DPO: Data Protection Officer
A lei geral de proteção de dados (LGPD), que entraria em vigor em agosto de 2020, foi adiada para maio de 2021, em decorrência da situação de pandemia vivida mundialmente.
Inspirada pela General Data Protection Regulation (GDPR), da união Europeia, a LGPD é uma lei de grande importância, uma vez que regula as situações de utilização dos dados pessoais. Ela aplica regras para o tratamento de dados e para a proteção de direitos de liberdade e privacidade nas redes.
Uma das exigências da lei é que as organizações devem contar com um encarregado pelo tratamento de dados pessoais, função denominada Data Protection Officer (DPO). Quer saber mais sobre as exigências atribuídas a esse cargo? Então acompanhe nosso post e conheça os detalhes acerca das atribuições de um DPO.
Principais tópicos deste artigo
O que é DPO?
De acordo com o marco de proteção à privacidade, as organizações que manipulam dados pessoais devem possuir um profissional encarregado pelo tratamento de dados pessoais, denominada DPO.
Dentro das funções a serem executadas, esse profissional é responsável por lidar com as reclamações de clientes sobre uso indevido de dados, tomar providências a fim de sanar problemas, guiar funcionários sobre as formas legais de tratamento de dados de terceiros e receber os comunicados da Autoridade Nacional de Proteção de Dados (futura agência reguladora de dados pessoais).
Esse profissional irá acompanhar todo o processo dos quais os dados circulam dentro de uma organização. Na prática, significa que ele precisará conhecer todo o ciclo de vida dos dados na empresa:
- Como e de onde os dados são coletados;
- Para que os dados são utilizados;
- Com quem estes dados são compartilhados;
- Como os dados são descartados.
O DPO também será o responsável por disseminar a cultura de proteção de dados e criar procedimentos para adequar a organização à nova Lei de Proteção de Dados.
Além disso, o Data Protection Officer deve ser autoridade relacionada aos dados da organização, possuindo autonomia para que caso necessário, conteste os interesses da organização diante de práticas ilegais de tratamento de dados.
Os executivos da empresa devem dar apoio e autonomia para esses profissionais de segurança digital, uma vez se ocorrer ações que firam o marco civil de proteção de dados tanto a direção da empresa quanto o DPO poderão ser responsabilizados.
Quem pode exercer a função de DPO?
Ainda não foi divulgado um escopo formal para o cargo, apenas as atribuições ligadas a ele. A partir daí, podemos elencar quais conhecimentos serão essenciais para a atividade ser exercida.
Essa função pode ser tanto executada por um profissional interno como por um terceirizado, ou até mesmo exercida como serviço por outra empresa.
Conhecimentos básicos acerca de temas como criptografia, programação, bancos de dados, governança corporativa podem ser essenciais para um DPO. Além disso, é preciso conhecer a fundo algumas legislações específicas, como a LGPD, a GDPR e o marco civil da internet.
Portanto, ainda não existe uma formação específica para a área. Vale ressaltar que ela não precisa ser exercida por especialistas do Direito, podendo ser executada por profissionais da área de TI, administrativo/financeiro, compliance, entre outras.
Conheça a melhor solução de proteção de e-mail
Minha empresa precisa ter um DPO?
A contratação de um DPO não é obrigatória, mas a empresa precisará designar um encarregado pelo tratamento de dados pessoais, mesmo que exerça outra atividade em paralelo. Para as empresas que lidam com um grande volume de dados pessoais, é recomendável contarem com um profissional dedicado ao trabalho da proteção dos dados.
Ao se preocupar com esse assunto, a empresa mostra que preza pela ética e segurança dos dados de clientes, fornecedores e colaboradores. O recomendado é que organizações que tenham verba para investir em um DPO dedicado (full-time) assim o façam, pois incidentes envolvendo vazamento de dados podem gerar prejuízos multimilionários à imagem das empresas.
Veja como a HSC Labs melhorou a segurança de e-mail do MP-Bahia
Treine a sua equipe em cibersegurança