O time de TI, o time Comercial, o time de RH, o time de Marketing, o time de Vendas, o time Financeiro, enfim, qualquer um que lide com dados, seja online ou offline, será afetado pela Lei Geral de Proteção de Dados, a LGPD.
De forma geral, isso significa que os fluxos de operação de dados deverão ser mais cuidadosos e transparentes. Mas como garantir a proliferação de um comportamento que priorize a segurança e a privacidade por todos na empresa?
Especialistas defendem o desenvolvimento de um “ecossistema da privacidade”, onde todos os setores que atuam com dados estão plenamente conscientes das orientações da lei.
Para isso, é fundamental a criação de um comitê multidisciplinar de compliance, composto por membros de diferentes setores, bem como treinamentos constantes das equipes para que todos ajam em conformidade.
Encabeçando o projeto de compliance, está o Encarregado, cuja missão é garantir que os fluxos de operação de dados sejam mais cuidadosos e transparentes, de acordo com a lei.
Mas quem é, exatamente, esse profissional? E como criar uma cultura da privacidade nas empresas?
É o que responderemos neste texto.
O nascimento do DPO
Com a implantação da Lei Geral de Proteção de Dados, entra em cena um novo profissional: o Data Protection Officer (DPO).
Pela lei, ele é o encarregado – o intermediador entre os titulares dos dados, as empresas e a fiscalização. “Importado” da General Data Protection Regulation (GDPR), a ocupação é novidade para a grande maioria das empresas e pode gerar alguma confusão na hora de criar um projeto de compliance.
Acontece que, de acordo com a LGPD, é obrigatório ter um encarregado, mas não é obrigatório que ele seja um DPO. Porém, o profissional que melhor se enquadra no que se exige de um encarregado, considerando os exemplos lá de fora, é o DPO.
Complicado? Pois é. Mas vamos simplificar.
Basicamente, é preciso contar com um profissional designado para administrar todo o fluxo de informações, da coleta e tratamento à exclusão dos dados ao fim da operação ou quando solicitado pelo titular.
Assim, podemos resumir suas funções nos seguintes itens:
- Administrar o fluxo de dados;
- Orientar funcionários;
- Fazer a conexão entre a organização e a ANPD;
- Fiscalizar as práticas da organização.
Esse profissional deve possuir autonomia o suficiente, pois irá exercer diversas funções que muitas vezes não são desenvolvidas com uma única área de conhecimento. Portanto, o ideal é que ele seja alguém que possua uma boa formação interdisciplinar.
Ele deverá ter ao menos as seguintes características.
- Conhecimento das novas legislações;
- Conhecimento de governança e base de dados pessoais;
- Conhecimento sobre segurança da informação;
- Habilidade de posicionamento perante a ANPD e os titulares da base de dados;
- Habilidade de fiscalização;
- Habilidade em tomar decisões diante de situações de risco;
- Habilidade no treinamento de funcionários.
A LGPD determina que o controlador – neste caso, a organização – deve indicar um encarregado. Empresas maiores, que seguem modelos internacionais, geralmente encontram em um membro do seu corpo jurídico o profissional mais adequado e já contam com o profissional em plena atuação, sob o título de DPO mesmo. É altamente provável que esse modelo seja replicado para a maioria dos casos.
Mas, para quem tudo é novidade, a complicação é um pouco maior. O DPO, ou o encarregado, não possui uma formação específica elucidada pela lei e, no país, o perfil ainda está em formação. Além disso, é uma função de extrema responsabilidade e nem sempre os profissionais mais indicados vão se sentir confortáveis para assumir esse compromisso.
Alguns perfis têm se destacado no mercado como os mais preparados para assumir a função. Geralmente, eles têm:
- Formação em riscos
- Formação em compliance
- Formação em tecnologia e segurança
Na eventualidade de não haver, na empresa, alguém adequado ao cargo de DPO, mas sendo o encarregado uma função obrigatória para a conformidade com a lei, o serviço pode ser terceirizado para uma consultoria.
Os formatos e modelos ainda serão definidos pelo mercado, porém já existem escritórios de advocacia especializados em direito digital, por exemplo, prestando esse tipo de serviço.
Qual o envolvimento da TI no projeto?
A equipe de Tecnologia da Informação terá um papel fundamental no projeto de compliance, sendo a responsável pela implementação prática da LGPD. Ela vai cuidar da implantação e adequação de sistemas em compliance com a lei, do desenvolvimento dos fluxos de operação e, sobretudo, da segurança dos dados nos ambientes digitais.
Sendo assim, o ideal é que seja fornecido um treinamento em LGPD à equipe de TI, facilitando o alinhamento do setor com a visão do compliance.
Mas qual é o setor da empresa responsável por gerir a LGPD? A TI, o jurídico ou outros?
Tanto o jurídico quanto a TI tem forte tendência a assumir grandes responsabilidades, mas o ideal é que o compliance não se limite a nenhum dos dois. É preciso criar uma Cultura da Privacidade, unindo gestores de variados setores da empresa em um comitê multidisciplinar de conformidade.
O comitê não é obrigatório, no texto da lei, mas pode ser muito mais benéfico para as organizações, uma vez que facilita o alinhamento das equipes em prol de um bem comum.
Jurídico, Governança, TI, Financeiro, Marketing, RH – é importantes que os principais afetados pela lei participem das reuniões de compliance, a fim de que todos sigam sempre pelo mesmo caminho quando o tema for proteção de dados.
Desse modo, evita-se que o time de Marketing e RH, por exemplo, tome decisões que não sigam as orientações do Jurídico – como a utilização de um sistema que não esteja em compliance com a LGPD – o que poderia, futuramente, dificultar o trabalho da TI e do Financeiro, dentre outros cenários prejudiciais à empresa como um todo.
Contudo, para todos os casos teremos o encarregado encabeçando o comitê, seja ele um DPO ou não (verificar tópico anterior), que vai representar a empresa se e quando houver a necessidade de prestar contas para a fiscalização.
Conclusão
Mais importante do que realizar uma adequação de processos, é realizar uma adequação na mentalidade de todos os envolvidos no tratamento de dados. E isso fica mais fácil à medida que as equipes entendem que os novos fluxos podem ser tão simples e eficazes quanto os anteriores.
A Compugraf conta com soluções de conformidade para sua empresa se adequar à LGPD o quanto antes! Clique aqui e converse com um dos especialistas em privacidade de dados para saber mais.
