DPO (Data Protection Officer): com a entrada em vigência da LGPD, essa é uma carreira promissora! Confira o que é, quais os papeis e responsabilidades, quais certificações buscar e qual a média salarial desse profissional responsável pela proteção de dados em uma empresa!

A Lei Geral de Proteção de Dados Pessoais (LGPD) trata dos assuntos relacionados à segurança dos dados pessoais e todas as empresas precisam se adequar, não somente pelas multas mas por uma questão de responsabilidade da marca. É aqui que entra o trabalho de um DPO (Data Protection Officer).

As empresas atualmente armazenam uma enorme quantidade de dados de clientes, nos seus mais diversos tipos, além de serem capazes através da análise de dados, de monitorar o comportamento dos usuários que acessam seus sites, sistemas de CRM e inbound marketing ou que interagem com a marca nas redes sociais.

Com a entrada em vigor da LGPD, há um cuidado ainda maior a ser tomado para que o armazenamento e o tratamento de dados sejam feitos de forma adequada, prevendo a proteção de invasões e vazamentos desses dados e informações.

Sim! Temos nosso dever de evitar quaisquer riscos de sermos alvos fáceis dessas invasões e vazamentos. Postei aqui no blog, inclusive, um artigo com dicas de cybersegurança para que nós como usuários finais, adotemos e assim, sejam menores esses riscos. Vale dar uma olhada!

O que é DPO (Data Protection Officer)?

DPO: o que é? Qual o papel?

De extrema importância para garantir a segurança dos dados nas empresas, o DPO (data protection officer) é o profissional nomeado pela empresa para cuidar das questões de proteção dos dados da organização e de seus clientes.

Esse profissional é quem, dentro de uma empresa deve entender mais sobre as legislações de segurança da informação no Brasil e no mundo pois ele servirá como uma ponte entre a organização, o titular dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).

Quais principais habilidades que deve ter?

Muito além de simplesmente estar familiarizado com as leis do país e regulamentos internacionais, o DPO deve ter também algumas habilidades específicas, dentre elas:

  • entender os conceitos básicos de tecnologia da informação para que possa apresentar soluções viáveis para a governança dos dados;
  • conhecer boas práticas de segurança da informação para armazenamento e tratamento de dados (dentre elas, a anonimização e pseudonimização de dados, como já mencionado aqui no blog);
  • ter certa experiência em gestão de compliance;
  • ser capaz de se comunicar de maneira clara e transparente para garantir a integridade das políticas estabelecidas na organização;
  • bom conhecimento das leis e práticas do setor;
  • por ter atuação ampla, deve ter alguma vivência e/ou bom conhecimento das áreas de infraestrutura, TI, gestão de processo e administração;

Acima de tudo, o Data Protection Officer deve ser um profissional interdisciplinar pois vai circular entre diversos departamentos da empresa, precisando manter um bom relacionamento com toda a equipe.

Como formalizar um DPO?

O DPO precisa ter autonomia reconhecida por todos dentro da empresa para que assim possa desenvolver suas funções e promover melhorias concretas.

É recomendável que o profissional ou empresa escolhida como DPO seja mencionado no site da empresa. Dessa forma, você dá respaldo para o profissional, além de fazer com seus clientes tomem conhecimento desses seus cuidados.

Quais os papeis e responsabilidades do DPO?

Esse profissional auxilia a empresa a adaptar processos para estruturar um programa de compliance com foco em maior segurança das informações. Para isso, trabalhará junto ao T.I. da empresa para criar mecanismos para proteger o acesso aos dados por pessoas não autorizadas.

O DPO pode atuar em qualquer empresa , de qualquer segmento que precise de alguém responsável pelo tratamento e processamento de dados pessoais.

Muitas empresas acabam tendo dificuldade na hora de contratar alguém para a vaga, já que essa é uma função relativamente nova e que combina habilidades de diferentes áreas.

Por isso, é comum que organizações menores acabem optando por terceirizar o serviço, contando com empresas de consultoria e escritórios de advocacia especializados em segurança de dados.

Qual empresa não precisa desse profissional, não é mesmo?

A doutora Denise Tavares divulgou no seu instagram, uma pesquisa da IAPP mencionando que a LGPD provavelmente exigirá pelo menos 50 mil DPOs no Brasil, fazendo desse, um profissional requisitado dentre as empresas. Confira:

Como um DPO deve atuar?

As funções do Data Protection Officer são determinadas pela legislação nacional, com a LGPD que entrou em vigor dia 17 de setembro de 2020 e, internacionalmente, pelo regulamento GDPR.

Como o Data Protection Officer será responsável por garantir as conformidades com o que a LGPD estabelece, é importante revisitar a lei geral de proteção de dados pessoais em seu art. 6º.

O tratamento de dados pessoais deve observar a boa-fé e dez princípios fundamentais, dentre eles:

  • princípio da finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
  • livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
  • qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
  • transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;

Lei geral de proteção de dados (PDF): PDF de boas práticas para a lei geral de proteção de dados, material disponibilizado pelo site gov.br, contém todos os princípios e muito mais informações de como o DPO deve buscar em sua atuação.

Compromisso e boas práticas!

O compromisso do DPO deve ser primeiro com a transparência e segurança dos dados do usuário, e não com a imagem da empresa (o que vem como consequência).

O infográfico abaixo indica que o profissional responsável por fazer com que a empresa esteja em compliance com a LGPD, na prática, deve pensar muito além de: “termo de consentimento” e “banner de cookies no site”.

DPO LGPD: muito mais que um termo de consentimento
Fonte: advogada Aline Fuke Fachinetti (https://www.linkedin.com/in/alinefachinetti/) licença CC BY-ND 4.0

Indico em minhas consultorias, algumas boas práticas de proteção de dados pessoais que o DPO precisa ter em mente para evitar vazamento de informações. Dentre elas:

  • criar mecanismos e políticas para coletar, armazenar e manipular os dados de via sistemas, descrevendo em uma documentação prévia, quem vai lidar com qual informação;
  • entender a procedência de cada fonte de dados e saber exatamente qual uso será feito deles;
  • garantir que o usuário tenha controle sobre os seus dados coletados, disponibilizando uma página específica onde cada usuário possa permitir ou restringir o acesso;
  • deixar claro para o cliente quais são os dados que a empresa está coletando e qual uso será feito com cada um deles (respeitando os princípios de transparência e finalidade);
  • garantir que a política de privacidade seja apresentada de maneira clara e organizada em uma página no site ou APP específica para isso.
  • disponibilizar também uma forma automatizada do usuário poder sair da base a qualquer momento, garantindo que o direito ao esquecimento previsto pela GDPR seja atendido;
  • aplicar técnicas de anonimização de dados pessoais ao armazená-los em bancos de dados;
  • caso se trate de consentimento para uso de dados de de crianças, por ser menor de idade e não poder responder por si, é importante criar mecanismos para que o acesso só seja liberado com a permissão dos pais;
  • caso algo falhe e haja um vazamento de informações, o DPO deve orientar a empresa a avisar os clientes afetados o mais rápido possível – o estatuto europeu, por exemplo, fala em um prazo de 72 horas.

Certificações recomendadas para se tornar um Data Protection Officer

O profissional não precisa ter formação em direito (o que não elimina a importância de conhecer a legislação como mencionado acima). No entanto, é fundamental ter conhecimentos de TI e conhecimento técnico para operação de softwares, integrações entre sistemas via API e algoritmos para rotinas de coleta e tratamento de dados.

Além disso, o profissional deve entender pelo menos os conceitos básicos da tecnologia da informação para apresentar soluções viáveis para a governança dos dados.

Por mais que ainda não exista um curso de graduação ou especialização com foco na capacitação de profissionais DPO, a grande demanda por parte das empresas tem ressaltado algumas certificações que podem ser úteis para o cargo, dentre elas:

  • Curso EXIN Privacy & Data Protection Essentials (PDPE): introduz o profissional às demandas da legislação brasileira por ser focado nos artigos da Lei Geral de Proteção de Dados Pessoais;
  • Privacy & Data Protection Foundation (PDPF) dá uma visão analítica sobre o GDPR para quem quer se aprofundar nas regras do regulamento europeu, apresentando um comparativo com o seu correspondente brasileiro, a LGPD.
  • Por último, o Privacy & Data Protection Practitioner representa o nível mais avançado na jornada de “formação” de um DPO.

As quatro certificações apresentadas aqui são obtidas após a realização de um exame com 40 questões de múltipla escolha, onde é preciso acertar o mínimo de 26.

Qual a média salarial de um DPO?

portal Vagas faz um cálculo da média salarial por cargos de acordo com os dados fornecidos por usuário reais. O site informa que a remuneração de um Data Protection Office chega em cerca de R$ 21,5 mil.

Carreira promissora e salários altos! Espero ter ajudado quem queira buscar se especializar na área com esse conteúdo. Gostou? Compartilha e deixe seu comentário! Até a próxima!

Referências: