Dentre as normas da LGPD (Lei Geral de Proteção de Dados, nº. 13.709), em vigor desde agosto de 2018 no Brasil, existe a definição de um profissional com um perfil bem específico e nomeado como DPO – Data Protection Officer. Este novo posto se enquandra às exigências da lei e a obrigação desta função serve tanto para entidades públicas quanto para outras empresas que atuam com operações de tratamento de dados pessoais, das mais diversas finalidades e indústrias.
Esse profissional tem a função básica de ser um “guardião” dos dados de uma empresa e de seus clientes. Ele é também responsável por fazer uma conexão entre a organização e o órgão fiscalizador da aplicação da lei no Brasil, a Autoridade Nacional de Proteção de Dados (ANPD), que responde diretamente à Presidência da República.
Em agosto de 2020, encerra o prazo para que as empresas se preparem e se enquadrem no cumprimento das novas obrigações na coleta e tratamento de dados pessoais. Ao longo do texto, a lei esclarece as penalidades cabíveis às empresas que violarem o sigilo dos dados que mantêm sob custódia. Desse modo, as empresas brasileiras devem revisitar processos, relatórios, ferramentas e fluxos de dados para adequarem formas de armazenamento, processamento, acesso, transferência e divulgação dos dados coletados às regras da LGPD.
O papel do DPO inclui, especialmente, a articulação com as todas as áreas da instituição para que as escolhas e processos sejam baseados na política de proteção de dados. Ou seja, no escopo de trabalho desse profissional também está o desenvolvimento de treinamentos internos acerca de normas de compliance, acompanhamento dos fluxos de informações e dados utilizados por esses setores para, desse modo, analisar e reportar acontecimentos indevidos aos executivos C-level. Ele deve criar procedimentos e protocolos internos para que produtos que coletem dados sejam desenvolvidos e mantidos com os mais rigorosos padrões de segurança e privacidade.
Semelhante à LGPD e em vigor desde 2018, a europeia General Data Protection Regulation (GDPR) criou um mercado para quase 30 mil Data Protection Officers, segundo um levantamento feito pela IAPP realizado no mesmo ano, sendo o salário médio praticado para o cargo na região de aproximadamente €70 mil por ano.
No Brasil, segundo estimativas do setor, o encarregado do tratamento e da proteção de dados pode receber um salário de R$ 12 mil a R$ 50 mil e não deve, necessariamente, ter formação em Direito. Ainda que se trate de uma área com necessidade de conhecimento jurídico, por conta das interpretações de requisitos legais, a necessidade do conhecimento tecnológico também é indispensável para a função, já que o trabalho mescla capacidades e conhecimentos de segurança da informação e direito digital. Portanto,o recomendado é que o DPO seja um profissional com especialização na área de governança de dados, com boa capacidade de interpretar e implementar controles legais.
A habilidade em comunicação também é fundamental, uma vez que a articulação com diversas áreas da empresa, executivos e, principalmente, com o órgão regulador do governo, a ANDP, fará parte do escopo básico de trabalho do DPO.
Com tantas responsabilidades, ferramentas que operam no mapeamento e monitoramento da web oferecem suporte ao trabalho desses profissionais na proteção dos dados e informações que a empresa trata. Assim, podem ser evitados potenciais riscos digitais que causam danos financeiros e de reputação para empresas e instituições do governo, além das altas multas por falhas na preservação da informação.
A perspectiva de oportunidades para esses profissionais no Brasil é muito positiva, uma vez que, segundo levantamento do IBGE de 2017, três em cada quatro habitantes do país são usuários da internet. Ter uma política de segurança digital e governança de dados pessoais e sensíveis se faz necessidade básica para manter o ambiente da internet mais limpo, seguro e que respeita a privacidade dos usuários.
Por Fábio F. Ramos, CISSP, CISM e fundador da Axur
