LGPD: Qual o papel do DPO, além do jurídico?

por André Nogueira – Security Information NEWS

Com a iminência da adequação das empresas à Lei Geral de Proteção de Dados (LGPD), a figura do Data Protection Officer, conhecido como DPO, ganhará ainda mais importância por deter a responsabilidade de administrar os dados pessoais pelas empresas e, portanto, desempenhará um papel fundamental na regulamentação da Lei.

A definição do DPO ou encarregado (como definido na LGPD) foi originalmente proposta pela GDPR (General Data Protection Regulation) –  regulamento europeu de proteção de dados pessoais que inspirou a elaboração da Lei nacional. Esta função assegura que os processos internos da organização envolvendo dados de clientes, colaboradores, fornecedores e outros indivíduos estejam em compliance.

Desse modo, uma importante qualificação exigida para assumir o cargo de DPO é a experiência em práticas de governança de proteção de dados. Afinal, se faz necessário que esse profissional tenha habilidades de interpretação jurídica para manter a conformidade dos regulamentos internos à legislação que está em vigência e, também, para reportar à Autoridade Nacional de Proteção de Dados e assessorar a elaboração dos relatórios de impacto à proteção de dados pessoais (DPIA).

No entanto, é importante ressaltar a necessidade de conhecimento multidisciplinar, dado que o encarregado pela proteção de dados não se limita ao jurídico, já que também engloba as atividades das áreas de gestão de processos de negócios e tecnologia.

Por isso, o DPO, no desempenho de sua função, deve conhecer plenamente as atividades das empresas, as alocações de equipes e suas responsabilidades no que tange ao processamento de dados pessoais e ao monitoramento que se estende a fornecedores e terceiros.

No campo da tecnologia, a segurança da informação é uma das áreas que mais estão alinhadas ao programa de privacidade numa organização. As ferramentas tecnológicas de cibersegurança asseguram que os controles apropriados estejam sendo empregados a fim de auxiliar o programa de privacidade na mitigação de riscos. Tendo isso em vista, o DPO precisa também possuir habilidades em Tecnologia da Informação para compreender os mecanismos de segurança a serem implementados a fim de prevenir, detectar ou corrigir incidentes envolvendo dados pessoais para evitar vazamentos ou acessos indevidos.

Ademais, a ideia de privacidade trazida pela LGPD levanta a necessidade da elaboração de políticas internas para alinhar os sistemas das empresas aos parâmetros de privacidade e controles de segurança, além de estar em compliance com a legislação e criar uma mentalidade a respeito da proteção de dados.

Portanto, a legislação nacional de proteção de dados conferiu uma grande responsabilidade ao DPO de uma empresa, obrigando-o a possuir conhecimento jurídico em privacidade de dados, assim como em gestão de processos de negócios e segurança da informação, já que essas habilidades são necessárias para a manutenção de um programa de privacidade de dados em linha com as exigências da LGPD.

Ou seja, além da dificuldade na adequação à Lei pelas empresas, há a dificuldade de encontrar um profissional que cumpra todos os requisitos! Um caminho é a terceirização da função do DPO para empresas que consigam absorver essas duas qualificações em um único serviço. Vale a análise!

*Por André Cilurzo, especialista em LGPD e diretor associado de Data Privacy, que contou com a contribuição de Maurício Figueiredo, consultor em Data Privacy, ambos da ICTS Protiviti

Fonte: Security Report

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *