DPO as a service: caminhos para uma governança de dados pessoais otimizada

Quando falamos de privacidade e proteção de dados, DPO foi um dos assuntos mais pesquisados – reflexo da importância cada vez maior do tema

.

A busca por DPO – Data Protection Officer tem sido um destaque, segundo o Google trends as pesquisas por “o que é DPO” aumentaram em 70% só nos últimos 12 meses.

Esse é um reflexo da busca do mercado por uma
atualização e mapeamento de dados e risco, com
acompanhamento profundo sobre a criação de
novos processos e produtos. A necessidade de analisar contratos e homologar fornecedores, responder a requisições de titulares e atender a ANPD são algumas das questões que têm preocupado as organizações e são parte substancial das atividades que um DPO deverá encarar no dia a dia.

Assim, é importante estar atento ao tema e definir qual a melhor estratégia para encarar esses desafios.

O que é um DPO?

Lei Geral de Proteção de Dados (LGPD) estabelece diversas obrigações para quem trata dados pessoais. Dentre elas está a determinação de que controladores indiquem um encarregado pelo tratamento de dados pelo tratamento dos dados pessoais.

Controlador: Pessoa física ou jurídica, pública ou
privada, que toma as decisões sobre o tratamento
de dados pessoais.

Operador: Pessoa física ou jurídica, pública ou
privada, que realiza o tratamento de dados
pessoais em nome do controlador.

DPO é a pessoa física ou jurídica indicada pelos agentes de tratamento (controladores e operadores) para atuar como um canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)¹. O mesmo DPO pode atuar em nome de diferentes organizações.

DPO as a service

O que faz um DPO na prática?

A lei atribui algumas responsabilidades ao DPO, na prática, essas responsabilidades vão muito além das
legalmente estabelecidas.

As atividades realizadas pelo DPO são contínuas e requerem um entendimento técnico (boas práticas e
frameworks de segurança da informação), de negócio, regulatório (leis, regulamentos da ANPD e setoriais), de planejamento e da estrutura da organização.

Sua atuação vai desde a constituição de um programa de privacidade até a sua sustentação uma vez
implementado. O DPO (que em muitos casos já desempenha outro papel dentro da empresa) terá que encarar uma rotina que inclui:

  • Acompanhar todo o processo de mapeamento de dados, classificação de riscos e desenho de fluxo de dados;
  • Definir um plano de ação para adequação da organização à LGPD e normas correlatas;
  • Avaliar e aprovar a contratação de terceiros com base nas exigências legais e nas boas práticas de privacidade;
  • Garantir a implementação de políticas e outras medidas de mitigação de riscos necessárias;
  • Prestar esclarecimentos e tomar providências ao receber requisições de titulares de dados;
  • Responder solicitações de esclarecimentos de terceiros (assessments) sobre privacidade e proteção de dados;
  • Receber as comunicações e atualizações da ANPD para repassá-las aos demais gestores;
  • Registrar e monitorar a resposta aos incidentes de segurança;
  • Realizar treinamentos periódicos para todos os colaboradores sobre segurança e uso de dados pessoais;
  • Orientar as áreas da empresa a seguirem o Privacy by Design no desenvolvimento de novos projetos, produtos e serviços;
  • Formular relatórios, manuais e sugerir mudanças que assegurem a saúde do programa de privacidade;
  • Monitorar e atualizar o programa de privacidade constantemente, levando em consideração o contexto de cada área da organização, os requisitos legais e técnicos e o respeito à privacidade do titular

Esta lista ainda tende a aumentar nos próximos meses, pois a Agenda Regulatória da ANPD para o biênio 2021-2022 indica que haverá novas provisões sobre as atividades do DPO ainda no primeiro semestre de 2022.

Preciso mesmo nomear um DPO?

Em regra, sim. Controladores de dados pessoais devem nomear publicamente um DPO.

Embora a lei não mencione os operadores, esses não estão isentos dessa obrigação, e devem avaliar a situação concreta para entender se precisam ou não de um DPO. Essa avaliação deve considerar o modelo de negócio da organização, complexidade das operações de tratamento, riscos para os titulares de dados e volume de dados tratados.

Apenas os agentes de tratamento de pequeno porte que não conduzam atividades de tratamento de alto risco e não aufiram ou pertençam a grupo econômico cuja receita seja superior ao limite estipulado estão desobrigados de indicar um DPO. A ANPD poderá flexibilizar a obrigação de nomeação de um DPO em outras situações. Importante lembrar que, mesmo nesses casos excepcionais, as empresas estão obrigadas a manter um canal de comunicação acessível ao titular de dados e à ANPD.

Isso também implica que o contato do DPO deve estar facilmente acessível justamente pela sua atuação
enquanto canal de comunicação entre ANPD, organização e titulares de dados.

O tamanho da empresa não deve ser o único fator determinante para nomeação de um DPO. Será essencial determinar as atividades de tratamento realizadas para atingir os objetivos da organização. Se a organização está tratando dados pessoais em seu core business, ou seja, em uma atividade central, um DPO tem que ser nomeado.

A nomeação de um DPO não só é uma exigência legal, nos casos já mencionados, como também pode ser fundamental para todos os agentes de tratamento, a fim de implementar processos de privacidade desde a concepção (privacy by design) com alcance em todas as áreas da organização.

Ao facilitar a criação e implementação de processos, o DPO é agente essencial para a governança apropriada da privacidade e proteção dos dados na organização.

Mas afinal, como otimizar o resultado das atividades do DPO?

Agora que já sabemos o que é e o que não é obrigatório, segundo a LGPD, podemos pensar na melhor forma de implementar as atividades do DPO para otimizar os resultados para a organização.

Primeiro Passo

O primeiro passo é identificar o nível de maturidade da organização em privacidade e proteção de dados. Isso inclui não só as exigências da LGPD, mas também questões técnicas de segurança da informação, governança corporativa e pessoal qualificado. Esse diagnóstico identificará quais as necessidades relativas à privacidade e proteção de dados da organização, quais os gaps, qual a melhor solução para os gaps e principalmente a estrutura necessária para sustentação contínua da solução escolhida.

Segundo Passo

Feita essa avaliação inicial, o segundo passo será compreender qual o melhor modelo de atuação do DPO a ser definido para o cenário apontado no diagnóstico de maturidade.

Existem diferentes modelos possíveis para a atuação de um DPO, já que poderá ser interno ou terceirizado.

DPO interno ou terceirizado? Vantagens e desvantagens

DPO Interno

  • Integrado à cultura e ao negócio da organização
  • Mais pessoalidade
  • Facilidade de influenciar a tomada de decisão
  • Investimento financeiro elevado para qualificação
    adequada de colaborador interno
  • Retorno de tal investimento sem resultados garantidos
  • Timing de aprendizado atrasa o início do programa de privacidade
  • Acúmulo de funções
  • Alto risco de inadequação legal por falta de
    conhecimento técnico do DPO.

DPO as a Service

  • Serviço especializado, com imparcialidade

  • Início imediato com know-how garantido sobre
    privacidade

  • Time já qualificado e com experiência diversificada

  • Perspectiva multifacetada e objetiva

  • Atuação específica

  • Respostas rápidas e informadas que atendem a todos os stakeholders (organização, titular e ANPD) envolvidos num programa de privacidade.

  • Entendimento especializado e familiaridade com as ações da ANPD.

  • Timing de aprendizado acerca do negócio do cliente

  • Integração dos times e aculturamento.

Um dos principais critérios de contratação é avaliar um DPO ou consultoria externa que comprove meios ágeis e efetivos de conhecer o negócio.

A keeggo tem experiência prática com diferentes modelos de DPO as a Service em diversos segmentos de mercado, como educação, seguros, financeiro, segurança e startups digitais, onde cada projeto é adaptado às necessidades específicas do cliente em cada uma de suas fases: diagnóstico, adequação, recomendações e sustentação.

Nós temos ainda muito o que falar e te mostrar sobre cibersegurança e privacidade, acompanhe nosso LinkedIn e fique ligado nas novidades!