Cinco coisas que todo DPO precisa saber

Data Protection Officer, Encarregado pela Proteção de Dados ou simplesmente DPO. Esse é um dos cargos de maior destaque dentro das companhias quando o assunto é Lei Geral de Proteção de Dados (LGPD). Na prática, esse profissional é o elo, o canal de comunicação, entre três partes fundamentais: o controlador das informações, os titulares dos dados, a Agência Nacional de Proteção de Dados (ANPD). Ele é o guardião das boas práticas de privacidade com relação aos dados pessoais.

Para executar suas atividades com eficiência e consistência, é fundamental, na minha visão, que o DPO adote, pelo menos, essas cinco posturas:

1) Ampliar o seu conhecimento sobre leis de privacidade

Ainda que você só opere no Brasil, é importante entender que leis relacionadas à privacidade e proteção de dados não se limitam a LGPD. É preciso ter conhecimento de outras legislações. Isso é necessário tanto pelo fato de ocorrer sobreposição de leis setoriais com a LGDP, como pela ocorrência cada vez mais comum de transferência internacional de dados (ex: uso de plataformas SAAS, contratação de serviços em nuvem, etc). Essas situações exigem mais dos seus conhecimentos.

2) Estabelecer parceria com assessores especializados

Por mais completa que seja a sua qualificação, será difícil, por exemplo, você conhecer com profundidade mercados muito específicos (financeiro, saúde, educação, por exemplo - mercados com muitas especificidades). Por isso, é estratégico contar com a assessoria específica de um parceiro que conheça a legislação que rege o seu mercado de atuação e as especificidades dele. Essa precaução te dará mais segurança para mapear os processos, entender prazos e identificar outras leis que merecem atenção, sobretudo nessa problemática da sobreposição.

3) Valorizar o trabalho em equipe

A função de um DPO é muito complexa para que esse profissional consiga executar o trabalho sozinho. Além das especificidades da LGPD, do negócio e de outras leis, é preciso entender de segurança da informação, infraestrutura, tecnologia, desenvolvimento de aplicações de softwares, marketing, dentre outros temas. O trabalho quando realizado em equipe com especialistas dessas e de outras áreas, amplia tanto o poder de decisão do DPO quanto o direcionamento e consequentemente a qualidade dessas ações.

4) Reconhecer a importância da Privacy by Design (privacidade desde a concepção) e Privacy by Default (privacidade por padrão)

É recomendado que a privacidade seja a premissa de todos os projetos de tecnologia da sua empresa. É, sem dúvida, uma ação que dá muito trabalho, porque inclui convencer pessoas e criar processos. Mas é uma iniciativa de extrema necessidade. Eu vejo casos práticos nos processos de implementação, por exemplo, no processo de criação de políticas de cookies, o departamento de privacidade se depara com domínios desconhecidos que foram criados pela equipe de marketing. Muitas vezes, esse desencontro de informações não acontece por maldade, mas sim por desconhecimento de uma equipe que precisa dar conta das urgências e emergências do dia a dia. É nesse sentido que os conceitos Privacy by Design e by Default precisam fazer parte da cultura corporativa. Só assim todos poderão cooperar.

5) Documentar o passo a passo das ações

Não caia na tentação de passar pelas ações do cargo com informalidade, principalmente se sentir que não tem total autonomia nos processos de proteção da privacidade. Diante de embates ou conflitos de interesses entre profissionais ou as diferentes áreas do negócio, convoque uma reunião do comitê de privacidade. Documente, ainda que por meio de uma ata, os Testes de Legítimo Interesse, o andamento das implementações, as evidências, os resultados de Relatórios de Impacto e as orientações oferecidas, recusadas e aprovadas. Destaque os responsáveis por aprovar ou bloquear decisões. Isso vai minimizar as chances de como DPO se colocar em uma posição de vulnerabilidade. É algo importante, inclusive, porque estamos em um momento em que ainda não estão claras as consequências da falta de documentação.

Privacidade e proteção de dados devem significar muito mais do que leis e normas. É um dos compromissos com os direitos das pessoas que têm contato com a sua companhia. Em pouco tempo será um importante diferencial competitivo e está nas mãos do DPO ser um dos agentes dessa jornada de transformação.