Em 2020 entra em vigor a integralidade da Lei Federal nº 13.709/2018, a chamada Lei Geral de Proteção de Dados Pessoais (LGPD). Inspirada na regulação europeia General Data Protection Regulation (GDPR), o normativo é de extrema importância às empresas que trabalham com tratamento de dados pessoais, já que cria uma série de regras para proteção aos direitos de liberdade digital e privacidade nas redes.
Entre as novidades está a exigência de que organizações públicas e privadas tenham um novo cargo, o “Encarregado pelo Tratamento de Dados Pessoais” ou, em inglês, Data Protection Officer (DPO).
Sua empresa já contratou um? Vale lembrar que, após a vigência da lei, pessoas físicas ou jurídicas poderão ser severamente punidas pelo mau uso dos dados de terceiros.
Devido à seriedade da questão (especialmente para empresas de TI e Telecom), vamos explicar mais sobre esse novo profissional, seu papel, competências necessárias, bem como os desafios do DPO, pressionado entre a necessidade de capturar dados para melhor atender aos clientes e as limitações legais dessa manipulação de informações! Confira!
O que é DPO? Qual seu papel?
A LGPD foi aprovada em agosto de 2018, mas a maior parte dos artigos (inclusive o que se refere à nomeação do DPO) terá vigência apenas em agosto de 2020. Assim, há ainda algum tempo para sua empresa se adaptar.
Segundo o marco de proteção à privacidade, as empresas que manipulam dados dos clientes deverão nomear um novo profissional, o “Encarregado pelo Tratamento de Dados Pessoais” (DPO). Esse profissional terá como funções, nos termos do artigo 41:
- receber reclamações dos clientes sobre uso indevido de dos dados;
- prestar esclarecimentos e adotar providências para sanar problemas ligados ao tema;
- orientar os funcionários sobre as formas legais de manipulação de dados de terceiros;
- receber comunicações da Autoridade Nacional de Proteção de Dados (futura agência reguladora de dados pessoais).
Na prática, caberá a esse profissional acompanhar todo o ciclo de vida dos dados que trafegam na empresa, ou seja, terá que saber como são coletados, por quais meios, como são usados, com quem são compartilhados e como são descartados. Enfim, deverá fazer um mapeamento completo de tudo o que circula na empresa.
Isso significa que o DPO deverá estar envolvido em todos os projetos da organização. Como se não bastasse, deverá também ser a última instância na decisão de manipulação de dados, de forma que sua posição hierárquica ainda é um desafio a ser estudado nas empresas.
Afinal, assim como um profissional de compliance, o DPO deverá ser isento e ter autonomia e autoridade para, inclusive, refutar os interesses dos CEOs quando as movimentações envolverem práticas ilegais de tratamento de dados. Mas como um funcionário subordinado ao CEO terá liberdade para ir contra decisões da cúpula da organização (inclusive, podendo gerar prejuízos financeiros com a legalidade de suas posições)?
Mesmo com a possibilidade de trazer caminhos que limitem o lucro das empresas, os CEOs deverão dar total apoio e autonomia a esses profissionais de segurança digital, já que, em caso de ação corporativa que atente contra o marco civil de proteção de dados, a direção, a empresa e, claro, o DPO, poderão ser conjuntamente responsabilizados.
Qual formação deve ter um DPO?
Ainda não há um escopo padronizado para esse novo profissional em segurança da informação. Entretanto, as atribuições impostas na LGPD nos dão pistas de que se trata de um cargo cujo ocupante deverá ter conhecimento em temas como criptografia, programação, Marco Civil da Internet, LGPD, GDPR, e também ser um expert em Direito Digital de forma ampla.
Além disso, assim como ocorre nos 120 países que já contam com legislação específica de proteção de dados, certamente, o mercado exigirá desses profissionais certificação da Exin, instituição holandesa especialista mundial em formar DPOs com o apropriado reconhecimento internacional.
O título é fornecido a quem conseguir desempenho acima de 65% em cada um dos 3 exames, que são disponibilizados, inclusive, em língua portuguesa:
- Information Security Foundation (ISFS);
- Privacy and Data Protection Foundation (PDPF);
- Privacy and Data Protection Practitioner (PDPP).
Nandor Feher, coordenador de segurança da informação da Positivo, tem a certificação Exin e explicou a importância dela para quem almeja chegar ao cargo de DPO. “A certificação vem para dar metodologias, frameworks e deixar mais claro como fazer toda essa engrenagem andar”, disse.
Cada um dos três exames obrigatórios cumpre com uma função diferente. De acordo com Feher, a primeira prova é um framework sobre segurança de TI, o que garante que o DPO tenha o entendimento necessário sobre a área, mesmo se a sua formação for de outro campo, como o jurídico, por exemplo. A segunda, por sua vez, é focada no conhecimento sobre aspectos conceituais de proteção de dados.
Por fim, a terceira diz respeito à implementação, isto é, uma prova mais prática, que mostra se o interessado na certificação saberá, de fato, tomar decisões baseadas no conhecimento comprovado anteriormente.
Como se preparar?
Existem alguns cursos preparatórios para obter a certificação Exin, como o do IT Partners (“Programa de Formação em Data Protection”), da Fundação Instituto de Administração — FIA (“Formação para DPO”) e da Daryus (Privacy & Data Protection Foundation — Exin), este último elaborado em parceria com a própria Exin.
Para Nandor, o curso preparatório é muito importante, já que a partir dele é possível ter acesso a conteúdos que abordam de forma didática a LGPD e as implementações dela. Mas, além dessa, existem outras formas de se manter atualizado sobre o tema.
“Aconselho fortemente manter contato com grupos que tratem de privacidade de dados. Afinal, essa é a essência da LGPD e do DPO. Existem diversos grupos, tanto a nível nacional quanto regional. É importante essa troca de conhecimento, estar em contato com quem também está trabalhando e aprendendo sobre a área”, completa.
Quais os principais desafios do DPO?
O primeiro desafio é posicionar-se adequadamente na estrutura organizacional da empresa. Como o DPO vai impedir projetos idealizados pela cúpula da empresa? A possível falta de autonomia de um DPO interno sugere a contratação de empresas especializadas, nos moldes das auditorias.
Outro desafio é a formação multifacetada e extremamente ampla: trata-se de um profissional raro no mercado, que deverá transitar confortavelmente entre as áreas de Direito e TI, com conhecimentos que vão do desenvolvimento de software à legislação em segurança digital e jurisprudências adotadas nos tribunais. Não será simples encontrar esse profissional no mercado ou, até mesmo, formá-lo.
Há ainda desafios de ordem trabalhista: conforme dissemos, o DPO deverá ter conhecimento de absolutamente todos os dados que são capturados e tratados nos servidores da empresa. Porém, ter mais de um DPO geraria conflitos de informações. Por outro lado, como um único profissional daria conta de toda essa demanda? Essa questão passa por problemas junto à legislação trabalhista, como a limitação de jornada.
Quais as diferenças entre GDPR e LGPD?
A exigência de nomeação de um Encarregado pelo Tratamento de Dados Pessoais na Lei Geral de Proteção de Dados Pessoais (LGPD) é decorrência da inspiração desse normativo à GDPR, marco legal europeu de proteção à privacidade na web, elaborado em 2016, mas cuja vigência só foi iniciada em maio de 2018.
Se dermos uma rápida olhada na GDPR europeia, veremos que há uma seção especialmente dedicada ao DPO (Data Protection Officer). Os 3 artigos da “Seção 4” (37, 38 e 39) moldam a figura desse profissional, determinando os casos em que ele deverá fazer-se presente na empresa, sua posição na companhia e tarefas desenvolvidas.
A GDPR determina que a indicação do DPO será obrigatória quando o tratamento de dados for feito por órgão público, empresa que lide com monitoramento massivo de dados pessoais ou quando há processamento de dados sensíveis. Já a LGPD não especifica os casos de obrigatoriedade do DPO, deixando implícito que este abarcará todas as empresas que tratam dados de terceiros.
Outra diferença é que a GDPR impõe ao DPO, basicamente, as funções de informação, aconselhamento ou cooperação, enquanto o artigo 41 da LGPD traz a figura de um sujeito mais ativo, responsável por receber reclamações e resolver problemas ligados ao tema.
O fato é que o empresariado têm até agosto de 2020 para incorporar em sua dinâmica a figura do DPO, sob pena de sujeitar-se a sanções que vão desde advertências a multas diárias pesadas.
“É importante lembrar também que não é só uma questão de se adequar à lei, é uma questão de respeito ao consumidor e também de viabilização do negócio. Quem não se adaptar, vai ter cada vez menos espaço no mercado. Seja para crescer, para vender ou para fornecer serviços e produtos”, ressalta Nandor.
A propósito, sua empresa já está preparada para as mudanças trazidas pela LGPD, inclusive sobre o DPO? Então, compartilhe este conteúdo em suas redes sociais e leve essa discussão aos seus fornecedores, amigos, colegas de trabalho e parceiros de negócios!