LGPD | O que faz o Oficial de Proteção de Dados Pessoais?
Por Giovana Pignati • Editado por Claudio Yuge | •
A Lei Geral de Proteção de Dados é a principal legislação sobre segurança de informações no ambiente digital no Brasil. Nos últimos dois anos, empresas de todo o país tiveram que adequar seus processos de tratamento de dados para se manterem em dia com as normas previstas na lei. A partir deste cenário, um profissional passou a ter mais relevância nas companhias: o Oficial de Proteção de Dados Pessoais (DPO, da sigla em inglês para Data Protection Officer).
- Dia Internacional de Proteção de Dados: ano novo e velhas ameaças
- 80% das empresas no Brasil ainda não se adequaram à LGPD
Segundo Antonielle Freitas, DPO do escritório Viseu Advogados, o art. 41 da LGPD prevê a obrigatoriedade do controlador de dados designar uma pessoa ao cargo. Para a especialista, ter um Oficial de Proteção de Dados Pessoais na equipe significa dedicação total à proteção de dados na organização, garantindo a segurança dos colaboradores, e da própria instituição.
"Ele empenhará seus melhores esforços e expertise profissional para assegurar que os tratamentos de dados pessoais estejam em conformidade com os regulamentos globais de privacidade de dados, estabelecendo o padrão e tutelando as informações dos usuários por meio de práticas e padrões éticos", afirma Freitas.
O que faz o DPO?
O DPO é responsável por diversas atividades, não só limitadas ao setor tecnológico e jurídico. Conforme explica a especialista, além de assegurar o cumprimento da legislação local aplicável, ele atua como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).
Antonielle ainda cita que o § 2º do mesmo artigo, lista as atividades do DPO do seguinte modo:
- Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
- Receber comunicações da autoridade nacional e adotar providências e orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;
- Executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
Sendo assim, este profissional deve lidar simultaneamente com a segurança das informações que envolvem desde os colaboradores até os vários fornecedores de uma companhia, além de possuir habilidades de gestão e conhecimento de governança.
Diferença entre controlador e operador?
Vale ressaltar que a diferença entre controlador e operador de dados está no poder de decisão. O controlador é o responsável pelas informações, enquanto o operador é quem, a partir das ordens dadas pelo controlador, atua sobre os dados.
Vazamento de Dados
No caso de um vazamento de dados, o DPO participa desde a identificação do incidente até a neutralização da ameaça — é o que explica Antonielle. Ao detectar o vazamento, o profissional deve:
- Realizar uma avaliação inicial detalhada do incidente;
- Engajar especialistas dos setores afetados para colaborar a qualquer momento que julgar adequado e viável;
- Caso seja concluído que o incidente acarretou risco ou dano relevante aos titulares de dados pessoais, o DPO, possivelmente assessorado pela Assessoria de Comunicação, deverá fazer as comunicações obrigatórias por Lei. Essas comunicações podem incluir: (i) agradecimentos ao notificador, (ii) informações para os titulares de dados, (iii) informações à imprensa, bem como (iv) relatórios formais para a ANPD e outras autoridades competentes;
- Com o incidente contido e sua resolução encaminhada, o DPO deve agendar e conduzir uma reunião de lições aprendidas, com convidados a seu critério, visando discutir erros e dificuldades encontradas, propor melhorias para os sistemas e processos - inclusive deste Plano de Resposta a Incidentes;
- Documentar o incidente em base de conhecimentos apropriada, detalhando as informações obtidas, linha de tempo, atores envolvidos, evidências, conclusões, decisões, autorizações e ações executadas, inclusive as da reunião de lições aprendidas;
- Após a neutralização da ameaça, o encarregado (DPO) deve elaborar um relatório circunstanciado de todas as medidas que foram adotadas, apresentando todas as informações relevantes, tais como, informações sobre o incidente em si (quando foi identificado, qual sua natureza, danos ou potenciais danos causados, a extensão, a relevância e a repercussão desses danos, etc).
Previsão de mercado para os DPOs
O mercado de dados está em crescimento, devido à alta demanda de profissionais do setor. Segundo a especialista, a figura do DPO obteve atenção a partir de 2018, com a publicação da LGPD, e foi aumentando com o tempo. Um levantamento do PageGroup de 2021 aponta que estes profissionais recebem até R$ 20 mil por mês — valor bem acima da realidade nacional.
"Com a publicação do Regulamento de dosimetria de sanções neste primeiro trimestre de 2023, possivelmente a aplicação fática das multas pecuniárias evidenciará ainda mais a necessidade deste profissional nas organizações. Daí em diante, é provável que, com a construção de uma cultura nacional em privacidade e proteção de dados, as ofertas de oportunidades na área aumentem ainda mais", conclui Antonielle.
Fonte: LGPD Brasil