolve uma gestão específica para definir o alinhamento entre as partes, inclusive com documentação formal que ajuda a esclarecer isso. Os direitos e deveres de cada um devem estar bem estabelecidos.
Entenda como funciona a anonimização de dados!
Conclusão
O DPO é um profissional específico que tem o dever de governar a questão do compliance nas empresas. É uma pessoa com capacidade interdisciplinar para coordenar áreas distintas, fiscalizar os membros internos, criar mecanismos de proteção e regulação, etc.
Nesse sentido, é interessante entender mais sobre esse cargo e sobre qual é o perfil típico e esperado. Assim, é possível amadurecer a ideia de contratação de um Data Protection Officer em uma organização.
