Por Heloisa da Cruz Valdivia Lopes (heloisa.lopes@keeggo.com) e Julia Ferrari Oliveira Lima (julia.lima@keeggo.com).
.
Quando falamos de privacidade e proteção de dados, DPO foi um dos assuntos mais pesquisados – reflexo da importância cada vez maior do tema
.
A busca por DPO – Data Protection Officer tem sido um destaque, segundo o Google trends as pesquisas por “o que é DPO” aumentaram em 70% só nos últimos 12 meses.
Esse é um reflexo da busca do mercado por uma
atualização e mapeamento de dados e risco, com
acompanhamento profundo sobre a criação de
novos processos e produtos. A necessidade de analisar contratos e homologar fornecedores, responder a requisições de titulares e atender a ANPD são algumas das questões que têm preocupado as organizações e são parte substancial das atividades que um DPO deverá encarar no dia a dia.
Assim, é importante estar atento ao tema e definir qual a melhor estratégia para encarar esses desafios.
.
.
O que é um DPO?
A Lei Geral de Proteção de Dados (LGPD) estabelece diversas obrigações para quem trata dados pessoais. Dentre elas está a determinação de que controladores indiquem um encarregado pelo tratamento de dados pelo tratamento dos dados pessoais.
Controlador: Pessoa física ou jurídica, pública ou
privada, que toma as decisões sobre o tratamento
de dados pessoais.
Operador: Pessoa física ou jurídica, pública ou
privada, que realiza o tratamento de dados
pessoais em nome do controlador.
O DPO é a pessoa física ou jurídica indicada pelos agentes de tratamento (controladores e operadores) para atuar como um canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)¹. O mesmo DPO pode atuar em nome de diferentes organizações.
.
O que faz um DPO na prática?
A lei atribui algumas responsabilidades ao DPO, na prática, essas responsabilidades vão muito além das
legalmente estabelecidas.
As atividades realizadas pelo DPO são contínuas e requerem um entendimento técnico (boas práticas e
frameworks de segurança da informação), de negócio, regulatório (leis, regulamentos da ANPD e setoriais), de planejamento e da estrutura da organização.
Sua atuação vai desde a constituição de um programa de privacidade até a sua sustentação uma vez
implementado. O DPO (que em muitos casos já desempenha outro papel dentro da empresa) terá que encarar uma rotina que inclui:
- Acompanhar todo o processo de mapeamento de dados, classificação de riscos e desenho de fluxo de dados;
- Definir um plano de ação para adequação da organização à LGPD e normas correlatas;
- Avaliar e aprovar a contratação de terceiros com base nas exigências legais e nas boas práticas de privacidade;
- Garantir a implementação de políticas e outras medidas de mitigação de riscos necessárias;
- Prestar esclarecimentos e tomar providências ao receber requisições de titulares de dados;
- Responder solicitações de esclarecimentos de terceiros (assessments) sobre privacidade e proteção de dados;
- Receber as comunicações e atualizações da ANPD para repassá-las aos demais gestores;
- Registrar e monitorar a resposta aos incidentes de segurança;
- Realizar treinamentos periódicos para todos os colaboradores sobre segurança e uso de dados pessoais;
- Orientar as áreas da empresa a seguirem o Privacy by Design no desenvolvimento de novos projetos, produtos e serviços;
- Formular relatórios, manuais e sugerir mudanças que assegurem a saúde do programa de privacidade;
- Monitorar e atualizar o programa de privacidade constantemente, levando em consideração o contexto de cada área da organização, os requisitos legais e técnicos e o respeito à privacidade do titular
.
Esta lista ainda tende a aumentar nos próximos meses, pois a Agenda Regulatória da ANPD para o biênio 2021-2022 indica que haverá novas provisões sobre as atividades do DPO ainda no primeiro semestre de 2022.
.
Preciso mesmo nomear um DPO?
Em regra, sim. Controladores de dados pessoais devem nomear publicamente um DPO.
Embora a lei não mencione os operadores, esses não estão isentos dessa obrigação, e devem avaliar a situação concreta para entender se precisam ou não de um DPO. Essa avaliação deve considerar o modelo de negócio da organização, complexidade das operações de tratamento, riscos para os titulares de dados e volume de dados tratados.
Apenas os agentes de tratamento de pequeno porte que não conduzam atividades de tratamento de alto risco e não aufiram ou pertençam a grupo econômico cuja receita seja superior ao limite estipulado estão desobrigados de indicar um DPO. A ANPD poderá flexibilizar a obrigação de nomeação de um DPO em outras situações. Importante lembrar que, mesmo nesses casos excepcionais, as empresas estão obrigadas a manter um canal de comunicação acessível ao titular de dados e à ANPD.
Isso também implica que o contato do DPO deve estar facilmente acessível justamente pela sua atuação
enquanto canal de comunicação entre ANPD, organização e titulares de dados.
O tamanho da empresa não deve ser o único fator determinante para nomeação de um DPO. Será essencial determinar as atividades de tratamento realizadas para atingir os objetivos da organização. Se a organização está tratando dados pessoais em seu core business, ou seja, em uma atividade central, um DPO tem que ser nomeado.
A nomeação de um DPO não só é uma exigência legal, nos casos já mencionados, como também pode ser fundamental para todos os agentes de tratamento, a fim de implementar processos de privacidade desde a concepção (privacy by design) com alcance em todas as áreas da organização.
Ao facilitar a criação e implementação de processos, o DPO é agente essencial para a governança apropriada da privacidade e proteção dos dados na organização.
.
.
Mas afinal, como otimizar o resultado das atividades do DPO?
Agora que já sabemos o que é e o que não é obrigatório, segundo a LGPD, podemos pensar na melhor forma de implementar as atividades do DPO para otimizar os resultados para a organização.
.
Primeiro passo
O primeiro passo é identificar o nível de maturidade da organização em privacidade e proteção de dados. Isso inclui não só as exigências da LGPD, mas também questões técnicas de segurança da informação, governança corporativa e pessoal qualificado. Esse diagnóstico identificará quais as necessidades relativas à privacidade e proteção de dados da organização, quais os gaps, qual a melhor solução para os gaps e principalmente a estrutura necessária para sustentação contínua da solução escolhida.
Segundo passo
Feita essa avaliação inicial, o segundo passo será compreender qual o melhor modelo de atuação do DPO a ser definido para o cenário apontado no diagnóstico de maturidade.
Existem diferentes modelos possíveis para a atuação de um DPO, já que poderá ser interno ou terceirizado.
.
.
DPO interno ou terceirizado? Vantagens e desvantagens
.[
DPO Interno
Integrado à cultura e ao negócio da organização
Mais pessoalidade
Facilidade de influenciar a tomada de decisão
Investimento financeiro elevado para qualificação
adequada de colaborador interno
Retorno de tal investimento sem resultados garantidos
Timing de aprendizado atrasa o início do programa de privacidade
Acúmulo de funções
Alto risco de inadequação legal por falta de
conhecimento técnico do DPO.
.
DPO as a Service
Serviço especializado, com imparcialidade
Início imediato com know-how garantido sobre
privacidade
Time já qualificado e com experiência diversificada
Perspectiva multifacetada e objetiva
Atuação específica
Respostas rápidas e informadas que atendem a todos os stakeholders (organização, titular e ANPD) envolvidos num programa de privacidade.
Entendimento especializado e familiaridade com as ações da ANPD.
Timing de aprendizado acerca do negócio do cliente
Integração dos times e aculturamento.
.
Um dos principais critérios de contratação é avaliar um DPO ou consultoria externa que comprove meios ágeis e efetivos de conhecer o negócio.
A keeggo tem experiência prática com diferentes modelos de DPO as a Service em diversos segmentos de mercado, como educação, seguros, financeiro, segurança e startups digitais, onde cada projeto é adaptado às necessidades específicas do cliente em cada uma de suas fases: diagnóstico, adequação, recomendações e sustentação.
Nós temos ainda muito o que falar e te mostrar sobre cibersegurança e privacidade, acompanhe nosso LinkedIn e fique ligado nas novidades!
.
.
Conheça mais sobre Privacidade e Segurança da Informação
