Empresas precisam escolher DPOs que atendam requisitos da LGPD

Empresas precisam escolher DPOs que atendam requisitos da LGPD. Mas na hora de contratar, precisam saber se o profissional tem as habilidades necessárias.

 

Empresas de todos os setores e portes precisam do apoio de um gestor de proteção de dados (DPO) para garantirem conformidade com a lei. 
O encarregado da proteção de dados, ou DPO (Data Protection Officer), é um cargo relativamente novo para muitas empresas, pois sua função e responsabilidades surgiram devido à entrada em vigor da Lei Geral de Proteção de Dados (LGPD), em agosto de 2020.  

A LGPD exige que algumas empresas nomeiem um DPO para fazer cumprir a nova regulação, o que acabou criando no mercado uma demanda por indivíduos com conhecimento e experiência comprovadas para atuarem na função. “Para pequenas empresas, as responsabilidades de um encarregado de proteção de dados podem ser adicionadas às de um funcionário já existente. Para organizações maiores, muitas vezes é criado um cargo em tempo integral para desempenhar esse papel essencial”, explica Marcelo Barsotti, CRO (Chief Revenue Officer) da Pryor Global.

De maneira geral, o DPO é um especialista em proteção de dados, responsável por aconselhar uma empresa sobre como cumprir as exigências legais relativas ao tratamento de dados, além de investigar violações e responder quando as pessoas têm dúvidas ou reclamações. De acordo com o parágrafo 2º da LGPD, as atividades do encarregado consistem em: 

I – Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;

II – Receber comunicações da autoridade nacional e adotar providências;

III – Orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e

IV – Executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

Não há qualificação específica para que um indivíduo se torne um encarregado de proteção de dados, mas ele deve ter conhecimento especializado sobre a regulação e experiência prática na função. Além disso, o DPO não deve ter quaisquer deveres e responsabilidades atuais que possam entrar em conflito com suas responsabilidades de proteção de dados”, explica Barsotti.
Segundo o executivo da Pryor Global, para se tornar um encarregado de proteção de dados, é indicado passar por um treinamento apropriado e adquirir um certificado de DPO. “Os cursos o ajudarão a compreender todas as exigências técnicas da LGPD e lhe darão experiência para encarar as tarefas da profissão. Destacam-se duas certificações a nível internacional: EXIN e IAPP”, informa Barsotti.
Além de um forte entendimento da Lei Geral de Proteção de Dados, o DPO precisa ter boas habilidades de comunicação, pois trabalhará orientando a equipe de uma empresa, assim como responderá a dúvidas de outras pessoas e intermediará as conversas com a ANPD (Autoridade Nacional de Proteção de Dados).
A LGPD não especifica se o encarregado da proteção de dados deve ser pessoa física ou jurídica. “É possível, portanto, contratar o serviço de DPO as a service e a Pryor Global, conta com profissionais qualificados e certificados para ajudar as companhias que optarem pela terceirização de DPO, que é uma excelente opção para aquelas que não têm como designar um colaborador especificamente para função ou simplesmente, por uma questão de compliance, preferem que seja alguém externo”, conclui Barsotti.
Algumas empresas que não querem ou que no momento não possuem condições de investimento na contratação deste profissional ou na capacitação de alguém interno (qo que demoraria tempo considerável), estão optando por contração de empresas especializadas que desde a promulgação da lei atuaram em projeto de adequação e buscaram capacitação certificada em seu quadro de colaboradores. Este é o caso da MindSec, uqe atua no mercado de Segurança da Infromação há 10 anos, tem atuado em diversos projetos de adequação nos últimos anos e que possui em seu qadro de colaboradores profissionais experientes e certificados em segurança e privacidade. “Acreditamos que a nossa experiência de 10 anos no mercado de Segurança da Informação e os diversos projetos que temos atuado, nos mais diversos segmentos de mercado, aliado a profissionais certificações nacional e internacionalmente, tanto em SI como Privacidade, nos permit a prestar um ótimo serviço a nossos clientes onde atuamos como CISO e DPO, alguns a mais de 3 anos“, comenta Kleber Melo sócio proprietário da MindSec e redator chefe do Blog Minuto da Segurança.

CISO & DPO

Um CISO ou CSO pode assumir a função de um DPO na LGPD?  A LGPD – Lei Geral de Proteção de Dados brasileira, é a lei 13.709 de 14 de agosto de 2018 sancionada pelo então presidente Michel Temer. A lei que define regras para a proteção de dados pessoais espelhando-se na Regulamento Geral de Proteção de Dados (GDPR) da União Europeia que foi instituído em 25 de maio de 2018 para decidir sobre como as empresas e entidades devem abordar e garantir a proteção de dados pessoais.

Mais especificamente, a LGPD, assim como GDPR, é um conjunto de diretrizes sobre como as empresas devem gerenciar seus cenários de TI, equipe, parceiros e processos operacionais, a fim de garantir a segurança, confidencialidade, integridade e privacidade de qualquer dados que possua (por si só ou quando cruzado) referenciado como dados privados, pessoais ou pessoais sensíveis.

Quando analisamos o papel do DPO podemos dizer que é  muito similar ao papel de uso CISO ou CSO, sendo um ponto essencial para a conformidade corporativa com a LGPD e, em alguns casos, um requisito legal. Em uma analise de pareto, sem exagero, poderíamos dizer que 80% dos requisitos da lei seria relativo a controles e processos que envolvem de segurança, e por isso requerem experiencia na área, e os outros 20% relativos a adequações jurídicas. 

A LGPD não afirma especificamente se a pessoa que desempenha a função de DPO pode ou não ter outras responsabilidades dentro da empresa. No entanto, precisamos analisar se a função de DPO e CISO ou CSO não constituem conflito de interesses para garantir que o LGPD seja observado.

Uma diferença significativa em comparação com o papel do CISO ou CSO é que o DPO deve se reportar exclusivamente à posição hierárquica mais alta da organização e nunca à gerência intermediária ou sênior, isso pode implicar em conflito de interesses.

Para entender se um CISO pode assumir o papel de DPO na mesma empresa, precisamos entender as tarefas e deveres de ambos os perfis e avaliar se há conflitos de interesse que possam comprometer a garantia exigida da Proteção de Dados Pessoais.

Ambos os papéis parecem semelhantes e complementares, o que sugere que o CISO ou CSO pode, com algum treinamento e educação adicional, assumir o papel de DPO. 

Privacidade é um subset de Dados Confidenciais, um dos tripés base de Segurança da Informação, desta forma,  juntar as funções de CSO e DPO, ou mesmo utilizar profissionais de SI na função de DPO, faz todo sentido para mim”, menciona Kleber Melo. “Outra situação que complementa este pensamento é que o CSO sempre teve que lidar com Leis e Compliance em sua função, mesmo porque este é um dos domínios de SI definidos pela ISO27001″, complementa.

Embora na GDPR seja estabelecido o nível hierarquico ao qual o DPO deve se reportar, a LGPD não determina o nível hierárquico e deixa aberto para as empresas a definição de onde está posição deverá estar localizada na estrutura organizacional.

O CISO , em sua função operacional deve atuar como uma função de suporte ao DPO, ao CIO, ao departamento jurídico e o gerente de cada departamento. Atuando de forma operacional na segurança, o CISO não deve desempenhar simultaneamente a função de DPO.

No entanto, o CSO na função de Segurança Informação, sem as atribuições operacionais de segurança, poderia acumular a função de DPO naturalmente, devido a seus conhecimentos.

Em sua trajetória funcional o CSO acostumou-se a tratar temas de compliance, privacidade e regulamentações em sua função cotidiana, por isto outra possibilidade é o que possamos considerar a migração de um CSO para a função de DPO de forma natural.

Por isto, considero mais natural um CSO migrar para DPO do que um advogado ou qualquer outra função, que em sua trajetória não teve nenhum contato ou necessidade de atuar com as decisões que envolvem diversas tecnologias, possibilidades de controles ou mesmo investigações forenses, o que certamente é algo bastante complexo para ser absorvido rapidamente por pessoas que nunca tiveram contato com isto.

Lei mais sobre o CISO na função de DPO em nosso artigo Um CISO ou CSO pode assumir a função de um DPO na LGPD?

Fonte: ComputerWeekly & Blog Minuto da Segurança
Veja também:
Sobre mindsecblog 1881 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

Seja o primeiro a comentar

Deixe sua opinião!