O papel do DPO – Data Protection Officer (encarregado)
Proteção e Privacidade de dados e informações, segurança cibernética e de procedimentos não digitais (físicos) são temas importantes e relevantes ao processo de conformidade à LGPD, e estão cada vez mais presentes nas agendas corporativas.
E por que um processo? Sim, pois entendemos ser a conformidade um estabelecimento com início, mas sem fim, ou seja, deve ser permanente e podemos com total segurança afirmar, ser a LGPD uma jornada de governança.
Com a exponencialidade dos avanços tecnológicos, novos modelos de negócios e consumo, os dados (um grande ativo corporativo) passaram a ser vistos e tratados como um verdadeiro centro de lucro e diferencial competitivo para as empresas, especialmente no ambiente de transformação cibernética, propiciando grandes benefícios, melhores performances organizacionais, mas também trazendo riscos inerentes e diversos.
Neste contexto, por questões legais e econômicas, surge a necessidade, a qual em verdade sempre existiu, em proteção e privacidade de dados, tendo agora por expediente a de força de lei.
Por consequência uma cultura organizacional de proteção e privacidade de dados e informações, começa a integrar as estratégias e a governança corporativas, cenário onde passou a ser necessário a instituição de um profissional conhecido como Data Protection Officer (DPO) ou Encarregado pela Proteção de Dados, profissional que executa funções diversas e inerentes em relação a proteção e privacidade de dados.
E qual o papel DPO?
Pessoa ou função, estabelecida ou terceirizada, que tem como papel primordial estabelecer o processo de conformidade com a LGPD atuar, interagir e ser o elo de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).
Trata-se de um profissional de nível gerencial responsável pelo cumprimento da estratégia, implantação e manutenção dos processos de governança, gestão de riscos e conformidade (compliance) inerentes e relacionados com a proteção e privacidade de dados, buscando sempre através de uma visão e comportamento estratégicos, a interface adequada com o board e a toda organização.
A existência desta função ou profissional não é obrigatória, mas é imprescindível e recomendada em todas as organizações que lidem com dados pessoais ou sensíveis.
Como previsto nos Artigos 37º, 38º e 39º da Lei Geral de Proteção de Dados, a designação do Encarregado (DPO) deve ser de acordo uma capacidade multidisciplinar correlata tendo em seu hard skill algumas competências como conhecimento sobre de segurança e proteção de dados, legislação aplicada e compliance, e sobre o modelo e cultura organizacionais.
E dentre a atividades, funções e papéis exercidos, podemos salientar as seguintes:
o Buscar o compromisso organizacional e vontade de estar em conformidade com os direcionamentos da LGPD;
o Liderar o processo de instituição de uma cultura de segurança cibernética e da proteção e privacidade de dados e informações;
o Responsável pela instituição do processo de DPIA/PIA (assessment de proteção e privacidade de dados) e por consequência o Relatório de Impacto;
o Buscar a implementação do processo de Privacy by Default, ou características de privacidade por padrão em produtos e serviços;
o Ser o elo de comunicação e interface entre a empresa, o titular dos dados e a Autoridade Nacional – ANPD;
o Incentivar e instituir a criação e o cumprimento das políticas de privacidade e proteção de dados;
o Monitorar a conformidade da organização com legislação em relação à proteção e privacidade de dados, inclusive em auditorias, monitoramento da execução de contratos, atividades de conscientização e treinamento organizacional;
o Identificar atividades de tratamento de dados e atualizar e manter atualizadas estas atividades;
o Atuar como ponto de contato para solicitações de indivíduos sobre o processamento de seus dados pessoais e o exercício de seus direitos;
o Orientar a adequação e manter o cumprimento de contratos relativos as atividades com partes relacionadas em contextos de proteção e privacidade de dados;
o Promover avaliação na exposição aos riscos de violações de privacidade e mitigados com ações de melhoramento;
o Responsável por se reportar diretamente ao mais alto nível de gerenciamento da organização;
Mas acima de tudo o DPO deve ter um desejável e especial soft skill, ou seja, a capacidade de relacionamento interpessoal, pois mais que tudo, ele terá que ter a capacidade de lidar com pessoas e eventuais conflitos que possam surgir, uma vez que necessitará integrar e trabalhar com equipes e pessoas.
Esta é uma atividade que deve evoluir e crescer em importância, uma vez que a economia de dados e a exponencialidade da disruptividade tecnológica e os riscos inerentes, avançam em um mudo cada vez mais globalizado.
Vladmir Bidniuk
Membro da Comissão Permanente de Proteção de Dados e da Divisão Jurídica da FEDERASUL.