Falar que os dados são hoje o ativo mais importante de uma empresa é redundância. Isso fica cada vez mais claro, especialmente em tempos em que informações pessoais têm sido frequentemente usadas como moeda de troca por diversas plataformas.

Essa é uma inquietação global já há algum tempo e, em 2016, foi apresentado ao Parlamento Europeu o Regulamento Geral de Proteção de Dados (General Data Protection Regulation – GDPR). O documento está em vigor na Europa desde 2018 e estabelece, entre outros aspectos, a figura do Encarregado de Proteção de Dados (Data Protection Officer – DPO).

A ideia é que as empresas tenham alguém para cuidar da proteção de dados pessoais dos cidadãos (funcionários, indivíduos de fora da organização ou ambos). Por isso, a norma exige que determinadas instituições que recolhem, processam ou armazenam esse tipo de informação em larga escala tenham um DPO. Por lá, a obrigatoriedade ocorre em três casos:

quando o tratamento de dados é feito por uma autoridade ou organismo público (com exceção daqueles que exercem atividade jurisdicional);

quando a instituição está envolvida em monitoramento sistemático (e em larga escala) de dados pessoais de usuários;

quando a entidade processa ou controla dados pessoais sensíveis ou relativos a condenações ou delitos criminais.

No Brasil, a preocupação com o tema tem crescido. Isso porque a Lei Geral de Proteção de Dados Pessoais (LGPDP) entra em vigor em agosto de 2020 e, a partir de então, muitas empresas vão precisar ter um DPO. “As controladoras (que demandam o tratamento de dados pessoais) devem, obrigatoriamente, ter esse profissional na equipe. Já para as operadoras (que, efetivamente, lidam com essas informações), não há previsão expressa de que mantenham um”, diz Vanessa Lerner, especialista em LGPD do Dias Carneiro Advogados.

De modo geral, a diferença entre controlador e operador está no poder de decisão. Enquanto o controlador é o responsável pelas informações, o operador é quem, a partir das ordens dadas pelo controlador, atua sobre os dados. Por isso, é essencial que o DPO conheça a legislação, tenha experiência em governança (ou seja, saiba quais informações a companhia detém) e entenda de segurança da informação.

“Além disso, quem exercer essa função vai ter de falar com várias áreas da companhia”, diz o especialista em segurança da informação Vinicius Mendes, diretor regional de vendas da Netskope. “Pode ser até que seja apenas uma função assumida por um executivo de segurança da informação”, completa â€‹â€‹â€‹â€‹â€‹â€‹Leandro Avanço, pesquisador da Seção de Automação, Governança e Mobilidade Digital (CIAM) do Instituto de Pesquisas Tecnológicas (IPT). “No contexto atual, esse é o perfil mais adequado para assumir essa função.”

Comunicação com fiscalizadores

Avanço destaca que a interação com a Autoridade Nacional de Proteção de Dados (ANPD) deve ser feita por uma única pessoa. “É preciso que ele ocupe um cargo em nível gerencial e estratégico, já que um analista ou especialista não pode ser responsabilizado em algumas situações”, comenta. “Nesse caso, ele pode ser auxiliado por uma equipe de profissionais que tenham os conhecimentos técnicos e jurídicos requeridos.”

Isso é importante porque é o DPO quem supervisiona a estratégia usada na preservação de dados e sua implementação. “Esse encarregado é um conselheiro da companhia em relação às práticas que ela deve adotar, mas não é o responsável pelo cumprimento dessas diretrizes”, explica Vanessa, do Dias Carneiro Advogados. “Quando ele for apontado pela organização, seu nome se tornará público e referência sobre o tema na empresa”, completa.

Ele deve, então, educar a companhia e a equipe sobre os requisitos de conformidade, além de treinar os profissionais envolvidos nos processos relacionados ao tratamento de informações e fazer auditorias de segurança. É ele, afinal, quem vai ser o ponto de contato com as autoridades que monitoram atividades relacionadas a dados — no Brasil, a ANPD. “Por isso, o DPO indica à empresa como agir e diz se os procedimentos adotados por ela estão adequados ou não. Ele é responsável por registrar isso e informar a ANPD se questionado.”

Em outras palavras, o DPO guia a organização na proteção dos dados pessoais armazenados por ela. Para isso, deve ter excelentes habilidades de gerenciamento e ser capaz de interagir tanto com a equipe interna (em todos os níveis) quanto com as autoridades externas. Além de orientar a companhia sobre como obter a conformidade, deve alertar as autoridades quando ela não aderir (e a empresa pode estar sujeita a multas nesse caso).

Formação profissional esperada

Na Europa, não foram fixados requisitos mínimos de formação para quem quer atuar como DPO, mas o profissional deve ter “conhecimento especializado de leis e de práticas de proteção de dados”. Afinal, é ele quem vai aconselhar as companhias e verificar se elas obedecem a lei quando lidam com dados pessoais de terceiros. Por isso, ele deve, ainda, ter autonomia para atuar de forma fiscalizatória – e não ser impedido pela empresa de fazê-lo.

Como a LGPDP é baseada no GDPR, muitos dos aspectos adotados na Europa têm um equivalente aqui. As certificações atuais para quem quer se capacitar têm como referência justamente a lei europeia. “O GDPR é mais robusto e já está há um ano em vigor. Faz sentido, então, estudá-lo para entender a LGPDP”, avalia Vanessa. “Mesmo assim, não se pode deixar de considerar as particularidades da norma local.”

Quando uma lei entra em vigor, espera-se que as instituições afetadas por ela já estejam preparadas para acatá-la. “A LGPDP é tão complexa que, entre sua assinatura e sua vigência, foram incluídos dois anos para a adequação. Mesmo assim, pode ser que seja necessário um período de adaptação e até de educação”, conclui.