Data protection officer: o que faz esse profissional indispensável para a LGPD?

O DPO será responsável juridicamente por provar que a empresa seguia os procedimentos estabelecidos pela lei/Pixabay
O DPO será responsável juridicamente por provar que a empresa seguia os procedimentos estabelecidos pela lei/Pixabay
Legislação brasileira ainda não especifica a formação necessária para se tornar um DPO.
Fecha de publicación: 11/08/2020
Etiquetas: LGPD

Uma nova área de atuação está surgindo no Brasil. Com a prorrogação da Lei Geral de Proteção de Dados (LGPD) para 2021, as empresas ganharam um prazo maior para se adaptar às exigências da lei e profissionais de diversas áreas se veem diante de uma oportunidade: a de se tornarem DPOs, ou Data Protection Officers.

 

A nomenclatura vem da General Data Protection Regulation (GDPR), legislação europeia em vigor desde 2018. Por aqui, será conhecido como encarregado. De acordo com a lei brasileira, toda empresa terá de contar com esse profissional, independentemente de seu porte ou segmento de atuação. Mas, afinal, o que ele faz e o que é necessário para se tornar um?

 

É chamado de data protection officer o profissional responsável por cuidar das questões relacionadas à proteção de dados de uma organização e de seus clientes. Ele é a figura central do relacionamento entre titulares de dados e empresas e entre as empresas e a Agência Nacional de Proteção de Dados Pessoais (ANPD), de responsabilidade do governo federal, que ainda precisa ser devidamente estruturada para fiscalizar o cumprimento da lei.

 

Na prática, seu trabalho consiste em estruturar um programa de segurança da informação em conformidade com a legislação, que estabelece diretrizes para tratamento de dados. Atualmente, esse cuidado com a proteção do titular se torna ainda mais importante, com o aumento da presença digital de marcas e consumidores. Estima-se que a pandemia tenha acelerado em seis anos a transformação digital – portanto, uma quantidade crescente de dados estará disponível no ambiente virtual e precisa ser devidamente protegida.

 

Será um cargo de confiança que exigirá do profissional uma bagagem de conhecimento multidisciplinar, com destaque para as áreas de direito e tecnologia da informação e, essencialmente, dos processos da empresa em que irá atuar. A lei brasileira não determina uma formação ideal ou certificado necessário para realização da atividade, mas o próprio exercício do trabalho irá exigir conhecimento profundo nas leis, para compreender a responsabilidade da empresa e de proteção de dados, ainda que uma equipe de TI possa e deva auxiliá-lo com demandas mais técnicas.

 

Conhecer profundamente a empresa é fundamental porque ele será o porta-voz, o elo de comunicação com o titular. Assim, deverá transmitir transparência e a cultura da organização por meio desse relacionamento. Deve-se entender que a LGPD é uma oportunidade de estreitar o relacionamento com o consumidor, reforçando os valores de marca e criando confiança mútua – afinal, ter controle sobre seus dados é um direito de todos.

 

Pode-se imaginar, então, que o DPO possa ser uma figura sênior da empresa, que conheça todos os procedimentos internos e carregue em si essa cultura. Mas é importante ter em mente que este profissional deve atuar somente nessa função. Então, cabe o questionamento para as empresas: vale a pena realocar aquele profissional experiente em sua área para algo totalmente novo? Se entender que não, há opções interessantes no mercado, como a contratação de um serviço externo, como o de um escritório de advocacia. Tudo dependerá do planejamento da empresa.

 

Ainda há muito a ser feito. Um levantamento feito pela Associação Brasileira das Empresas de Software (ABES), junto à consultoria Ernest Young, apontou que 60% das companhias brasileiras ainda não estão prontas para a LGPD. Portanto, é preciso ter confiança no trabalho desse profissional. No caso de um vazamento de dados, por exemplo, ele será responsável juridicamente por provar que a empresa seguia os procedimentos estabelecidos pela lei, mas foi vítima de uma ação externa.

 

Enquanto a legislação brasileira não especifica a formação necessária para se tornar um DPO, a dica é procurar por cursos e certificados internacionais. Eles, geralmente, se constituem em três etapas de aprendizado: regulamentação jurídica, fundamentos da segurança da informação e de prática de segurança da informação.

 

Isso dará segurança e conhecimento para o profissional executar melhor seu trabalho e fortalecer a empresa diante da vigência da lei. Não basta estar atento às oportunidades, mas é preciso estar preparado para quando elas baterem à porta.

 

*Gabriela de Ávila Machado é advogada, DPO (Data Protection Officer) certificada e líder da área societária do Marcos Martins Advogados.

 

Add new comment

HTML Restringido

  • Allowed HTML tags: <a href hreflang> <em> <strong> <cite> <blockquote cite> <code> <ul type> <ol start type> <li> <dl> <dt> <dd> <h2 id> <h3 id> <h4 id> <h5 id> <h6 id>
  • Lines and paragraphs break automatically.
  • Web page addresses and email addresses turn into links automatically.