27 de agosto de 2020

Desde os primeiros anúncios da GDPR, um cargo específico passou a ser mencionado com grande frequência, o Data Protection Officer (ou simplesmente DPO).

DPO

Segundo a definição da autoridade de proteção de dados europeia, a principal função do profissional na função é de garantir as melhores práticas durante todos os processos que envolvem dados pessoais, seja da própria equipe, clientes ou fornecedores.

Isso significa que o profissional deve participar ativamente do recebimento de reclamações e comunicações de titulares em relação aos seus dados, prestar esclarecimentos, adotar providências, e executar as demandas do órgão controlador e das normas estabelecidas pela LGPD.

Sendo assim, é o encarregado que realiza a intermediação do relacionamento entre a empresa e a ANPD.

A mesma autoridade também regulamenta o perfil ideal de um DPO sob os seguintes termos: “O encarregado da proteção de dados é designado com base nas suas qualificações profissionais e, em especial, nos seus conhecimentos especializados no domínio do direito e das práticas de proteção de dados.” (no art. 37 parágrafo 5 da GPDR)

Já em seu art. 38, A GDPR fala que o DPO deve:

  • Estar totalmente envolvido nas ações de proteção de dados.
  • Ser apoiado pelo seu contratante para o exercício de suas funções.
  • Não possuir uma hierarquia para qual precisa responder, sendo independente e possuindo acesso sem restrições ao titular e a autoridade supervisora de proteção de dados.
  • Manter os colaboradores conscientizados sobre a proteção de dados. (falamos sobre a importância da conscientização de funcionários, aqui.)
  • Ser amplamente divulgado como responsável no site da instituição de preferência.

Embora as especificações para o cargo de DPO no Brasil sejam “menos rigorosas”, é importante compreender que a intenção da GDPR é destacar que o profissional deve buscar pela transparência e a segurança de dados, não a imagem da empresa.

Isso é um detalhe importante para compreender todo o destaque sobre a autonomia e dedicação de um profissional para exercer a função.

Toda empresa precisa ter um DPO?

Não é atoa que o cargo de DPO tornou-se um dos mais cobiçados da atualidade, além de reunir o melhor dos dois mundos (segurança da informação + juridico), sua remuneração média na europa, onde a GDPR já está em vigor, gira em torno de €70.000,00 / ano.

Enquanto aqui no Brasil – e apenas como curiosidade, o portal vagas determina uma média salarial mensal de R$ 21,5 mil, com base em usuários reais que provavelmente atuam em empresas bem adiantadas em relação ao tema.

Atualmente, a Lei Geral de Proteção de Dados exige que toda empresa que processe mais de 5 mil registros em um período de 12 meses, independente de seu porte e faturamento, precisa do apontamento de um profissional responsável pela proteção de dados. Ainda não há hipóteses de dispensas dessa obrigatoriedade em cenários de exceção.

Essa demanda, em números, significa que faltam profissionais qualificados na europa e certamente ocorrerá o mesmo no Brasil. Estima-se que na europa exista uma demanda de pelo menos 18 mil DPO’s. No Brasil, acredita-se que o número de profissionais qualificados em 2019 era menor do que 100 – para obter os resultados, foi considerado apenas o profissional que é certificado internacionalmente pela EXIN na área.

Mas até então estamos falando de qualificação profissional, o que não é uma obrigatoriedade de nenhuma das leis, isso porque uma empresa pode apontar desde uma pessoa física que já atue em uma outra área da empresa, até um serviço de consultoria ou jurídico terceirizado para a função, seja ele um colaborador interno ou externo.

Em ambos os casos, o profissional poderá acumular funções, sendo que a única condição é que essas funções não entrem em conflito e o responsável possa exercer as funções de um DPO com toda a autonomia e independência necessária.

O impacto da LGPD nas sanções e penalidades

Em nosso mais recente “Cybertalks”, conversamos com o José Anastácio, engenheiro de produto da Compugraf, sobre as principais sanções e penalidades que chegam com a vigência da LGPD.

Também separamos uma série de artigos para nos aquecer sobre o tema:

As definições de um DPO qualificado

Como base, o mercado recomenda que o profissional apontado como Data Protection Officer tenha uma formação em tecnologia da informação ou área jurídica, além de possuir a formação complementar recomendada para o exercício da função.

Dentre as possíveis formações complementares e opcionais de um DPO, algumas instituições de ensino no Brasil, oferecem:

Formação focada no padrão de sistema de gestão de segurança da informação. Temos um texto que fala melhor sobre isso, para acessá-lo, clique aqui.

  • PDPE – Privacy & Data Protection Essentials (Focado na lei brasileira 13.709 LGPD)

Uma formação direcionada especificamente nas informações essenciais da LGPD.

  • PDPF – Privacy & Data Protection Foundation

Treinamento voltado aos estudos da GDPR, que é considerada a base para a lei brasileira.

  • PDPP – Privacy & Data Protection Practitioner

Um curso sobre “como fazer”, ensinando a rotina e práticas exercidas por um DPO.

Sobre os responsáveis não qualificados e os terceirizados

A obrigatoriedade de apontamento de um DPO representa que muitas empresas, menos estruturadas ou com recursos inferiores optarão por escolhas internas mais acessíveis e possivelmente menos qualificadas.

Pelo fato do Data Protection Officer ser um cargo extremamente novo no mercado, muitos profissionais apostam que o início das ações da Autoridade Nacional de Proteção de Dados seja um pouco mais didática e menos punitivamente no início, até mesmo considerando a medida provisória que oferece esse período para que todos possam passar por uma curva de aprendizado antes do início das punições pelo orgão.

A crença também é fortemente baseada no que ocorreu com a GDPR, que foi flexibilizada para tratar com menos rigidez as empresas com menos de 250 funcionários, o que pode beneficiar startups e empresas de pequeno porte.

Mas ainda sim, considerando todas as consequências de uma violação da LGPD, é preciso refletir se vale à pena definir um encarregado para o cargo que não tenha uma base mínima para garantir o compliance da empresa.

E por isso como alternativa a escolhas internas ou gastos elevados com profissionais dedicadas, algumas empresas podem buscar pela terceirização da função.

Com a demanda crescente de um profissional para cuidar de toda a governança de dados pessoais de uma empresa, já era de se esperar que o mercado como um todo se moveria para disponibilizar alternativas.

E disso está nascendo um termo para um serviço novo, conhecido como “DPO as a Service”, que possibilita a contratação de profissionais qualificados para cuidar da saúde dos dados pessoais de uma empresa, atuando interno ou externamente, mas possivelmente não dedicados a elas, resultando em custos mais acessíveis.

Mas em relação a isso, talvez seja interessante pensar no seguinte:

Se o espaço físico de sua empresa estivesse sendo invadido, você iria preferir ter uma equipe de segurança pronta para impedir o sucesso dos invasores, ou estaria disposto a contar apenas com a disponibilidade da autoridades locais?

O sucesso de uma prática criminosa pode depender justamente do tempo disponível para ação, então a decisão de possuir um profissional interno como DPO, assim como definir sua carga de dedicação e exclusividade a tarefa ou até mesmo pensar na possibilidade de terceirização do serviço, deve envolver o nível de risco assumido na situação acima.

É também importante considerar a exposição do profissional como DPO, pois sua identidade e informações de contatos deverão ser disponibilizadas a público, no próprio site da ANDP.

Cuidar dos dados pessoais da maneira correta

A ideia de possuir um profissional cuidando da segurança de dados da empresa abre a oportunidade para tarefas essenciais e relacionáveis ao cargo, por exemplo, muitas empresas têm dificuldade de criar uma campanha de conscientização consistente e funcional para o dia a dia dos colaboradores.

Como o maior interesse para um DPO é justamente esse cuidado com a saúde dados, é totalmente pertinente que a ele chegue a tarefa de pensar em maneiras de isso acontecer na empresa.

Talvez se mais empresas passassem a observar oportunidades como essa, além do simples compliance com a lei, esse tabu de contratação fosse convertido em algo mais positivo e funcional.

O impulsionamento do mercado de seguros digitais

Além de todo o impacto causado em empresas já existentes, o nascimento de uma lei regulamentadora como a Lei Geral de Proteção de Dados gera também uma nova tendência no mercado, abrindo espaço para os seguros digitais.

Considerando que a multa da LGPD pode chegar a R$50 milhões, os chamados “cyber seguros” certamente chegam pra ficar e devem acompanhar os novos investimentos de grandes corporações, que incluem também a contratação de um DPO.

Embora não resolva problemas, e nem reduzam o impacto negativo causado por um vazamento de dados, os seguros cibernéticos devem ser grandes aliados dos DPO na redução de custos em caso de problemas jurídicos nesse sentido.

O serviço já foi regulamentado pela Susep – Superintendência de Seguros Privados, e sua proposta, embora a propaganda atual seja sobre ganhar tempo para adequar-se a LGPD, deve girar justamente em torno de assegurar empresas contra acidentes cibernéticos, como o vazamento de dados ou violação de privacidade. – isso a longo prazo, quanto o mercado e LGPD já estiverem mais maduros e funcionando plenamente em compliance.

Segundo estudo realizado pela empresa seguradora Marsh, em uma parceria com a Microsoft, entre 2017 e 2019, o risco de crimes cibernéticos aumento em 30% no ranking das 5 maiores preocupações de empresas latino-americanas. E esse número tende a crescer conforme nos aproximamos da data em que a ANPD começará a multar as empresas.

Em nossas pesquisas internas para a produção deste material, as buscas do termo “LGPD” aumentaram em mais de 900% de 2019 para 2020, esse grande crescimento pode ter relação com a vigência da Lei, que até então estava prevista para o primeiro semestre de 2020, mas isso mostra como o mercado, preparado ou não, esta de fato preocupado com as consequências do novo regulamento.

A Compugraf te ajuda a colocar a empresa em conformidade com a LGPD

Quer saber como a Compugraf pode auxiliar a sua empresa na jornada para a conformidade com a LGPD? Consulte agora mesmo nossos profissionais e descubra como sua empresa pode melhorar a maneira de armazenar e lidar com dados pessoais.

Compugraf

Especialista em segurança de dados e certificada por parceiros reconhecidos mundialmente, a Compugraf está pronta para proteger sua empresa na era digital.

O que procura?