Data Protection Officer (DPO)
Conforme eu previ há um ano atrás, há um grande burburinho no mercado com o surgimento de diversos cursos de formação para DPO, desde cursos de pós-graduação até mesmo certificações, como a da EXIN . Faltando ainda menos de um ano para a LGPD entrar em vigor, a tendência é que aumente a procura por profissionais dispostos a encarar tal desafio.
O cargo e as funções do DPO estão previstos na GDPR e na LGPD - aqui no Brasil essa função recebeu o nome de "Encarregado pelo Tratamento de Dados Pessoais".
A LGPD descreve o encarregado como "pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)" (artigo 5º, item VIII). Na Seção II, o parágrafo 2º do artigo 41, são definidas as atividades sob responsabilidade do encarregado:
I - aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;Aqui no Brasil, a LGPD dá margem para que a função de DPO pode ser executada por terceiros ou empresas, o que fez surgir no mercado o serviço de "DPO as a Service", voltado para as empresas que preferem contratar uma consultoria em vez de ter um profissional dedicado a cuidar disso.
II - receber comunicações da autoridade nacional e adotar providências;
III - orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
IV - executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
Mas não pense que vai ser moleza. Além de dominar a própria LGPD, o DPO precisa juntar conhecimentos multidisciplinares envolvendo tecnologia, segurança, jurídico e negócios. Ele deve ter também dominar o mapeamento dos processos de negócio para poder estabelecer os riscos e respectivos controles de segurança e de privacidade. E, o pior: gerenciar os projetos de adequação à LGPD e saber negociar com as diversas áreas da empresa envolvidas no tratamento de dados.
Na minha humilde opinião, essa febre pela carreira de DPO só existe porque ninguém ainda sabe a "bucha" que é isso. O trabalho de mapear os fluxos de dados, convencer as áreas a aplicar os controles necessários, por si só já me parece uma responsabilidade quase inalcançável. Além disso, o DPO é o "c* de plantão", ou seja, caberá a ele responder pela empresa sobre incidentes de vazamento de dados - justamente o tipo de incidente extremamente comum hoje em dia.
Uma opção bem interessante para as empresas é não se restringir na figura do DPO. Além dele, é muito mais produtivo estabelecer um comitê de gestão de dados, com todas as áreas envolvidas. Assim você trás essas áreas para o dia-a-dia das preocupações com a proteção da privacidade, e obtém seu maior comprometimento com o assunto.
Para saber mais:
Nenhum comentário:
Postar um comentário