-
Para atender a grande demanda DPOs por parte das empresas tanto na
Europa como no Brasil, a GetGlobal International em parceria com a EXIN,
que já atua no mercado de certificação profissional há mais de 40
anos, oferece um programa de qualificação profissional especifica e
direcionada a esse novo desafio profissional.
-
Um DPO precisa ter conhecimento especializado de leis, normas setoriais,
segurança da informação e práticas de proteção de dados. No
entanto, isso não significa que ele deve ser um advogado ou formado em
TI, ele é um misto de ambas as profissões. Este profissional deve ter
uma compreensão do funcionamento interno de sua infraestrutura de TI,
dos sistemas de gerenciamento de informações, além de processos de
negócio que manuseiem dados pessoais. Excelentes habilidades de gestão
e comunicação também devem ser uma necessidade para lidar com a
equipe interna, incluindo a alta administração. A Getglobal
International aborda todos esses temas no seu treinamento.
-
Contratar um DPO qualificado é um desafio, especialmente para empresas
de pequeno e médio porte. O candidato certo deve ter experiência em
nível gerencial em segurança cibernética, TI e/ou governança, risco
e conformidade, além de um amplo conhecimento jurídico no tema em
questão. Se a pessoa contratada ou candidato possuir um elevado
conhecimento sobre segurança da informação, mas não possuir
conhecimento razoável sobre leis e práticas de proteção de dados,
ela poderá buscar algumas certificações que podem preencher essa
lacuna.
-
Sim, pela falta de profissionais qualificados internamente, organizações de pequeno e médio porte tendem a terceirizar o trabalho do DPO a partir de empresas de consultoria
ou escritórios de advocacia especializados em proteção de dados.
-
O GDPR exige que as empresas nomeiem um DPO em determinadas situações,
por exemplo, quando a organização processar ou armazenar grandes
quantidades de dados pessoais pertencentes a cidadãos europeus. No
Brasil, ainda não foram definidas as hipóteses para dispensa de um
DPO. Então, em princípio, há que se considerar que todas as empresas
que lidam com dados pessoais massificados ou em grande volume vão
precisar nomear um.
-
O DPO é uma pessoa que estará envolvida em todas as questões
relacionadas à proteção de dados pessoais e cujas principais
funções envolvem: Informar e aconselhar o controlador ou o processador
e os seus funcionários sobre as suas obrigações em relação ao
GDPR/LGPD; Monitorar a conformidade com o GDPR/LGPD. Isso inclui
supervisionar documentação, processos e registros; Fornecer
aconselhamento, quando solicitado, no que diz respeito à Avaliação de
Impacto sobre a Proteção de Dados (AIPD); Atuar como um ponto de
contato para solicitações dos titulares com relação ao processamento
de seus dados pessoais e ao exercício de seus direitos; Cooperar com as
autoridades de proteção de dados (APDs) e atuar como um ponto de
contato com as APDs em questões relativas ao processamento de dados
pessoais na organização
-
Engana-se quem pensa que a LGPD é uma preocupação apenas de grandes
empresas. As pequenas e médias empresas também são afetadas pela lei
e podem correr sérios riscos de penalizações. Enquanto as
organizações maiores terão recursos para lidar com as adequações
necessárias, enormes multas e ações judiciais, as pequenas e médias
empresas podem simplesmente serem eliminadas do mercado por conta da
natureza da violação e/ou pelos custos imediatos para lidar com esta.
-
Algumas garantias básicas são estabelecidas para que o DPO possa
executar suas tarefas com um grau suficiente de autonomia dentro de sua
organização. Em particular, os responsáveis são obrigados a garantir
que o DPO não sofra interferência no exercício de suas funções.
Independentemente de serem ou não funcionários do responsável pelo
tratamento, os DPO's devem ser capazes de desempenhar suas funções e
tarefas de forma independente. Isso significa que os Encarregados de
Proteção de Dados não devem sofrer pressões e interferências no
desempenho de suas funções. Por exemplo, qual resultado deve ser
alcançado, como investigar uma reclamação ou se a autoridade
supervisora deve ser consultada. Além disso, eles não devem ser
influenciados a tomar uma decisão sobre um assunto relacionado à lei
de proteção de dados, por exemplo, uma interpretação particular da
lei. O controlador ou processador permanece responsável pela
conformidade com a lei de proteção de dados e deve ser capaz de
demonstrar essa conformidade. No entanto, a autonomia dos DPOs não
significa que eles tenham poderes de decisão que vão além de suas
funções, mantendo sua função primordial de aconselhamento e
orientação. O controlador ou processador permanece responsável pela
conformidade com a lei de proteção de dados e deve ser capaz de
demonstrar essa conformidade. Se o controlador ou processador tomar
decisões que sejam incompatíveis com o GDPR ou LGPD e com o parecer do
DPO, este deve ter a possibilidade de aplicar sua clara opinião, ainda
que discrepante daqueles que tomam as decisões.
-
Em agosto de 2020, entra em vigor a lei nº 13.709, também conhecida com LGPD (Lei Geral de Proteção de Dados).
Com isso, o Brasil passa a fazer parte dos 120 países que contam com uma regulamentação específica para proteção de dados pessoais.
-
Ela exige que a organização suporte seu Encarregado de Proteção de Dados através dos recursos necessários para executar suas tarefas e acesso a dados pessoais e operações de proteção.
Em particular, os seguintes pontos serão levados em conta:
• Suporte ativo da função de DPO pela alta administração (como no nível do conselho).
• Tempo suficiente para os DPOs cumprirem suas funções. Isto é particularmente importante quando o DPO trabalha a tempo parcial. Ou quando o trabalhador realiza proteção de dados além de outras obrigações. Caso contrário, as prioridades conflitantes podem resultar na negligência das tarefas do DPO. Ter tempo suficiente para se dedicar a tarefas de DPO é primordial. É uma boa prática estabelecer uma porcentagem de tempo para a função DPO, onde ela não é feita em tempo integral. Também é uma boa prática determinar o tempo necessário para executar a função, o nível apropriado de prioridade para as tarefas do DPO, e para o DPO (ou a organização) desenvolver um plano de trabalho.
Outros aspectos a serem considerados
• Apoio adequado em termos de recursos financeiros, infra-estrutura (instalações, instalações, equipamentos) e pessoal, quando apropriado.
• Comunicação oficial da designação do DPO a todo o pessoal para assegurar que sua existência e função sejam conhecidas dentro da organização.
• Acesso necessário a outros serviços. Como Recursos Humanos, Jurídico, TI, Segurança, etc. Os Encarregados de Proteção de Dados podem receber suporte, contribuições e informações essenciais desses outros serviços.
• A formação contínua . Os DPOs devem ter a oportunidade de se manter atualizado sobre a proteção de dados . O objetivo deve ser aumentar constantemente o caráter dos especialistas em DPO. Eles devem ser incentivados a participar de cursos de treinamento sobre Proteção de Dados e outras formas de desenvolvimento profissional, como a participação em fóruns de privacidade, workshops, etc.
• Pode ser necessário estabelecer uma equipe de DPO . Nesses casos, a estrutura interna da equipe e as tarefas e responsabilidades de cada um de seus membros. Além disso, quando a função DPO é exercida por um prestador de serviços externo, uma equipe de profissionais que trabalham para essa entidade pode efetivamente realizar as tarefas de um DPO sob a responsabilidade de um contato designado para o cliente.
Em geral, quanto mais complexas e sensíveis as operações de processamento, mais recursos devem ser fornecidos ao DPO.
A função de proteção de dados deve ser eficaz e suficientemente coberta em relação ao processamento de dados que está sendo executado.