DPO, ser ou não ser, eis a questão

DPO, ser ou não ser, eis a questão – tendência, profissão da moda ou uma nova oportunidade no mercado? DPO, profissão que surgiu com a LGPD ainda é novidade no Brasil e as vagas estão aumentando diariamente. A lei trouxe três figuras novas, o Controlador, o Operador e o Encarregado de Proteção de Dados – também conhecido como DPO, o Data Protection Officer – função que é tema desse artigo.

Agora em setembro o Brasil chega ao primeiro aniversário da vigência plena da Lei Geral de roteção de Dados Pessoais (LGPD). De lá para cá, muita coisa já aconteceu. As empresas finalmente começaram a lançar seus projetos de adequação à legislação, procurando entender onde estão localizados os seus principais riscos com relação ao tratamento de dados pessoais.

Inicialmente, uma parte significativa das empresas de grande porte indicou um DPO. Por outro lado, entre as empresas de pequeno ou médio porte, a grande maioria nem sequer começou um projeto de adequação à LGPD, quanto mais definiu e indicou seu Encarregado de Dados.

Mas quem precisa indicar um DPO?

Fazendo uma paráfrase da lei, todo Controlador ou Operador que realizar operações de tratamento de dados pessoais precisa indicar este profissional, podendo ser um funcionário interno contratado da empresa ou um terceiro, numa relação de prestação de serviços.

Esta obrigatoriedade, como especificada na LGPD, pode passar por mudanças, porque foi lançada pela Autoridade Nacional de Proteção de Dados (ANPD) uma consulta pública e as inscrições para audiência pública sobre a norma de aplicação da LGPD para microempresas e empresas de pequeno porte, onde empresas deste tipo poderão estar desobrigadas de alguns pontos previstos na lei, inclusive da indicação de um encarregado. Para isto acontecer é necessário não haver:

  • o tratamento de dados sensíveis ou dados de grupos vulneráveis, incluindo crianças e adolescentes e idosos;
  • vigilância ou controle de zonas acessíveis ao público;
  • o uso de tecnologias emergentes, que possam ocasionar danos materiais ou morais aos titulares;
  • o tratamento automatizado de dados pessoais que afetem aos interesses dos titulares;

Em tempo: a lei prevê que a publicação da identidade do DPO, de preferência no site da organização, seja obrigatória. Por publicação da identidade se entende, inclusive, o nome do Encarregado de Dados, fato que, na prática, não tem sido observado por muitas empresas.

Quais são as principais responsabilidades de um DPO?
É possível imaginar uma agenda cheia para esse profissional, com muitos assuntos a serem tratados. A legislação prevê que cabe a ele aceitar as reclamações e comunicações dos titulares de dados, receber as comunicações da ANPD e adotar suas providências. Além disso, está entre suas funções capacitar os colaboradores e terceirizados (isso mesmo, os terceiros também!) com relação à proteção de dados pessoais e, por fim, executar demais atribuições determinadas pelo Controlador ou estabelecidas em normas complementares.

Nos treinamentos da Trilha de Certificação DPO by EXIN que ministro, há um bom número de advogados, profissionais de tecnologia e de muitas outras áreas de atuação. De forma recorrente, os alunos perguntam qual o perfil de um Encarregado? Essa resposta precisa fazer uma menção do GDPR (o regulamento de proteção de dados da Comunidade Europeia) que diz que o DPO precisa possuir conhecimentos jurídico-regulatórios e de segurança da informação. Esta descrição não consta na LGPD, mas tem um sentido bastante apropriado. Isso porque a atuação do DPO enfrentará essas duas áreas de conhecimento nas suas rotinas de trabalho.

Trabalho em equipe, sempre
Entre as perguntas dos alunos, há muitos questionamentos sobre como será o dia a dia deste profissional. Pode-se dizer que o Encarregado de Dados precisa gostar de trabalhar em equipe, uma vez que essa não é uma atividade que ele poderá desempenhar sozinho (jamais!).

Outro ponto importante é que esse profissional tenha iniciativa em visitar as áreas, conhecer os processos, entender como são feitos os tratamentos de dados na empresa. É muito provável que essa função, no seu dia a dia, sofra pressão principalmente quando um incidente de segurança se transforme numa violação de dados. Por fim, ele deve se manter atualizado, porque, com certeza, ocorrerão regulamentações na lei que trarão novos cenários.

Por falar no cotidiano do Encarregado, ele terá como prioridade atender e encaminhar a resposta das demandas dos titulares que sejam apresentadas na organização. Outra atividade é participar na investigação de incidentes de segurança e violações de dados, trabalhando em planos para que eles não mais aconteçam.

Outro aspecto importante é a forte relação com a confidencialidade que este profissional terá. Para exercer seu trabalho, ele terá muitas vezes acesso a informações consideradas confidenciais ou sensíveis, tudo isso sendo feito com independência e de preferência reportando ao mais alto nível da organização, garantindo a sua autonomia e isenção de possíveis conflitos de interesses em suas ações, pareceres e decisões.

É necessário mais uma vez frisar que a função de DPO não deve ser solitária, muito menos abandonada. O comitê de segurança deve servir como uma estância de refúgio para ele, formado, no mínimo, pelas áreas de Recursos Humanos, Tecnologia e Jurídico, podendo ter convidados especiais fixos ou ocasionais como Comunicação, Marketing, Aquisições, Comercial e muitos outros setores, dependendo do segmento de negócio da empresa. A participação do DPO neste comitê é obrigatória.

Desafios a curto prazo

Hoje, o mercado de trabalho não encontra esse profissional pronto. Na verdade, há poucos profissionais com experiência na área, onde um anúncio típico de emprego exige que o candidato tenha dez anos de experiência em LGPD, tenha escalado o Everest sem oxigênio, entre outros requisitos exagerados e, em alguns casos, totalmente desnecessários.

O Encarregado de Dados – ou DPO – é uma nova profissão, que não existia até pouquíssimo tempo atrás, recheada de desafios e com forte tendência de crescimento, seja numa relação com um contrato de trabalho ou mesmo na prestação de serviços, onde certamente o bom profissional, idôneo e bem capacitado, terá destaque.

Para o ano que vem já há a previsão de que a função tenha um CBO (Código Brasileiro de Ocupação), formalizando ainda mais esta nova profissão. O reconhecimento da função estará centrado na capacidade do profissional em atuar nas frentes técnicas e de legislação, conhecendo o negócio e conduzindo a empresa para atingir uma cultura madura da segurança da informação.

Uma forma de começar a percorrer essa trilha é buscar cursos relacionados ao setor. É o caso dos treinamentos ofertados pela Exin, que são bastante completos e exigentes quando se pretende obter a certificação (com validade internacional), juntando a experiência profissional e uma boa carga de estudos adicionais.

Mario Toews é DPO (Data Protection Officer), especialista em Segurança da Informação, além de sócio e instrutor certificado da Datalege Consultoria Empresarial. Profissional com mais de 25 anos de experiência como gestor de TI de grandes empresas, nacionais e multinacionais, tem experiência na coordenação de projetos na área de Segurança de Informação, Proteção de Dados, Business Intelligence e Infraestrutura. Na Datalege, ministra cursos para profissionais interessados em obter a certificação internacional  EXIN para a carreira de DPO/encarregado de dados, uma das exigências da Lei Geral de Proteção de Dados (LGPD).

Conheça a trilha completa para a formação EXIN DPO e faça o download do WORKBOOK preparatório para a certificação especial sobre a LGPD (PDPE)