12 de novembro de 2019

O time de TI, o time Comercial, o time de RH, o time de Marketing, o time de Vendas, o time Financeiro, enfim, qualquer um que lide com dados, seja online ou offline, será afetado pela Lei Geral de Proteção de Dados, a LGPD. 

De forma geral, isso significa que os fluxos de operação de dados deverão ser mais cuidadosos e transparentes. Mas como garantir a proliferação de um comportamento que priorize a segurança e a privacidade por todos na empresa?

Especialistas defendem o desenvolvimento de um “ecossistema da privacidade”, onde todos os setores que atuam com dados estão plenamente conscientes das orientações da lei. 

Para isso, é fundamental a criação de um comitê multidisciplinar de compliance, composto por membros de diferentes setores, bem como treinamentos constantes das equipes para que todos ajam em conformidade.

Encabeçando o projeto de compliance, está o Encarregado, cuja missão é garantir que os fluxos de operação de dados sejam mais cuidadosos e transparentes, de acordo com a lei. 

Mas quem é, exatamente, esse profissional? E como criar uma cultura da privacidade nas empresas?

É o que responderemos neste texto.

O nascimento do DPO

Com a implantação da Lei Geral de Proteção de Dados, entra em cena um novo profissional: o Data Protection Officer (DPO). 

Pela lei, ele é o encarregado – o intermediador entre os titulares dos dados, as empresas e a fiscalização. “Importado” da General Data Protection Regulation (GDPR), a ocupação é novidade para a grande maioria das empresas e pode gerar alguma confusão na hora de criar um projeto de compliance. 

Acontece que, de acordo com a LGPD, é obrigatório ter um encarregado, mas não é obrigatório que ele seja um DPO. Porém, o profissional que melhor se enquadra no que se exige de um encarregado, considerando os exemplos lá de fora, é o DPO. 

Complicado? Pois é. Mas vamos simplificar.

Basicamente, é preciso contar com um profissional designado para administrar todo o fluxo de informações, da coleta e tratamento à exclusão dos dados ao fim da operação ou quando solicitado pelo titular. 

Assim, podemos resumir suas funções nos seguintes itens:

  • Administrar o fluxo de dados;
  • Orientar funcionários;
  • Fazer a conexão entre a organização e a ANPD;
  • Fiscalizar as práticas da organização.

Esse profissional deve possuir autonomia o suficiente, pois irá exercer diversas funções que muitas vezes não são desenvolvidas com uma única área de conhecimento. Portanto, o ideal é que ele seja alguém que possua uma boa formação interdisciplinar.

Ele deverá ter ao menos as seguintes características.

  • Conhecimento das novas legislações;
  • Conhecimento de governança e base de dados pessoais;
  • Conhecimento sobre segurança da informação;
  • Habilidade de posicionamento perante a ANPD e os titulares da base de dados;
  • Habilidade de fiscalização;
  • Habilidade em tomar decisões diante de situações de risco;
  • Habilidade no treinamento de funcionários.

A LGPD determina que o controlador – neste caso, a organização – deve indicar um encarregado. Empresas maiores, que seguem modelos internacionais, geralmente encontram em um membro do seu corpo jurídico o profissional mais adequado e já contam com o profissional em plena atuação, sob o título de DPO mesmo. É altamente provável que esse modelo seja replicado para a maioria dos casos. 

Mas, para quem tudo é novidade, a complicação é um pouco maior. O DPO, ou o encarregado, não possui uma formação específica elucidada pela lei e, no país, o perfil ainda está em formação. Além disso, é uma função de extrema responsabilidade e nem sempre os profissionais mais indicados vão se sentir confortáveis para assumir esse compromisso.

Alguns perfis têm se destacado no mercado como os mais preparados para assumir a função. Geralmente, eles têm:

  • Formação em riscos
  • Formação em compliance
  • Formação em tecnologia e segurança

Na eventualidade de não haver, na empresa, alguém adequado ao cargo de DPO, mas sendo o encarregado uma função obrigatória para a conformidade com a lei, o serviço pode ser terceirizado para uma consultoria.

Os formatos e modelos ainda serão definidos pelo mercado, porém já existem escritórios de advocacia especializados em direito digital, por exemplo, prestando esse tipo de serviço.

Qual o envolvimento da TI no projeto?

A equipe de Tecnologia da Informação terá um papel fundamental no projeto de compliance, sendo a responsável pela implementação prática da LGPD. Ela vai cuidar da implantação e adequação de sistemas em compliance com a lei, do desenvolvimento dos fluxos de operação e, sobretudo, da segurança dos dados nos ambientes digitais. 

Sendo assim, o ideal é que seja fornecido um treinamento em LGPD à equipe de TI, facilitando o alinhamento do setor com a visão do compliance. 

Mas qual é o setor da empresa responsável por gerir a LGPD? A TI, o jurídico ou outros?

Tanto o jurídico quanto a TI tem forte tendência a assumir grandes responsabilidades, mas o ideal é que o compliance não se limite a nenhum dos dois. É preciso criar uma Cultura da Privacidade, unindo gestores de variados setores da empresa em um comitê multidisciplinar de conformidade.

O comitê não é obrigatório, no texto da lei, mas pode ser muito mais benéfico para as organizações, uma vez que facilita o alinhamento das equipes em prol de um bem comum.

Jurídico, Governança, TI, Financeiro, Marketing, RH – é importantes que os principais afetados pela lei participem das reuniões de compliance, a fim de que todos sigam sempre pelo mesmo caminho quando o tema for proteção de dados.

Desse modo, evita-se que o time de Marketing e RH, por exemplo, tome decisões que não sigam as orientações do Jurídico – como a utilização de um sistema que não esteja em compliance com a LGPD – o que poderia, futuramente, dificultar o trabalho da TI e do Financeiro, dentre outros cenários prejudiciais à empresa como um todo. 

Contudo, para todos os casos teremos o encarregado encabeçando o comitê, seja ele um DPO ou não (verificar tópico anterior), que vai representar a empresa se e quando houver a necessidade de prestar contas para a fiscalização.

Conclusão

Mais importante do que realizar uma adequação de processos, é realizar uma adequação na mentalidade de todos os envolvidos no tratamento de dados. E isso fica mais fácil à medida que as equipes entendem que os novos fluxos podem ser tão simples e eficazes quanto os anteriores.

A Compugraf conta com soluções de conformidade para sua empresa se adequar à LGPD o quanto antes! Clique aqui e converse com um dos especialistas em privacidade de dados para saber mais.

Compugraf

Especialista em segurança de dados e certificada por parceiros reconhecidos mundialmente, a Compugraf está pronta para proteger sua empresa na era digital.

O que procura?