A PRAZEROSA TRILHA PARA A FORMAÇÃO EXIN DPO

Com a entrada em vigor da Lei Geral de Proteção de Dados Pessoais (LGPD) e minha recente certificação em DPO pelo EXIN, tenho sido questionado sobre cursos relacionados à LGPD e GDPR e suas certificações, mais especificamente à certificação de Data Protection Officer (DPO), o Encarregado pelo tratamento de dados aqui no Brasil, então resolvi escrever sobre o assunto e tentar clarear um pouco este caminho para os interessados e curiosos.

Há algumas certificações sobre o tema no mercado brasileiro e internacional como, por exemplo, as concedidas pela International Association of Privacy Professionals (IAPP) ou pela Itcerts, mas como não as conheço o suficiente para fazer uma abordagem válida, vou me abster de falar sobre estas certificações. Certificação é uma boa prática de mercado, sempre muito bem vista por todos, inclusive órgãos reguladores.

Vou me ater a abordar os exames e certificações do EXIN, pois foi a certificadora que escolhi para meus estudos e nos quais estão baseadas minhas metas de trabalho. Mas primeiro, para entender o contexto, acho interessante descrever meu histórico no assunto. Quando a LGPD foi publicada em agosto de 2018 eu estava iniciando meu Trabalho de Conclusão de Curso na especialização em Governança em TI e há treze anos trabalhava na Vice-Presidência de Tecnologia da Caixa. Foi amor à primeira vista e provoquei meu orientador para trocar meu tema (era sobre metodologia híbrida – preditivos + ágil – em projetos de implantação de big data), que ficou sendo “Observação em Governança em TI – Os Impactos da Lei Geral de Proteção de Dados Pessoais”. De lá para cá tenho feito cursos diversos, assistido webinários e palestras (online e presencialmente, quando era possível), lido muito e participado de grupos de discussão sobre a Lei e seus temas correlatos, como gestão de riscos, metodologias de gestão de projetos, frameworks de decisão, segurança da informação, proteção de dados e privacidade. E dentre estes, este ano dediquei-me à trilha de certificação para DPO da EXIN.

A EXIN é uma certificadora internacional (Holandesa), mas que tem grande aceitação em muitos países, dos quais podemos destacar o Brasil, tanto que Português do Brasil é um dos seis idiomas em que é possível fazer todos os três exames da trilha e um dos três do “extra” ISMP (vou falar nisso mais adiante). Ela tem o site em versão para o Brasil , o que facilita muito nossa vida por aqui.

Não há curso preparatório ou prova únicos para a certificação em DPO pela EXIN, mas a composição de três certificações independentes e específicas (que vou chamar de trilha DPO daqui para frente) que habilitam a receber este certificado: Information Security Foundation based on ISO IEC 27001 (ISFS), Privacy and Data Protection Fundation (PDPF) e Privacy and Data Protection Practitioner (PDPP). Basta ser aprovado nestas três certificações que a EXIN concede o certificado de DPO na sequência. Não há exigência na ordem de realização dos exames, mas aqui vai a primeira dica: faça na ordem acima. começar pelo mais simples, seguir com uma pequena mudança de tema, mas ainda em um módulo mais básico e finalizar aumentando a dificuldade, mas sobre o mesmo tema. Também considero que o conhecimento do conteúdo do ISFS seja útil nos exames seguintes. Mais adiante, escreverei sobre cada um dos certificados e, assim, a estratégia ficará mais clara.

Só por curiosidade, esclareço que a EXIN separa suas certificações em Programas e no caso da certificação para DPO, duas estão vinculadas ao programa EXIN Privacy And Data Protection (PDPF e PDPP) e uma pertence ao programa EXIN Information Security Management ISO/IEC 27001 (ISFS). Também há a classificação das certificações quanto Nível e neste caso temos duas do nível Fundamental (PDPF e ISFS) e uma do nível Avançado (PDPP).

A prova da certificação ISFS exige conhecimento sobre conceitos de informação e segurança, o valor da informação, a importância da sua confiabilidade, riscos, a relação entre as ameaças e a confiabilidade, a política de segurança, o estabelecimento da segurança da informação, as medidas físicas, técnicas e organizacionais e a importância e funcionamento da legislação e regulamentos. São 60 minutos para 40 questões, com necessidade de 65% de acertos (26 questões) para aprovação. Dica: o livro Fundamentos de Segurança da Informação com base na ISO 27001 e na ISO 27002, da Ed. Brasport e tradução de Alan de Sá foi usado como bibliografia básica para a elaboração do exame e tem até um simulado no final. Não é exigido requisitos prévios nem que tenha sido feito um curso preparatório.

O exame para a certificação PDPF também tem duração máxima de 1h para responder 40 questões e o mínimo para aprovação é o mesmo, isto é, 26 acertos (65%). O conteúdo cobrado no exame abrange os fundamentos, a regulamentação, a organização e as práticas de privacidade e proteção de dados. Dica: tanto o PDPF quanto o PDPP são baseados na General Data Protection Regulation (GDPR), que é a legislação da União Europeia. Apesar da LGPD ter sido inspirada na GDPR, há diferenças como, por exemplo, prazos, termos e aprofundamentos. Para este exame também é permitido o auto estudo, isto é, não é necessário ter passado por um curso preparatório, nem tão pouco são exigidos pré-requisitos.

Deixar o mais difícil por último (PDPP), além dos motivos já expostos antes, traz para o final aquele mais exigente e com características levemente diferentes: são até 2h para a realização da prova, que também necessita de 26 acertos em 40 respostas, mas são questões um pouco mais extensas que as da PDPF, cobrando, principalmente, soluções para casos práticos baseados nos conceitos vistos no Foundation. Para este exame é necessário ter feito curso preparatório em entidade credenciada pela EXIN e ter elaborado com êxito, durante o curso, trabalho com estudo prático (será que é daí que vem o nome Practitioner?). Dica: escolha uma entidade reconhecida no mercado, pois além de toda a responsabilidade usual de ministrar o curso preparatório, ela será também responsável por informar a EXIN sobre o seu trabalho prático.

Alguns pontos são comuns aos 3 exames: há regras rígidas para o momento da realização do exame como, por exemplo, não é permitido consultas, utilização de dispositivos, interação com outras pessoas ou até mesmo utilizar fones de ouvido durante a realização da prova; o exame é todo monitorado, desde o log de atividades do computador em que você está realizando a prova (para evitar que ocorra utilização de outros aplicativos) até as imagens da câmera de vídeo (que deve ser nativa ou instalada no computador) que deverá estar gravando seus movimentos (é orientado, inclusive, que o aluno não desvie o olhar da tela); é solicitado ao aluno que antes de iniciar a responder, grave todo o ambiente onde a prova está sendo realizada; não é permitida a utilização de monitor adicional. E aqui vai mais uma dica: peque pelo excesso, filme todo o ambiente, detalhadamente e procure estar em um ambiente silencioso, de preferência um cômodo fechado, sem nenhum som ou interação possível e não desgrude os olhos da tela até terminar.

Previamente à realização do exame é necessário baixar o aplicativo de monitoramento indicado pela EXIN, pois é por meio dele que serão realizadas as gravações do ambiente e da realização da prova e a captura do log de atividades do computador. Antes da realização das provas aconselho (alerta de dica!) a leitura atenta das políticas, regras e manuais de realização de exames gravados e outros documentos cujos links e solicitação de leitura vêm na mensagem que a EXIN envia sobre a realização da prova (onde vem também o link e senha).

Talvez não fosse necessário lembrar, mas vá para o exame hidratado, confortável e com o sono em dia. Estar atento depende destes fatores também… E um ponto de atenção é que as orientações e passos a serem seguidos antes do início do exame são em inglês, mesmo que a prova tenha sido contratada no idioma Português do Brasil e a melhor maneira de estar preparado para isso é atender à dica anterior. E temos aqui outra dica: não esqueça de assinalar o idioma Português do Brasil na hora da contratação do exame!

Logo após o final da prova, a EXIN já fornece o escore provisório, indicando quantos acertos foram atingidos, mas ressaltando que é apenas para ciência, pois o resultado definitivo, junto com o certificado, virão somente depois da análise das gravações e logs da realização da prova, no prazo máximo de 10 dias úteis. Teve certificado que recebi no dia seguinte e outro que recebi no prazo máximo (já estava até preocupado…). Em seguida ao envio do certificado de aprovação do último dos três exames a EXIN envia também o certificado de DPO, automaticamente.

Trilha de DPO completa, vou falar sobre dois extras: a certificação Privacy and Data Protection Essentials (PDPE) e a Information Security Management Professional based on ISO/IEC 27001 (ISMP). A PDPE faz parte do mesmo programa da PDPF e PDPP, mas não é requisito para a certificação DPO. Aqui no Brasil ela é baseada na nossa LGPD e, portanto, serve para quem quer uma certificação que indique este detalhamento de conhecimento. A prova é composta de apenas 20 questões, mas a exigência é a mesma (65% de acertos = 13 questões). Alguns cursos preparatórios para o PDPF fazem uma pequena extensão e já preparam para o PDPE. Quanto ao ISMP, esclareço que ainda não fiz, mas já estou matriculado em curso preparatório para novembro e farei a prova, buscando não só a certificação pertinente, mas como já tenho as certificações PDPF e ISFS (da trilha DPO), ao conquistar a ISMP recebo junto a de Information Security Officer (ISO), da mesma forma que recebi a de DPO ao concluir a trilha. Então a dica é: apenas com um esforcinho a mais é possível conquistar mais uma certificação de formação Officer e estar melhor preparado com conhecimentos relacionados…

Pareceu difícil? Mas não é não. Só é preciso atenção aos detalhes e, é claro, estudo. E quando chega o certificado de DPO a satisfação é tão grande que qualquer esforço fica insignificante. Ser reconhecido é muito bom! E o caminho do aprendizado, quando se faz o que gosta, é sempre prazeroso. Prazer em estudar, prazer em aprender, prazer em compartilhar conhecimento. E no fim, ainda tem o certificado! Depois que obtive o certificado, tenho sido consultado para falar de vários assuntos relacionados, além de ter a sensação de que há mais credibilidade quando falo. Certificação não é tudo… Postura, empatia, boa comunicação e conhecimento são muito importantes, mas certificados ajudam…

Dito tudo isso, resta desejar boa sorte e deixar uma última dica: faça os cursos preparatórios (mesmo que não seja obrigatório) e realize o máximo de simulados possíveis; além dos simulados fornecidos pelo próprio curso e dos disponíveis no site da EXIN, pesquise por pacotes de simulados disponíveis em sites ou aplicativo de cursos online; vale a pena, pois o contato com questões extras é muito proveitoso.

E o mais importante de tudo: não desista, persista!

Luis Alberto Candia Ramirez – Graduado em Administração, com especialização em Governança em TI, nos últimos anos aprofundando estudos sobre inovação, liderança, frameworks de tomadas de decisão, metodologias ágeis, gestão de riscos, compliance, segurança da informação, proteção de dados e privacidade. Recentemente certificado como Data Protection Officer (DPO) pela EXIN. Experiência em gestão de projetos e liderança de equipes, nos últimos anos atuou como gerente nos projetos de integração da Caixa à QUOD e de implantação de Big Data na Caixa, também colaborando na formação do portfólio de projetos da VP Tecnologia da Caixa para o ano de 2020. Atualmente, como Assistente, atua no Grupo de Trabalho para adequação da Caixa à Lei Geral de Proteção de Dados Pessoais (LGPD) como responsável pela Frente de Aculturamento.