Voltar

DPO as a service: caminhos para uma governança de dados pessoais otimizada

Por Heloisa da Cruz Valdivia Lopes (heloisa.lopes@keeggo.com) e Julia Ferrari Oliveira Lima (julia.lima@keeggo.com).


.

Quando falamos de privacidade e proteção de dados, DPO foi um dos assuntos mais pesquisados – reflexo da importância cada vez maior do tema

.

A busca por DPO – Data Protection Officer tem sido um destaque, segundo o Google trends as pesquisas por “o que é DPO” aumentaram em 70% só nos últimos 12 meses.

Esse é um reflexo da busca do mercado por uma
atualização e mapeamento de dados e risco, com
acompanhamento profundo sobre a criação de
novos processos e produtos. A necessidade de analisar contratos e homologar fornecedores, responder a requisições de titulares e atender a ANPD são algumas das questões que têm preocupado as organizações e são parte substancial das atividades que um DPO deverá encarar no dia a dia.

Assim, é importante estar atento ao tema e definir qual a melhor estratégia para encarar esses desafios.

.

.

O que é um DPO?

A Lei Geral de Proteção de Dados (LGPD) estabelece diversas obrigações para quem trata dados pessoais. Dentre elas está a determinação de que controladores indiquem um encarregado pelo tratamento de dados pelo tratamento dos dados pessoais.

Controlador: Pessoa física ou jurídica, pública ou
privada, que toma as decisões sobre o tratamento
de dados pessoais.

Operador: Pessoa física ou jurídica, pública ou
privada, que realiza o tratamento de dados
pessoais em nome do controlador.

O DPO é a pessoa física ou jurídica indicada pelos agentes de tratamento (controladores e operadores) para atuar como um canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)¹. O mesmo DPO pode atuar em nome de diferentes organizações.

DPO as a service

.

O que faz um DPO na prática?

A lei atribui algumas responsabilidades ao DPO, na prática, essas responsabilidades vão muito além das
legalmente estabelecidas.

As atividades realizadas pelo DPO são contínuas e requerem um entendimento técnico (boas práticas e
frameworks de segurança da informação), de negócio, regulatório (leis, regulamentos da ANPD e setoriais), de planejamento e da estrutura da organização.

Sua atuação vai desde a constituição de um programa de privacidade até a sua sustentação uma vez
implementado. O DPO (que em muitos casos já desempenha outro papel dentro da empresa) terá que encarar uma rotina que inclui:

  • Acompanhar todo o processo de mapeamento de dados, classificação de riscos e desenho de fluxo de dados;
  • Definir um plano de ação para adequação da organização à LGPD e normas correlatas;
  • Avaliar e aprovar a contratação de terceiros com base nas exigências legais e nas boas práticas de privacidade;
  • Garantir a implementação de políticas e outras medidas de mitigação de riscos necessárias;
  • Prestar esclarecimentos e tomar providências ao receber requisições de titulares de dados;
  • Responder solicitações de esclarecimentos de terceiros (assessments) sobre privacidade e proteção de dados;
  • Receber as comunicações e atualizações da ANPD para repassá-las aos demais gestores;
  • Registrar e monitorar a resposta aos incidentes de segurança;
  • Realizar treinamentos periódicos para todos os colaboradores sobre segurança e uso de dados pessoais;
  • Orientar as áreas da empresa a seguirem o Privacy by Design no desenvolvimento de novos projetos, produtos e serviços;
  • Formular relatórios, manuais e sugerir mudanças que assegurem a saúde do programa de privacidade;
  • Monitorar e atualizar o programa de privacidade constantemente, levando em consideração o contexto de cada área da organização, os requisitos legais e técnicos e o respeito à privacidade do titular

.

Esta lista ainda tende a aumentar nos próximos meses, pois a Agenda Regulatória da ANPD para o biênio 2021-2022 indica que haverá novas provisões sobre as atividades do DPO ainda no primeiro semestre de 2022.

.

Preciso mesmo nomear um DPO?

Em regra, sim. Controladores de dados pessoais devem nomear publicamente um DPO.

Embora a lei não mencione os operadores, esses não estão isentos dessa obrigação, e devem avaliar a situação concreta para entender se precisam ou não de um DPO. Essa avaliação deve considerar o modelo de negócio da organização, complexidade das operações de tratamento, riscos para os titulares de dados e volume de dados tratados.

Apenas os agentes de tratamento de pequeno porte que não conduzam atividades de tratamento de alto risco e não aufiram ou pertençam a grupo econômico cuja receita seja superior ao limite estipulado estão desobrigados de indicar um DPO. A ANPD poderá flexibilizar a obrigação de nomeação de um DPO em outras situações. Importante lembrar que, mesmo nesses casos excepcionais, as empresas estão obrigadas a manter um canal de comunicação acessível ao titular de dados e à ANPD.

Isso também implica que o contato do DPO deve estar facilmente acessível justamente pela sua atuação
enquanto canal de comunicação entre ANPD, organização e titulares de dados.

O tamanho da empresa não deve ser o único fator determinante para nomeação de um DPO. Será essencial determinar as atividades de tratamento realizadas para atingir os objetivos da organização. Se a organização está tratando dados pessoais em seu core business, ou seja, em uma atividade central, um DPO tem que ser nomeado.

A nomeação de um DPO não só é uma exigência legal, nos casos já mencionados, como também pode ser fundamental para todos os agentes de tratamento, a fim de implementar processos de privacidade desde a concepção (privacy by design) com alcance em todas as áreas da organização.

Ao facilitar a criação e implementação de processos, o DPO é agente essencial para a governança apropriada da privacidade e proteção dos dados na organização.

.

.

Mas afinal, como otimizar o resultado das atividades do DPO?

Agora que já sabemos o que é e o que não é obrigatório, segundo a LGPD, podemos pensar na melhor forma de implementar as atividades do DPO para otimizar os resultados para a organização.

.

Primeiro passo

O primeiro passo é identificar o nível de maturidade da organização em privacidade e proteção de dados. Isso inclui não só as exigências da LGPD, mas também questões técnicas de segurança da informação, governança corporativa e pessoal qualificado. Esse diagnóstico identificará quais as necessidades relativas à privacidade e proteção de dados da organização, quais os gaps, qual a melhor solução para os gaps e principalmente a estrutura necessária para sustentação contínua da solução escolhida.

Segundo passo

Feita essa avaliação inicial, o segundo passo será compreender qual o melhor modelo de atuação do DPO a ser definido para o cenário apontado no diagnóstico de maturidade.

Existem diferentes modelos possíveis para a atuação de um DPO, já que poderá ser interno ou terceirizado.

.

.

DPO interno ou terceirizado? Vantagens e desvantagens

.[

DPO Interno

Integrado à cultura e ao negócio da organização

Mais pessoalidade

Facilidade de influenciar a tomada de decisão

Investimento financeiro elevado para qualificação
adequada de colaborador interno

Retorno de tal investimento sem resultados garantidos

Timing de aprendizado atrasa o início do programa de privacidade

Acúmulo de funções

Alto risco de inadequação legal por falta de
conhecimento técnico do DPO.

.

DPO as a Service

Serviço especializado, com imparcialidade

Início imediato com know-how garantido sobre
privacidade

Time já qualificado e com experiência diversificada

Perspectiva multifacetada e objetiva

Atuação específica

Respostas rápidas e informadas que atendem a todos os stakeholders (organização, titular e ANPD) envolvidos num programa de privacidade.

Entendimento especializado e familiaridade com as ações da ANPD.

Timing de aprendizado acerca do negócio do cliente

Integração dos times e aculturamento.

.

Um dos principais critérios de contratação é avaliar um DPO ou consultoria externa que comprove meios ágeis e efetivos de conhecer o negócio.

A keeggo tem experiência prática com diferentes modelos de DPO as a Service em diversos segmentos de mercado, como educação, seguros, financeiro, segurança e startups digitais, onde cada projeto é adaptado às necessidades específicas do cliente em cada uma de suas fases: diagnóstico, adequação, recomendações e sustentação.

Nós temos ainda muito o que falar e te mostrar sobre cibersegurança e privacidade, acompanhe nosso LinkedIn e fique ligado nas novidades!

.

.

Conheça mais sobre Privacidade e Segurança da Informação

Icone Rosa metade cerebro e metade páginas de texto
ARTIGOS
Icone rosa com um foquete saindo de um computador
CASOS DE SUCESSO