O Data Protection Officer (DPO) é uma profissão que surgiu por conta dos avanços tecnológicos e da inserção deles em nossa rotina de trabalho.
Isso porque, no mesmo passo que a tecnologia e a internet tornaram mais prática, fácil e otimizada algumas de nossas atividades, elas também passaram a armazenar diversos dados pessoais e profissionais, como de fornecedores, de clientes e de colaboradores, além de informações internas sigilosas das empresas.
Assim nasceu a necessidade de monitorar todos esses dados e sempre pensar em estratégias para os manter seguros.
E é dessa premissa que nasce o data protection officer.
Em linhas gerais, esses profissionais se responsabilizam pela proteção de empresas com base na legislação sobre segurança na internet.
Ficou curioso para saber como isso acontece na prática?
Então, vem com a gente que nesse artigo entramos em mais detalhes sobre esses profissionais, como eles atuam, as suas responsabilidades e a importância deles para as empresas de todos os Ramos e tamanhos.
O que é um DPO ou Data Protection Officer?
O data protection officer é o profissional que cuida da proteção de dados de empresas e de seus clientes.
Ele trabalha diretamente com time de TI e de compliance, unindo ambos para manterem seguras todas as informações e dados que uma empresa armazena.
Justamente por essa característica, a sua atuação pode ir desde empresas privadas até a órgãos públicos, pois esses dois tipos de organizações coletam dados que precisam ser mantidos em segurança.
E toda atuação desses profissionais deve seguir as regras das autoridades que supervisionam a fiscalização do controle de dados do país, que no Brasil se trata da Autoridade Nacional de Proteção de Dados.
A Autoridade Nacional de Proteção de Dados surgiu junto com a implementação do regulamento da Lei Geral de Proteção de dados (LGPD), criada em 2018, que especifica em seu artigo 5º, inciso VIII, a presença de um profissional encarregado pela segurança dos dados pessoais das organizações.
Portanto, o data protection officer é uma profissão recente, que nasceu por conta das legislações atuais que visam combater vazamentos de dados e ataques cibernéticos.
Por que a proteção de dados é tão importante para as empresas?
Para as empresas, a proteção de dados é importante porque cada vez mais ficou claro o quanto os dados são valiosos trocar por os dados são importantes para fazer os negócios girarem, logo, eles se tornaram algo extremamente valioso.
E por mais que isso tenha um lado bom, o uso mal intencionado de dados tem um lado negativo: ele tem o poder de influenciar e manipular a nossa percepção de realidade.
É justamente por isso que começaram a ser criadas as leis que regulamentam e monitoram a forma como as empresas estão lidando com os dados que coletam de seus clientes, fornecedores e até colaboradores.
Em nosso país, criou-se a LGPD, Lei nº 12.965, de 23 de abril de 2014, também conhecida como Marco Civil da Internet ou Lei Geral de Proteção de Dados Pessoais, com punições severas a empresas que não garantem a segurança dos dados que armazenam, como multas que vão desde até 2% do faturamento da empresa até 50 milhões por infração.
Melhor não correr esse risco, concorda?
Como atua um DPO (Data protection officer)?
Na prática, o data protection officer atua em ações que focam em proteger os dados que as organizações armazenam, garantindo que as empresas estão operando de acordo com a legislação.
Isso envolve atuar sem restrições de acesso, ter contato frequente com autoridades supervisoras e aconselhar a diretoria, gerência e o time de TI e compliance quanto às melhores práticas para processar dados e mantê-los seguros.
Se o data protection officer deve ou não ficar alocado na empresa, ainda é uma questão indefinida nas leis brasileiras, portanto, fica a cargo da organização e do profissional entrarem em um acordo quanto a isso.
Como se tornar um DPO (Data Protection Officer)?
Para se tornar um data protection officer é fundamental ter uma ampla experiência na questão de processamento e proteção de dados, portanto, ser um profissional de Tecnologia da Informação ou um Advogado especializado em Direito Digital acaba sendo um diferencial.
A LGPD, lei que exige a inserção deste profissional nas empresas, não faz nenhum apontamento específico quando a carreira ou formação de um data protection officer.
Quais são as principais responsabilidades do DPO?
As principais responsabilidades do data protection officer envolvem monitorar a conformidade da empresa com a LGPD, avaliar o impacto da proteção de dados, cooperar com as autoridades supervisoras, fazer uma abordagem baseada em riscos e realizar a manutenção de registros.
Abaixo, entramos em mais detalhes sobre cada um desses pontos. Confira!
1. Monitorar a conformidade da empresa com a LGPD e GDPR
A nossa lei geral de proteção de dados (LGPD) é inspirada na General Data Protection Regulation (GDPR), a lei da União Europeia que entrou em vigor em 2012 para proteger os dados e identidades de seus cidadãos.
Nesse sentido, cabe aos DPOs monitorarem se as empresas em que eles trabalham estão em conformidade com essas duas leis.
Ressaltamos apenas que caso as empresas não estejam em conformidade com a Lei de Proteção de Dados, isso não é responsabilidade do DPO. Essa é uma responsabilidade do controlador ou do processador.
Então, ao atuar como um monitor de conformidade das empresas, o DPO informa, aconselha e dá recomendações às organizações quanto a segurança trocar por a segurança de dados que eles armazenam.
2. Avaliação de Impacto da Proteção de Dados
Para manter uma avaliação de impacto da proteção de dados, os DPOs devem realizar inventários e ter sempre registros de todas as operações de tratamento, baseadas em informações que são passadas pelos departamentos da empresa que cuidam de dados pessoais.
Assim, é possível manter um registro das operações de tratamento de dados, categorizando as atividades que são responsáveis por eles e tornando mais fácil a visualização dos riscos associados a cada operação e setor.
3. Cooperar com as Autoridades Supervisoras
No Brasil, a Autoridade Nacional de Proteção de Dados (ANPD) é a autoridade supervisora das empresas em relação à proteção de dados.
Portanto, os DPOs têm a responsabilidade de repassar qualquer informação que a ANPD solicitar em relação à empresa que ele presta seu serviço.
4. Abordagem Baseada em Risco
Ao desempenhar suas funções, o data protection officer deve levar em conta os riscos relacionados às operações de tratamento, considerando sua natureza, contexto, âmbito e finalidade de tratamento.
Assim ele fica encarregado de:
- treinar e orientar colaboradores da empresa sobre como manter a organização em conformidade com a LGPD;
- fazer avaliações e auditorias com regularidade para garantir que tudo está em conformidade com a LGPD;
- ser o ponto de contato entre a ANPD e a empresa para quem presta os serviços;
- manter um registro das atividades de processamento de dados que a empresa realiza;
- garantir que irá responder e informar os titulares de dados pessoais sobre a maneira que os seus dados estão sendo usados e protegidos pela empresa que os armazena;
- assegurar que qualquer pedido de acesso ou apagamento dos dados feito por parte dos titulares serão atendidos e respondidos.
Funções cotidianas do DPO nas organizações
No cotidiano, as funções do DPO envolvem principalmente ser a voz da proteção de dados, seja com os responsáveis internos e diretos pelo armazenamento ou com os responsáveis externos, como a Autoridade Nacional de Proteção de Dados (ANPD).
Além disso, a LGPD estabelece outras atividades do dia a dia desse profissional, como:
- esclarecer e tomar providências assim que receber reclamações de titulares;
- repassar aos gestores comunicações e atualizações da ANPD;
- treinar todos os colaboradores para adequá-los às práticas de segurança e uso de dados;
- passar orientações a todas as áreas da empresa para seguirem o Privacy by Design sempre que desenvolverem novos produtos, serviços e projetos;
- tomar frente do programa de compliance da LGPD, considerando o contexto e cultura da empresa, os requisitos legais e técnicos, além de respeitar a privacidade do titular;
- fechar relatórios e apontar possíveis mudanças que irão assegurar que a organização segue as normas da LGPD.
Qual a importância de ter um profissional DPO na sua empresa?
Um profissional de DPO é importante para as empresas porque atualmente todos os negócios lidam com dados de clientes e fornecedores, além de dados de seus colaboradores, logo, precisa mantê-los protegidos.
E como você viu até agora, é esse profissional que entende das leis de proteção de dados e maneiras de fazê-las serem cumpridas dentro das organizações, trabalhando em conjunto com a área de TI, de governança e de compliance.
Deste modo, a união desses setores com o DPO leva a estratégias mais assertivas de proteção de dados, cumprindo o seu papel com os cuidados e transparência de informações de seus usuários, além de proteger informações sigilosas do negócio.
E todo esse trabalho também envolve conscientizar outros colaboradores da empresa sobre os perigos do vazamento de dados e as atitudes individuais que todos podem adotar, para isso não ocorrer por conta de algum ato falho.
Deste modo, é essencial que o cargo e as funções do DPO sejam espalhadas pela empresa, para que todos entendam de fato o seu papel ali e que os outros profissionais confiem nele para tirar dúvidas ou até mesmo dar sugestões de pontos que podem ser melhorados.
Conclusão: DPO data protection officer
E aí, gostou de conhecer mais sobre o data protection officer?
Como você viu ao longo deste artigo, essa é uma profissão nova no mercado, porém muito importante, que exige que o profissional entenda de leis de segurança da informação e formas de garantir que os negócios estejam em conformidade com elas.
Uma vez inserido dentro das organizações, esse profissional trabalha em união com os times de TI, de governança e compliance.
Tecnologia por Assinatura que impulsionam negócios!