Um CISO ou CSO pode assumir a função de um DPO na LGPD?

Um CISO ou CSO pode assumir a função de um DPO na LGPD?  A LGPD – Lei Geral de Proteção de Dados brasileira, é a lei 13.709 de 14 de agosto de 2018 sancionada pelo então presidente Michel Temer. A lei que define regras para a proteção de dados pessoais espelhando-se na Regulamento Geral de Proteção de Dados (GDPR) da União Europeia que foi instituído em 25 de maio de 2018 para decidir sobre como as empresas e entidades devem abordar e garantir a proteção de dados pessoais.

Mais especificamente, a LGPD, assim como GDPR, é um conjunto de diretrizes sobre como as empresas devem gerenciar seus cenários de TI, equipe, parceiros e processos operacionais, a fim de garantir a segurança, confidencialidade, integridade e privacidade de qualquer dados que possua (por si só ou quando cruzado) referenciado como dados privados, pessoais ou pessoais sensíveis.

Sobre dados pessoais

Vamos fazer uma parada aqui para esclarecer melhor o que “dados pessoais” significa na LGPD, porque o conceito é mais abrangente do que os chamados “Informações Individuais Pessoais” – Personal Individual Information  (PII), conforme definido no Escudo de Privacidade:

  • A placa do seu carro é um dado pessoal sob o LGPD/GDPR. Por quê? Como existem repositórios acessíveis em que outros dados, quando comparados com a placa do carro, podem ser usados ​​para identificá-lo de forma inequívoca.
  • O ID do seu dispositivo móvel também é um dado pessoal no LGPD/GDPR Por que? Como nos registros das redes móveis, esse ID do dispositivo terá um endereço IP associado (estático ou dinâmico) que, por sua vez, está vinculado ao seu nome, endereço, número da conta bancária etc. no repositório de dados digitais da operadora de telecomunicações.
  • Sua fotografia pode permitir que terceiros o identifiquem inequivocamente, mesmo sem nenhuma referência cruzada, portanto, também é dado pessoal.
  • CPF, RG e numero de conta bancária são considerados dados pessoais, enquanto cor de pele, religião, opções sexuais, etnia e biometiras, são considerados dados pessoais sensíveis, pois qualificam a pessoa a qual está relacionada.

Portanto, não é mais apenas o seu RG, CPF, número da conta bancária ou nome e endereço; é tudo e qualquer coisa que pode identificá-lo ou ualificá-lo.

Aplicabilidade da LGPD

As empresas e entidades estabelecidas na União Europeia devem observar o GDPR em relação a qualquer titular de dados de qualquer região geográfica, enquanto as empresas estabelecidas fora da União Europeia devem observar o GDPR em relação aos residentes da União Europeia, independentemente de sua nacionalidade.  De forma similar é definido na LGPD, mas embora a LGPD defina regras para transferência internacional de dados privados, ela não menciona o tratamento dos dados fora do país, como a GDPR o faz.

Portanto vamos nos limitar neste estudo a considerar os aspectos nacionais da LGPD e suas consequências nas empresas.

O Oficial de Proteção de Dados (DPO)

A LGPD define a obrigação das empresas / entidades de nomear um Encarregado pelo Tratamento de Dados Pessoais, comumente chamado Diretor de Proteção de Dados (DPO), se planejarem realizar atividades de tratamento de dados pessoais (coleta, armazenamento, processamento ou compartilhamento) atuando na função de Controlador (pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais).

A função de DPO é definida no Art 41, bem como menciona que ele deverá ser anunciado publicamente e estabelece as suas atividades básicas:

Do Encarregado pelo Tratamento de Dados Pessoais
Art. 41. O controlador deverá indicar encarregado pelo tratamento de dados pessoais.
§ 1º A identidade e as informações de contato do encarregado deverão ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no sítio eletrônico do controlador.
§ 2º As atividades do encarregado consistem em:
I – aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
II – receber comunicações da autoridade nacional e adotar providências;
III – orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção
de dados pessoais; e
IV – executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
§ 3º A autoridade nacional poderá estabelecer normas complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados.

CISO, CSO e DPO

Para efeito de nosso estudo, vamos considerar CISO como a função responsável por Segurança de TI (a parte operacional de segurança como o controle de acesso e implementação de controles de firewall e outras tarefas operacionais)  e CSO como Segurança da Informação, onde a responsabilidade recai sobre políticas, compliance de segurança, monitoração, estratégia e outras atividades focadas em governança .

De fato, quando analisamos o papel do DPO podemos dizer que é  muito similar ao papel de uso CISO ou CSO, sendo um ponto essencial para a conformidade corporativa com a LGPD e, em alguns casos, um requisito legal.

A LGPD não afirma especificamente se a pessoa que desempenha a função de DPO pode ou não ter outras responsabilidades dentro da empresa. No entanto, precisamos analisar se a função de DPO e CISO ou CSO não constituem conflito de interesses para garantir que o LGPD seja observado.

Uma diferença significativa em comparação com o papel do CISO ou CSO é que o DPO deve se reportar exclusivamente à posição hierárquica mais alta da organização e nunca à gerência intermediária ou sênior, isso pode implicar em conflito de interesses.

Haveria conflito de interesses entre a proteção de dados e o CISO?

Então: Um CISO ou CSO pode assumir a função de um DPO na LGPD?

Para entender se um CISO pode assumir o papel de DPO na mesma empresa, precisamos entender as tarefas e deveres de ambos os perfis e avaliar se há conflitos de interesse que possam comprometer a garantia exigida da Proteção de Dados Pessoais.

Ambos os papéis parecem semelhantes e complementares, o que sugere que o CISO ou CSO pode, com algum treinamento e educação adicional, assumir o papel de DPO.

CISO ou CSO pode acumular a função de DPO?

Para evitar conflitos de interesse, a GDPR determina que o DPO deve se reportar diretamente ao Conselho de Administração ou COO / CEO da empresa e não a quaisquer cargos de gerência média ou sênior.

A LGPD não determina tal nível hierárquico e deixa aberto para as empresas a definição de onde está posição deverá estar localizada na estrutura organizacional.

Tradicionalmente, o CISO se reporta ao CIO, que então se reportará ao CEO (outra parte interessada da organização), em instituições financeira, no Brasil,  é obrigatório que a posição de segurança da informação esteja fora da TI, assim além da função do CISO acumulando todas as funções de segurança (operacionais e governança), pode haver outros dois modelos :

  1. CISO reportando a TI + o CSO reportando fora da TI;
  2. CISO/CSO acumulando atividades operacionais e de governança reportando fora da TI.

A diferença entre este dois modelos é que no modelo 1 a parte operacional de Segurança fica dentro da TI, enquanto as atribuições relativas a política, “compliance de si”, monitoração e estratégia ficam fora, criando assim um fator feito / conferido. Já no modelo 2 tanto a parte operacional como de governança ficam em uma área fora de TI.

Desta forma, se um CISO acumular a função de DPO e ele estiver reportando-se dentro da TI isso constitui um claro conflito de interesses para a função de DPO, porém se a função de CISO estiver fora da TI, reportando-se ao CEO / COO não teríamos o mesmo conflito.

Essa medida criaria um conflito, pois permitiria ao CISO decidir quais investimentos são necessários e resolver quaisquer problemas de segurança digital que existam ou possam surgir ao mesmo tempo que estaria atuando na parte operacional da empresa. Portanto, principal conflito de interesses deriva do papel operacional específico do CISO.

Conforme descrevemos, se a  função de segurança for bipartida entre CISO e CSO (modelo 1), poderíamos ter o CSO atuando como DPO sem conflitos pois a sua função, pois assim como o DPO o CSO estaria auditando as diretrizes corporativas para garantir a conformidade com a LGPD .

Para esclarecer, o CISO, conforme definição utilizada aqui, define as ações técnicas a serem adotadas para garantir a segurança dos ativos e dados corporativos de TI, e isso pode ser contraditório com a segurança dos dados pessoais, a privacidade e a garantia de confidencialidade.

De fato, o DPO estará auditando ativamente os conselhos, decisões e políticas do CISO, bem como de todos os outros departamentos, da mesma forma que o CSO realiza nos dias de hoje, a diferença é que se o CSO acumular a função de DPO a sua atuação seria expandida para cobrir todos os aspectos de privacidade dentro da empresa e não somente as questões técnicas de controles. compliance e segregações de funções.

“O CSO na função de Segurança Informação, sem as atribuições operacionais de segurança, poderia acumular a função de DPO”

Na GDPR já houveram vários casos em que as autoridades de supervisão penalizaram as empresas por esse tipo de organização conflituosa. Por exemplo, a Autoridade de Proteção de Dados da Baviera penalizou uma empresa por ter seu gerente de TI atuando como DPO porque foi entendido como um conflito de interesses. A Autoridade afirmou que o gerente de TI estava essencialmente se auto-monitorando, negando a independência obrigatória, enquanto atuava como DPO da empresa.

O mesmo conceito e experiência pode ser considerada quando falamos de LGPD.

Conclusão

Assim, o CISO , em sua função operacional deve atuar como uma função de suporte ao DPO, ao CIO, ao departamento jurídico e o gerente de cada departamento. Atuando de forma operacional na segurança, o CISO não deve desempenhar simultaneamente a função de DPO.

No entanto, o CSO na função de Segurança Informação, sem as atribuições operacionais de segurança, poderia acumular a função de DPO naturalmente, devido a seus conhecimentos.

Em sua trajetória funcional o CSO acostumou-se a tratar temas de compliance, privacidade e regulamentações em sua função cotidiana, por isto outra possibilidade é o que possamos considerar a migração de um CSO para a função de DPO de forma natural.

Por isto, considero mais natural um CSO migrar para DPO do que um advogado ou qualquer outra função, que em sua trajetória não teve nenhum contato ou necessidade de atuar com as decisões que envolvem diversas tecnologias, possibilidades de controles ou mesmo investigações forenses, o que certamente é algo bastante complexo para ser absorvido rapidamente por pessoas que nunca tiveram contato com isto.

Por: Kleber Melo - Sócio Consultor da MindSec Segurança e Tecnologia da Informação e redator proprietário do Blog Minuto da Segurança

Veja também:

About mindsecblog 2774 Articles
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

5 Trackbacks / Pingbacks

  1. Violação do UniCredit afeta três milhões de clientes
  2. Cartórios de SP expõe dados de 1 milhão de pais, mães e filhos
  3. Funcionário da Trend Micro vendeu dados de consumidores à scammers
  4. IDEC aponta preocupação com privacidade em novo marketplace do Fleury – Neotel Segurança Digital
  5. Empresas precisam escolher DPOs que atendam requisitos da LGPD – Neotel Segurança Digital

Deixe sua opinião!