Cinco coisas que todo DPO precisa saber
Data Protection Officer,
Encarregado pela Proteção de Dados ou simplesmente DPO. Esse é um dos cargos de
maior destaque dentro das companhias quando o assunto é Lei Geral de Proteção
de Dados (LGPD). Na prática, esse profissional é o elo, o canal de comunicação,
entre três partes fundamentais: o controlador das informações, os titulares dos
dados, a Agência Nacional de Proteção de Dados (ANPD). Ele é o guardião das
boas práticas de privacidade com relação aos dados pessoais.
Para executar suas
atividades com eficiência e consistência, é fundamental, na minha visão, que o
DPO adote, pelo menos, essas cinco posturas:
1) Ampliar o seu
conhecimento sobre leis de privacidade
Ainda que você só opere no
Brasil, é importante entender que leis relacionadas à privacidade e proteção de
dados não se limitam a LGPD. É preciso ter conhecimento de outras legislações.
Isso é necessário tanto pelo fato de ocorrer sobreposição de leis setoriais com
a LGDP, como pela ocorrência cada vez mais comum de transferência internacional
de dados (ex: uso de plataformas SAAS, contratação de serviços em nuvem, etc).
Essas situações exigem mais dos seus conhecimentos.
2) Estabelecer parceria com
assessores especializados
Por mais completa que seja a
sua qualificação, será difícil, por exemplo, você conhecer com profundidade
mercados muito específicos (financeiro, saúde, educação, por exemplo - mercados
com muitas especificidades). Por isso, é estratégico contar com a assessoria
específica de um parceiro que conheça a legislação que rege o seu mercado de
atuação e as especificidades dele. Essa precaução te dará mais segurança para
mapear os processos, entender prazos e identificar outras leis que merecem
atenção, sobretudo nessa problemática da sobreposição.
3) Valorizar o trabalho em
equipe
A função de um DPO é muito
complexa para que esse profissional consiga executar o trabalho sozinho. Além
das especificidades da LGPD, do negócio e de outras leis, é preciso entender de
segurança da informação, infraestrutura, tecnologia, desenvolvimento de
aplicações de softwares, marketing, dentre outros temas. O trabalho quando
realizado em equipe com especialistas dessas e de outras áreas, amplia tanto o
poder de decisão do DPO quanto o direcionamento e consequentemente a
qualidade dessas ações.
4) Reconhecer a importância
da Privacy by Design (privacidade desde a concepção) e Privacy by Default
(privacidade por padrão)
É recomendado que a
privacidade seja a premissa de todos os projetos de tecnologia da sua empresa.
É, sem dúvida, uma ação que dá muito trabalho, porque inclui convencer pessoas
e criar processos. Mas é uma iniciativa de extrema necessidade. Eu vejo casos
práticos nos processos de implementação, por exemplo, no processo de criação de
políticas de cookies, o departamento de privacidade se depara com domínios
desconhecidos que foram criados pela equipe de marketing. Muitas vezes, esse
desencontro de informações não acontece por maldade, mas sim por
desconhecimento de uma equipe que precisa dar conta das urgências e emergências
do dia a dia. É nesse sentido que os conceitos Privacy by Design e by Default
precisam fazer parte da cultura corporativa. Só assim todos poderão cooperar.
5) Documentar o passo a
passo das ações
Não caia na tentação de
passar pelas ações do cargo com informalidade, principalmente se sentir que não
tem total autonomia nos processos de proteção da privacidade. Diante de embates
ou conflitos de interesses entre profissionais ou as diferentes áreas do
negócio, convoque uma reunião do comitê de privacidade. Documente, ainda que
por meio de uma ata, os Testes de Legítimo Interesse, o andamento das
implementações, as evidências, os resultados de Relatórios de Impacto e as
orientações oferecidas, recusadas e aprovadas. Destaque os responsáveis por
aprovar ou bloquear decisões. Isso vai minimizar as chances de como DPO se
colocar em uma posição de vulnerabilidade. É algo importante, inclusive, porque
estamos em um momento em que ainda não estão claras as consequências da falta
de documentação.
Privacidade e proteção de
dados devem significar muito mais do que leis e normas. É um dos compromissos
com os direitos das pessoas que têm contato com a sua companhia. Em pouco tempo
será um importante diferencial competitivo e está nas mãos do DPO ser um dos
agentes dessa jornada de transformação.
*por Simone Santinato, DPO na NovaRed Brasil
Nenhum comentário