Tecnologia
Conheça os desafios do Data Protection Officer, profissão criada pela LGPD
Ausência do encarregado de dados é considerada infração pela legislação. Aplicação das sanções começa em agosto
3 min de leituraA entrada em vigor, em setembro do ano passado, da Lei Geral de Proteção de Dados (LGPD), que estabelece regras sobre coleta, armazenamento, tratamento e compartilhamento de dados pessoais, fez surgir uma nova profissão no país: o Encarregado de Dados (ou Data Protection Officer, em inglês). Trata-se do responsável pelo desenvolvimento e a manutenção do programa de conformidade à nova legislação e a adoção de medidas que visem o comprimento das regras por toda a empresa.
"Essa pessoa tem a função de atuar como um canal de comunicação entre os operadores e reguladores, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD). É uma posição bastanta estratégica e que merece a atenção das organizações, sobretudo porque a sua nomeação é uma exigência da LGPD", explica a advogada Patricia Peck Pinheiro, presidente do Privacy BR e sócia head de Direito Digital do escritório PG Advogados.
Apesar de tamanha importância dentro da companhia -- e de ser uma obrigatoriedade-, muitas empresas ainda não determinaram quem será o seu DPO. Contudo, se não quiserem ser penalizadas por causa disso, terão de correr, pois a ANPD passará a aplicar as sanções administrativas previstas na lei a partir de 1º de agosto.
As condenações incluem advertência, multa simples ou diária, de até 2% do faturamento e limitada a R$ 50 milhões por infração, bloqueio ou eliminação dos dados pessoais a que se refere a violação e publicação em canais determinados após devidamente apurada e confirmada a sua ocorrência.
Desafios do DPO
Com foco na relevância do Encarregado de Dados e a aproximação da aplicação das sanções da LGPD, o Comitê Privacy BR, que realiza trabalhos com o objetivo de fomentar a discussão sobre a Privacidade e a Proteção de Dados no Brasil e no exterior, promoveu uma pesquisa para saber como está a sua atuação e o que ainda é necessário avançar para favorecer a execução. Participaram 83 executivos das áreas Jurídica e TI de grandes empresas de mais de 20 setores econômicos.
O levantamento indicou três principais desafios na rotina destes profissionais: conscientização da organização e colaboradores sobre a importância da privacidade e proteção de dados pessoais (49,4%), engajamento das demais áreas que dão suporte para as atividades relacionadas ao tema (48,2%) e equipe reduzida (47%).
"Por ser um assunto novo, ainda há uma certa dificuldade em conscientizar e engajar toda a empresa. Mas o DPO precisa de apoio geral, em especial das áreas de RH, Marketing, TI e Jurídico. Além disso, como está nomeado pela lei como função, é normal que se entenda que uma única pessoa resolve o problema, mas, dependendo do tamanho da companhia, é preciso um departamento, uma equipe completa, e isso não tem acontecido", pontua Patricia.
Pelo estudo, em quase metade (45,8%) dos negócios consultados o número de profissionais nessa área não ultrapassa três --e em 25,3% não há apoio da equipe, em 13,3%, são entre quatro e seis colaboradores, em 9,6% são 11 ou mais e, em 6%, são entre sete e dez.
Outro dado levantado foi o de que a maioria dos profissionais a ocupar a função de Encarregado de Dados no Brasil atua no Jurídico (30%), seguido por Segurança da Informação (16%), TI e SI (12%), Gestão de Projetos (10%), TI (10%) e Compliance (8%). Já entre os setores econômicos que estão mais avançados na contratação do profissional estão Indústria (41%), Financeiro (23%), Tecnologia (15%), Saúde (15%) e Varejo (5%).
Para a advogada, o mercado ainda segue carente de profissionais capacitados para exercer as atividades de privacidade e proteção de dados de maneira a atender a nova regulamentação. Além disso, ela afirma que faltam investimentos das organizações para possibilitar uma reorganização interna que dê condições para efetivar essas práticas.
"Os escolhidos para a função precisam buscar aperfeiçoamento, através de cursos de especialização e certificação técnica. E a empresa precisa investir mais recursos nele. É uma profissão nova, e que necessita de capacitação e estrutura", pondera.
Patricia destaca que o DPO deve ter alguma experiência ou familiaridade com temas como compliance, leis e regulamentações, comunicação e proteção de dados e segurança da informação. E, segundo ela, o nomeado pode tanto ser alguém que já trabalha na empresa quanto um especialista terceirizado, no formato de “DPO as a service”.
"Tem sido comum a opção por um modelo mais híbrido, ou seja, a instituição nomear alguém interno, que conhece bastante do negócio, e contratar um externo, com expertise nas demais áreas necessárias. Ao conciliar o conhecimento de ambos, se alcança mais equilíbrio, como acontece nas auditorias", completa.
Quer conferir os conteúdos exclusivos de Época NEGÓCIOS? Tenha acesso à versão digital.
Quer receber as notícias de Época NEGÓCIOS pelo WhatsApp? Clique neste link, cadastre o número na lista de contatos e nos mande uma mensagem. Para cancelar, basta pedir. Ou, se preferir, receba pelo Telegram. É só clicar neste link.