Com a iminência da adequação das empresas à Lei Geral de Proteção de Dados (LGPD), a figura do Data Protection Officer, conhecido como DPO, ganhará ainda mais importância por deter a responsabilidade de administrar os dados pessoais pelas empresas e, portanto, desempenhará um papel fundamental na regulamentação da Lei.
A definição do DPO ou encarregado (como definido na LGPD) foi originalmente proposta pela GDPR (General Data Protection Regulation) - regulamento europeu de proteção de dados pessoais que inspirou a elaboração da Lei nacional. Esta função assegura que os processos internos da organização envolvendo dados de clientes, colaboradores, fornecedores e outros indivíduos estejam em compliance.
Desse modo, uma importante qualificação exigida para assumir o cargo de DPO é a experiência em práticas de governança de proteção de dados. Afinal, se faz necessário que esse profissional tenha habilidades de interpretação jurídica para manter a conformidade dos regulamentos internos à legislação que está em vigência e, também, para reportar à Autoridade Nacional de Proteção de Dados e assessorar a elaboração dos relatórios de impacto à proteção de dados pessoais (DPIA)
.
No entanto, é importante ressaltar a necessidade de conhecimento multidisciplinar, dado que o encarregado pela proteção de dados não se limita ao jurídico, já que também engloba as atividades das áreas de gestão de processos de negócios e tecnologia.
Por isso, o DPO, no desempenho de sua função, deve conhecer plenamente as atividades das empresas, as alocações de equipes e suas responsabilidades no que tange ao processamento de dados pessoais e ao monitoramento que se estende a fornecedores e terceiros.
No campo da tecnologia, a segurança da informação é uma das áreas que mais estão alinhadas ao programa de privacidade numa organização. As ferramentas tecnológicas de cibersegurança asseguram que os controles apropriados estejam sendo empregados a fim de auxiliar o programa de privacidade na mitigação de riscos. Tendo isso em vista, o DPO precisa também possuir habilidades em Tecnologia da Informação para compreender os mecanismos de segurança a serem implementados a fim de prevenir, detectar ou corrigir incidentes envolvendo dados pessoais para evitar vazamentos ou acessos indevidos.
Ademais, a ideia de privacidade trazida pela LGPD levanta a necessidade da elaboração de políticas internas para alinhar os sistemas das empresas aos parâmetros de privacidade e controles de segurança, além de estar em compliance com a legislação e criar uma mentalidade a respeito da proteção de dados.
Portanto, a legislação nacional de proteção de dados conferiu uma grande responsabilidade ao DPO de uma empresa, obrigando-o a possuir conhecimento jurídico em privacidade de dados, assim como em gestão de processos de negócios e segurança da informação, já que essas habilidades são necessárias para a manutenção de um programa de privacidade de dados em linha com as exigências da LGPD.
Ou seja, além da dificuldade na adequação à Lei pelas empresas, há a dificuldade de encontrar um profissional que cumpra todos os requisitos! Um caminho é a terceirização da função do DPO para empresas que consigam absorver essas duas qualificações em um único serviço. Vale a análise!
*Artigo de André Cilurzo, especialista em LGPD e diretor associado de Data Privacy, com a contribuição de Maurício Figueiredo, consultor em Data Privacy. Ambos da ICTS Protiviti, empresa especializada em soluções para gestão de riscos, compliance, auditoria interna, investigação, proteção e privacidade de dados, única empresa de consultoria reconhecida como Empresa Pró-Ética por quatro anos consecutivos.