Data Protection Officer: conheça a atuação desse novo profissional no país

Nos últimos anos vimos o dano que a falta de proteção e possíveis vazamentos de informações podem causar, como a influência das mídias sociais nas eleições americanas, informações confidenciais do Facebook vazadas, entre outros acontecimentos.

O mundo virtual está em crescimento todos os dias, e a proteção dos dados é essencial para que a confidencialidade de uma companhia não seja comprometida. E para que os dados sejam resguardados de forma segura judicialmente, surgiu o Data Protection Officer (DPO) ou, em português, diretor de Proteção de Dados.

De acordo com a lei LGPD (Lei Geral de Proteção de Dados – 13.709/2018), a profissão entrará em vigor em agosto de 2020. O especialista será responsável pelo aconselhamento sobre as normas vigentes relativas à proteção de dados pessoais, o monitoramento do cumprimento do GDPR (General Data Protection Regulation) pela entidade a que está vinculado e a cooperação com as autoridades públicas supervisoras da norma.¹

Mas como, de fato, será a rotina desse profissional? Para sanar suas dúvidas sobre o que está por vir, conversamos com Sidnei Silveira, gerente do Núcleo de Direito Digital e Proteção de Dados na Kemetz & Kuhnen Advocacia e José Bungart, DPO na Cyber Consulting. Confira!

1 - Como é a rotina do profissional de DPO? E qual o envolvimento dele com as demais áreas?

Sidnei Silveira (DPO da NK advocacia) – O profissional de DPO tem uma rotina de estruturação e de manter uma documentação formalizada dos dados, como o fluxo, localização, se os ativos que os suportam estão protegidos, quais são os dados pessoais sensíveis e bases de tratamento para cada tipo de dado. Além disso, é importante também se preocupar com a jurisprudência. Conforme as decisões saem sobre bases de tratamento e pontos da lei, pode ser necessária a adaptação da documentação e, ao mesmo tempo, ainda evoluindo com os planos de ação previamente acordados.

O envolvimento dele com as demais áreas acontecerá sempre, seja fomentando que todos assinem a política, conscientizando os colaboradores com palestras, compartilhando informações pessoais com secretárias ou até mesmo guardas de portarias. As áreas mais altas também estão envolvidas, como a equipe jurídica em relação aos dados pessoais de sócios e o RH, com dados pessoais de candidatos e colaboradores.

É importante frisar que o especialista irá liderar esse controle, mas não é o único responsável. É fundamental que as demais áreas estejam atentas a proteção das informações. O papel do DPO é fomentar a mensagem e ser o responsável legal pela documentação final.

José Bungart (DPO na Cyber Consulting) – A rotina do DPO deve ser de muita interação com todas as áreas internas da empresa, estar atento a todas as atividades que possam levar ao uso de dados pessoais. Deve se envolver em todas as questões relacionadas à proteção de dados, desta forma, o bom relacionamento com todas as áreas é fundamental.

Ele é figura central da empresa quando o tema for privacidade e proteção de dados pessoais, muitas áreas, diria que na maioria dos casos, consultam o DPO para sanar dúvidas sobre as leis, regulamentos e a forma correta de proteger os dados pessoais. O especialista atua como um “conselheiro” sobre o assunto para todas os departamentos da empresa e orienta os funcionários sobre as melhores práticas para a proteção de dados pessoais.

Outra atividade importante dele é a comunicação com a Autoridade Nacional de Proteção de Dados (ANPD) e os titulares dos dados, aceitando reclamações, prestando esclarecimentos e adotando as providências necessárias para o cumprimento da lei.

2 - De que forma o DPO contribui para as estratégias do negócio?

Sidnei Silveira – Ele é responsável pela proteção e privacidade dos dados. Por exemplo, quando há priorização de projeto para investir em alguma área, é importante checar os maiores riscos e baseado neles, definir qual projeto deve ser priorizado, onde há necessidade de investir primeiro, etc.

Nessa dinâmica, o especialista deve não só priorizar, mas também interromper algum projeto caso viole questões de privacidade. Em alguns casos o processo não avança, pois não há base legal.

Eu vejo uma grande interação grande com o marketing, uma vez que a área lida com dados pessoais de possíveis clientes e, diariamente, recebe uma alta quantidade de informações.

De modo geral, o especialista está presente nas estratégias de todas as áreas, desde as mais importantes que se encontram os cargos mais altos, até as menores que, de qualquer forma, devem ser protegidas para garantir a privacidade no momento da concepção do projeto até o término dele.

José Bungart – Assim como no passado, houve a necessidade de alinhamento da estratégia da área de Tecnologia da Informação estar conectada com as estratégias de negócios, agora, com as novas leis de privacidade GDPR (Lei Europeia) e LGPD (Lei Brasileira), as estratégias do negócio terão que estar alinhadas com as diretivas de privacidade e proteção de dados.

As mudanças na forma que as empresas tratam os dados das pessoas físicas sejam clientes ou funcionários, muda drasticamente com a LGPD. A importância que se dá à proteção dos dados pessoais é, acima de tudo, uma mudança cultural. O cuidado com a privacidade e a proteção dos indivíduos deve ser tomado desde a concepção de um novo projeto, produto ou serviço, é o que é chamado de Privacy by Design. As estratégias da empresa devem estar alinhadas com esse conceito, o DPO, que tem um papel independente dentro da empresa, deve atuar fortemente na disseminação desse conceito e na mudança de cultura.

3 – Qual a diferença entre DPO interno e externo?

Sidnei Silveira – Quando falamos em DPO interno, nos referimos a um profissional imerso nas operações de uma só organização. Em médias e grandes empresas que contam com muitos departamentos é difícil, externamente, fazer a gestão da privacidade de projetos e processos em todas as áreas. Então, nesses casos, pode haver uma equipe com mais de um DPO.

Já o externo é um DPO contratado, ou seja, há uma terceirização em que esse profissional deve entender e estar preocupado com os processos da companhia, as solicitações de tratamento de dados, por exemplo. É responsabilidade da empresa comunicar que o profissional é externo, ou seja, alguém contratado por fora que atende aos pedidos da companhia.

José Bungart – Tanto o GDPR quanto a LGPD permitem que o DPO seja um funcionário da própria empresa, chamado de DPO interno, ou uma empresa contratada para tal função, DPO externo. O interno deve ter total independência na empresa, reportando para o mais alto nível hierárquico, isso evita interferências ou influências no seu trabalho.

Ele pode ter, naturalmente, um trânsito melhor nas áreas da empresa do que um DPO externo, porém, dependendo do porte da empresa e do volume de processamento de dados pessoais, a empresa terá que criar uma nova área, consideravelmente grande, para tratar todos os assuntos de privacidade e proteção de dados, não somente uma pessoa com o cargo de DPO. Nesse cenário, cabe à empresa analisar a viabilidade e melhor efetividade da contratação de um DPO externo. Muitas empresas estão sendo criadas e estruturadas com esse objetivo, possuir uma equipe multidisciplinar que atue como DPO para vários clientes ao mesmo tempo.

4 – Quais são as competências técnicas e certificações que o colaborador da área deve ter?

Sidnei Silveira – A MP 869 definia que o profissional de DPO deve apresentar conhecimentos jurídicos regulatórios para atuar no mercado, porém essa exigência foi vetado pela Presidência da República sob justificativa de não criar uma reserva de mercado.

Atualmente não temos definido na lei as competências como ocorre na Europa (GDPR). De qualquer forma, acredito que o especialista deverá ter competência técnica para ler uma jurisprudência. Não é necessário ser advogado, mas precisa entender com mais profundidade, até porque algumas fontes estão na constituição e outras leis. Ou seja, precisa conhecer nosso arcabouço jurídico. Além disso, conhecimento em TI (Segurança da Informação) é fundamental, alguém que saiba o que é um ativo, como ele se relaciona com a informação dentro dele etc.

Em relação às certificações temos a holandesa Exin, que trata do dia a dia do profissional, mas também da adequação a lei, que é muito importante.

José Bungart – A LGPD não especifica claramente as competências que o DPO deve ter, no GDPR o perfil do profissional está melhor definido. Independentemente do que está descrito na lei, o DPO deve ser um profissional com muitas competências e habilidades técnicas, certamente deve conhecer muito bem a LGPD e outras importantes leis e regulamentos correlatos, como o Marco Civil da Internet, Código de Defesa do consumidor e Cadastro Positivo.

O DPO deve conhecer também a área de Tecnologia e Segurança da Informação para ser capaz de identificar os sistemas e as vulnerabilidades que a empresa possui, para analisar riscos e aconselhar com soluções, não em um nível aprofundado tecnicamente, mas que possa dar a diretiva correta. Uma terceira competência é na área de Governança e Negócios, o DPO deve ser capaz de entender o negócio da empresa e habilidade para balancear os interesses da empresa com os direitos dos indivíduos.

Existem duas principais certificações internacionais de formação de DPOs, uma da certificadora holandesa Exin, e a do IAPP (International Association of Privacy Professionals). A formação DPO da Exin abrange três exames de certificação, o primeiro é o Information Security Management (based on ISO 27001) focado nos conceitos de Segurança da Informação, e mais dois exames de Privacidade e Proteção de Dados, uma de nível básico e outra de nível avançado, ambos os exames são baseados no GDPR. Após as três certificações a Exin emite o certificado de DPO. Para a LGPD a Exin possui uma certificação específica, que é o Privacy and Data Protection Essentials.

As certificações do IAPP são divididas em três áreas: Leis e Regulamentos (CIPP), Operações (CIPM) e Tecnologia (CIPT). A certificação CIPP é dividia em regiões diferentes, devido às regulações diferentes, focadas em Ásia, Europa, Canadá e Estados Unidos.

5 – A lei LGPD (Lei Geral da Proteção de Dados) entrará em vigor somente em agosto de 2020 no país, trazendo a necessidade das companhias se adaptarem à normativa. Qual o prazo para que as mudanças sejam feitas? Contratar um prestador de serviços (colaborador externo) para assumir a área é a melhor saída?

Sidnei Silveira – O prazo é 14 de agosto de 2020, mas uma adequação correta – até pelo o que vemos na Europa – necessita de uma mudança cultural na organização. Não é possível contratar cinquenta consultores e fazer a implantação em dois meses, porque o resultado disso serão documentos que não servirão para nada. O ideal é começar o quanto antes e, para que a adequação seja saudável, deve levar entre nove a doze meses.

Trazendo um exemplo interessante, que representa a falta de incorporação de cultura na proteção de dados nas corporações, é uma consultoria na Grécia que levou uma multa – baseada na lei GDPR – que pedia aos funcionários a assinarem um contrato de consentimento. Ficou claro que, como existia uma relação de subordinação, é impossível que o consentimento seja livre em relação ao colaborador. Dessa forma, o processo foi invalidado e a empresa multada.

O exemplo acima nos mostra que é fundamental termos um DPO para nos auxiliar, já que uma atitude como essa pede por orientação prévia. Sobre treinar a equipe ou contratar uma consultoria, trata-se de uma questão cultural peculiar da organização. Não existe bala de prata nem receita de bolo. Cada organização precisa pensar, se preparar, procurar ajuda se for o caso e principalmente mostrar responsabilidade no tratamento de dados pessoais.

José Bungart – Em 14 de agosto de 2020 em vigor a LGPD, com suas multas, sanções e penalidades para empresas que não se adequarem, portanto, essas empresas têm praticamente o prazo de 12 meses para que as mudanças sejam feitas para que se adequem à nova lei.

A melhor alternativa para que as empresas vençam o desafio, independentemente de ser prestador de serviços (externo) ou um colaborador, é utilizar de mão de obra adequada, qualificada e de acordo com a lei. Entretanto, o colaborador deverá ser muito bem treinado, pois a lei é complexa e as adequações de medidas técnicas e organizacionais são muitas. Já a contratação de uma consultoria externa, principalmente se já possuírem experiência em GDPR, poderá acelerar o processo de adequação e estarem preparadas mais rapidamente para assumir a área de privacidade e proteção de dados.