DPO as a Service

CARREIRA DE DPO – Data Protection Officer ou Encarregado de Dados

 

Com a promulgação da Lei Geral de Proteção de Dados - LGPD,  as empresas brasileiras necessitam formar ou contratar um profissional qualificado responsável para implementar seus programas de Proteção a Privacidade.

 

Entretanto, além de implementar a organização deverá a partir de 16 de agosto de 2020 (data prevista para a lei 13.709/2018, entrar em vigor), nomear e disponibilizar o contato com o Encarregado de Dados responsável pelo seu programa. 

 

Na União Européia o Regulamento Geral de Proteção de Dados - RGPD exige a nomeação obrigatória de um Oficial de Proteção de Dados ou Data Protection Officer (DPO) para qualquer organização que processe ou armazene grandes quantidades de dados pessoais, seja para funcionários, indivíduos fora da organização ou ambos.

 

No Brasil as empresas necessitarão incorporar em suas estruturas esse especialista que  executará as atividades previstas na norma administrando todo o fluxo de informações, desde sua coleta até seu tratamento. 

 

Recomenda-se que o Encarregado de Dados participe ativamente de todo o projeto de implementação do Programa de Proteção a Privacidade, de modo que conheça todas os detalhes não só do projeto, mas também da organização, já que será necessário reformular a forma com que realizam o tratamentos de dados pessoais, através de um sistema que atenda a legislação sendo capaz de comprovar a sua aderência regulatória (LGPD ou RGPD).

 

Dentre as atividades, a serem executadas destaca-se a necessidade de realizar um mapeamento do ambiente regulatório, levantamento e inventário dos dados coletados, elaboração de um mapa de risco e por fim o estabelecimento de um programa de proteção à privacidade,  optando por maior controle das informações e transparências sobre suas atividades, com base em políticas claras referente a segurança e boas práticas no tratamento a essas informações.

 

A LGPD criou ainda a figura do Controlador de dados,  responsável pela tomada de decisão em relação ao tratamento de dados pessoais, e também responsável por implementar um sistema de compliance, que envolve conhecimento multidisciplinar na área de tecnologia, segurança da informação e direito.

 

Recomenda-se ainda que esse profissional possua conhecimentos na gestão de riscos corporativos, de modo a ser responsável pelas diretrizes a serem seguidas pelo Operador, outra figura criada pela LGPD. Esse último, por sua vez, será responsável por supervisionar e fiscalizar o cumprimento das regras, assim como atuação mais técnica sobre o tratamento dos dados.

 

O principal objetivo do Encarregado  está na sua atuação de agir como canal de facilitação da comunicação entre as organizações, os titulares dos dados e a Agência Nacional de Proteção de Dados - ANPD.

 

Importante destacar que o Encarregado de Dados ou DPO, tem a responsabilidade de monitorar o cumprimento da lei, monitorar o desempenho do tratamento de dados por parte das organizações na coleta e tratamento de dados no âmbiente interno e atuar no relacionamento instituticional com órgãos públicos e autoridades, quando o assunto seja de interesse do titular do dado.

 

PERFIL DO ENCARREGADO DE DADOS OU DPO

 

É fundamental que possua uma visão global e gerencial da organização, além de conhecimentos na área de segurança da informação e de direito. A forma e objetivos de sua atuação exigem um perfil de gestor, já que terá que interagir com as mais variadas estruturas dentro da organização, do presidente ao colaborador que coleta o dado na empresa.

 

Conhecimento  e formação na área jurídica são fundamentais para garantir a aderência regulatória aos processos de tratamento de dados agregados aos conhecimentos em segurança da informação que irão proporciona habilidades técnicas para avaliar a efetividade e contribuir para a eficiência dos mecanismos de proteção organização.

 

Deste modo, o Encarregado de Dados deverá possuir um perfil profissional híbrido que independentemente de sua origem precisará expandir seu conhecimento para uma outra área.

 

As certificações do mercado, como por exemplo EXIN  e IAPP trilhas de capacitação a serem seguidas pelos profissionais que almejam atuar na área, lembrando que a LGPD não exige certificação para o desempenho da função, mas sim, conhecimento técnico para executá-lo.

 

O fato é que um Sistema de Gestão da Proteção e Privacidade envolve segurança da informação, legislação e estabelecimento de um sistema de uma cultura voltada para garantir que a privacidade e proteção de dados seja parte do cotidiano da empresa, e não apenas um projeto.

 

O QUE DEVE CONTER UM PROGRAMA DE PROTEÇÃO A PRIVACIDADE

 

  • Comprometimento da Alta Direção;
  • Análise do Ambiente Legal e Regulatório; 
  • Mapeamento, classificação dos dados pessoais e Identificação do ciclo de vida dos dados pessoais;
  • Avaliação dos  SLA´s (Service Level Agreement)  ou Acordo de Nível de Serviço internos, contratos com fornecedores, parceiros comerciais e colaboradores internos, além de termos de uso de dados pessoais, visando a adequação a proteção a privacidade;
  • Revisão dos objetivos estratégicos do negócio e a partir dele elaboração e implementação de todas as políticas de segurança de dados pessoais;
  • Estabelecimento de um Programa de Monitoramento e melhoria  contínua das políticas de segurança de dados pessoais mediante análise crítica;
  • Criação de uma metodologia previamente definida para tratar os Incidentes de Segurança;
  • Auditoria continua das políticas e do tratamento dos dados pessoais;
  • Elaboração de relatório de impacto à proteção de dados pessoais;
  • Estabelecimento de canal de comunicação entre a empresa e o titular dos dados pessoais;
  • Capacitação da equipe interna responsável pelo tratamento dos dados pessoais, do grupo de respostas a incidentes e do Encarregado;
  • Análise crítica quanto ao Ciclo de Tratamento de Dados e das Políticas de Segurança da Informação na organização.

 

 

 

 

cabecalho-lista.jpg