A área de Segurança da Informação vem ganhando força nos últimos anos devido a crescente procura por proteção de dados. Mesmo assim, os profissionais desta área tão importante nas empresas não tinham o devido reconhecimento. No artigo de hoje iremos abordar um tema que tem causado muitas dúvidas em diversos gestores e profissionais, o DPO (Data Protection Officer)
Com a criação de leis de proteção de dados como a LGPD e a GDPR, a área de Segurança ganhou atenção especial das organizações, pois o seu descumprimento pode resultar em multas de até R$50 milhões, no caso da LGPD e ainda maiores no caso da GDPR.
Uma das principais novidades em ambas as legislações é o nascimento de um novo tipo de profissional, chamado de DPO (Data Protection Officer) na GDPR, e Encarregado, na LGPD, cuja função é tratar de temas específicos de segurança e privacidade dos dados.
Um DPO pode vir da área de Segurança da Informação, da área Jurídica ou de Compliance, da área de processos e até da área de governança, sendo fundamental destacar que a sua característica mais marcante é a multidisciplinariedade de conhecimentos.
Comumente o Data Protection Officer virá da área de segurança da informação, porém, isso depende não somente de como a empresa pretende conduzir o assunto, mas também do aprimoramento deste profissional nas outras disciplinas pertinentes às legislações de privacidade, como o direito ou a tecnologia da segurança.
O profissional deverá estar capacitado em todas as áreas mencionadas, independentemente de sua origem, a fim de poder proteger e interpretar os dados tanto pelo viés legal/jurídico, quanto pelo viés de processos e de segurança da informação em si. É indispensável o conhecimento da lei para o tratamento dos dados.
O que um DPO faz?
De acordo com a seção II do capítulo VI= da Lei Geral de Proteção de Dados, artigos 41 e seguintes, temos a seguinte atribuição de funções:
Art. 41. O controlador deverá indicar um encarregado pelo tratamento de dados pessoais.
1° A identidade e as informações de contato do encarregado deverão ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no sítio eletrônico do controlador.
2° As atividades do encarregado consistem em:
- Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
- Receber comunicações da autoridade nacional e adotar providências;
- Orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
- Executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.”
§ 3º A autoridade nacional poderá estabelecer normas complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados.
O DPO poderá receber mais funções baseado no objetivo da empresa.
Preciso contratar um Data Protection Officer?
Qualquer empresa que processa dados pessoais, seja de funcionários, seja de clientes ou parceiros, precisa proteger seus dados contra vazamento, inclusive com a indicação do DPO na organização.
A Lei Geral de Proteção de Dados, no estado em que se encontra, não prevê exceções para a regra da criação do DPO, mas admite a possibilidade de que a Autoridade Nacional de Proteção de Dados crie hipóteses de dispensa.
As pequenas organizações precisam ter um profissional que responda por ela nos termos da lei dentro da função do DPO, mesmo que isso se dê pela nomeação de alguém que já exerce função diversa dentro da empresa.
Não há um impedimento legal no acúmulo de função, mas é recomendável ter um profissional exclusivo para este fim, especialmente no caso de organizações grandes, não apenas por garantir a sua autonomia funcional, mas também pelo fato de serem frequentemente alvos de ataques cibernéticos e fragilidades de processos de segurança. No caso das grandes corporações, quanto melhor qualificado for o profissional, melhor as recomendações, proteções e gerenciamento a empresa terá.
Como se especializar e ser reconhecido como DPO
Via de regra não existe um curso específico para atingir a meta de se tornar um Data Protection Officer, entretanto, já existem certificadoras mundo afora que se preocuparam em criar cursos específicos para a capacitação deste profissional.
A certificadora holandesa EXIN, por exemplo, que é especializada em certificações de segurança da informação reconhecidas internacionalmente, oferece a certificação em Data Protection Officer. Para receber este título, é necessário passar nos três exames referentes a segurança da informação e proteção de dados: Information Security Foundation (ISFS), Privacy and Data Protection Foundation (PDPF) e Privacy and Data Protection Practitioner (PDPP).
Essa certificação está recente no mercado e em alta devido ao surgimento proteção de dados LGPD e GDPR.
A Tripla conta, no momento desta publicação, com um DPO certificado, coordenador do projeto de consultoria em Lei Geral de Proteção de Dados Dr. João Lucas Vieira Saldanha, e diversos profissionais com certificações em PDPF e PDPP.
Proteção dos dados
As principais ferramentas que podem ser utilizadas na proteção dos dados envolvem classificação da informação, criptografia dos dados e prevenção a perda de dados. Além das ferramentas, é recomendável também a empresa possuir um ciclo de conscientização da segurança da informação e privacidade de dados na empresa.
A organização dever ter o pensamento de que o profissional de DPO é necessário para manter e gerenciar o processo de segurança da informação e legislação para garantir a proteção e privacidade de dados como um cotidiano da empresa, e não apenas como um projeto. É um processo de melhorias contínua que deve ser seguido e aperfeiçoado.
Nosso time conta com especialistas na área de Proteção de Dados, Data Privacy e Conscientização da Informação. Fale conosco para mais informações.