DPO: atuação que vai além da privacidade. O DPO enfrenta desafios no exercício da sua função que exigem atuação multidisciplinar.
A profissão de DPO (Data Protection Officer) ou Encarregado de Dados se tornou conhecida no Brasil com o advento da Lei Geral de Proteção de Dados Pessoais (LGPD), tendo sido incluída, em 2022, na Classificação Brasileira de Ocupações (CBO) pelo Ministério do Trabalho.
Um DPO é a pessoa física ou jurídica responsável por realizar a comunicação entre o controlador, a ANPD (Autoridade Nacional de Proteção de Dados) e os titulares de dados. Nas organizações, exceto nas de pequeno porte, conforme Resolução CD/ANPD nº 2/2022, a nomeação deste profissional é obrigatória perante à LGPD. Mas, além da responsabilidade como agente de tratamento inerente à comunicação, o DPO enfrenta desafios no exercício da sua função que exigem atuação multidisciplinar.
Posto isso, a ele cabe a promoção da cultura de Privacidade e Proteção de Dados Pessoais na organização para que as políticas e os procedimentos internos sobre privacidade sejam seguidos em todos os níveis organizacionais.
O profissional também precisa estar sempre atento às orientações da Autoridade Nacional (ANPD), tomar as devidas providências diante das situações que envolvem tratamento de dados pessoais, prestar esclarecimentos aos titulares de dados, dar respaldo no que tange às reclamações e comunicações e orientar colaboradores sobre boas práticas, bem como monitorar a conformidade da empresa em relação às obrigações legais.
Para tanto, é necessário engajamento com diferentes áreas para que a cultura da privacidade seja estabelecida de forma efetiva e contínua. Na análise de um incidente, por exemplo, é possível e necessário envolver mais de uma área para além da atuação do DPO, como a Segurança da Informação, que irá aplicar medidas técnicas de contenção e avaliação do incidente. O jurídico, por sua vez, emitirá um parecer sobre as eventuais consequências jurídicas, e as áreas de negócio serão acionadas em caso de informações adicionais.
Nos casos de treinamentos aos colaboradores, é necessário o envolvimento do RH para promover o engajamento. Já no que tange à avaliação de fornecedores, é preciso contar com a área de suprimentos para garantir que a avaliação de privacidade faça parte do fluxo de contratação e de renovações.
Esses são alguns dos casos nos quais é possível perceber a necessidade de atuação de um DPO com conhecimento dos processos internos da organização, desenvolvimento interpessoal e capacidades técnicas que vão além de privacidade.
Essa abordagem multidisciplinar permite mitigar os riscos no que diz respeito à privacidade e à proteção de dados pessoais a partir de uma análise mais completa e efetiva sobre os impactos do tratamento das informações.
Portanto, apenas o conhecimento teórico do DPO, sem a atuação focada nas várias áreas correlacionadas ao desenvolvimento das ações de privacidade e proteção de dados e sem um bom entendimento da estrutura organizacional da empresa, o programa de privacidade não será efetivo.
Por: Tainã Dias e Evelliza Dornela - consultoras de Data Privacy da Protiviti
Veja também:
- 1 de 4 organizações financeiras bloqueia o ChatGPT
- Aprimorando a segurança dos dados: o poder da IA na segurança cibernética
- O sono do CISO: Sonho ou Pesadelo?
- Empresas precisam investir em “3 Ps”: pessoas, produtos e processos
- Mais de 10 milhões de senhas vazadas mensalmente no Brasil
- Segurança de dados para aplicações em Nuvem
- O mundo de olho na segurança cibernética
- ANPD Divulga a primeira aplicação de Multa com inconsistências!
- Segurança dos Endpoints: Protegendo o usuário final
- Áreas de Tecnologia apostam no modelo Zero Trust
- Novo malware Mystic Stealer atinge 40 navegadores e 70 extensões
- Siemens Energy confirma violação de dados
Deixe sua opinião!