PORTFÓLIO
Três perguntas: serviço de DPO (Data Protection Officer) para empresas
FONTE: MONITOR MERCANTIL
Por Jorge Priori
14 De Setembro De 2022
Conversamos com Antonielle Freitas, head da área de proteção de dados e DPO do Viseu Advogados, sobre o serviço de DPO (Data Protection Officer) disponibilizado pelo escritório de advocacia.
O que é o serviço de DPO?
O DPO é adotado pela GDPR (General Data Protection Regulation), o regulamento de proteção de dados utilizado na Europa. A LGPD (Lei Geral de Proteção de Dados) foi criada com base nesse regulamento. Na Europa, o DPO é o canal de comunicação da organização com as autoridades de proteção de dados e com os titulares dos dados. Ele também é utilizado para cuidar do programa de governança de proteção de dados. Na LGPD, essa figura foi incorporada com o nome de encarregado de dados.
A LGPD concedeu à ANPD (Autoridade Nacional de Proteção de Dados) uma regulamentação que permite a dispensa, em algumas situações, desse encarregado. Essa dispensa é analisada não em conformidade com o tamanho da empresa, mas com relação aos dados por ela tratados. Não adianta a empresa ser enquadrada como pequena por causa do seu faturamento, se ela tiver uma grande quantidade de dados sensíveis ou um grau de risco muito grande para os seus usuários. Ao que pese algumas empresas terem essa dispensa, o DPO já foi considerado pela ANPD como uma boa prática.
No dia a dia, muitas empresas têm dificuldades para se adequarem à LGPD sem que tenham um gestor do processo. Como se trata de um procedimento de compliance, a empresa sempre terá que fazer o monitoramento e a atualização das suas atividades, documentos e políticas. É por isso que é muito importante que o encarregado de dados, o DPO, acompanhe as equipes para avaliar se os produtos e serviços estão sendo construídos de forma a que eles incorporem a proteção de dados desde a sua concepção.
Um DPO precisa conhecer os aspectos jurídicos da atividade, de comunicação com os titulares, com a ANPD e de incidentes de segurança, de gestão de projetos e ter noções de cibersegurança, já que é uma atividade muito ligada a dados digitais. Como você pode ver, não é simples ter um profissional tão completo e que faça um programa desse tipo ser efetivo numa organização.
Como eu acompanhei várias empresas que estavam se adequando a LGPD, pude constatar as dificuldades que elas tinham para encontrar e manter profissionais que pudessem oferecer um serviço tão completo, principal gargalo das pequenas e médias empresas. Foi assim que tivemos a ideia de oferecer um serviço focado em DPO.
Como o serviço de DPO é suportado?
Nós utilizamos uma ferramenta que automatiza e assegura que o programa de governança de DPO está sendo feito e gerando a conformidade. Nesse programa são inseridas as atualizações de documentos, das atividades de tratamento e de apontamento de riscos.
Para isso, nós buscamos várias soluções no mercado, mas as ferramentas mais completas impactariam nos custos, o que inviabilizaria a sua adoção por parte de alguns clientes. Assim, nós achamos uma ferramenta alemã e ajudamos na sua “tropicalização”. Essa ferramenta foi adquirida e é oferecida junto com os nossos serviços.
O escritório atua como representante do DPO, com profissionais certificados, capacitados e que conhecem os segmentos de atuação das empresas. Por exemplo, se a empresa é da área de saúde, existem procedimentos específicos para esta área. É por isso que é importante que os profissionais entendam os segmentos de negócio das empresas, e não apenas de lei e de segurança.
Através desta ferramenta, a empresa vai conseguir gerir e ter acesso a todas essas informações, gerando relatórios de tudo o que ela tem no momento em que ela quiser, como uma fiscalização ou até mesmo uma demanda judicial.
Nós damos o canal de atendimento junto com a ferramenta. Por exemplo, um titular de dados poderá utilizar esse canal para fazer solicitações. Nós vamos receber e verificar internamente o que pode ou não ser atendido, encaminhando a resposta ao titular.
É importante destacar que se uma empresa demonstra a sua boa-fé, mostrando que está fazendo o possível para atender a lei, proteger os dados, colocando um DPO para treinar os funcionários, atender os titulares e ser um canal de comunicação, zelando e guardando as evidências, com certeza na hora de um processo administrativo ou mesmo judicial haverá outro peso numa eventual condenação ou não.
Como a empresa deve organizar seus pontos focais para que o serviço de DPO seja realizado?
Nós costumamos fazer um comitê de privacidade composto por pessoas focais da empresa. Essas pessoas são de áreas com mais tratamento de dados como RH, segurança da informação ou marketing.
Agora, tudo depende do que o cliente tem e espera. Por exemplo, se o cliente tem um departamento jurídico, um comitê ou algo estruturado, ele pode compartilhar essas informações com todas as pessoas que vão ter acesso ao sistema e ao DPO. Ou ele pode colocar uma pessoa focal de contato por uma questão de comunicação interna, já que se muitas áreas tiverem acesso ao DPO, pode haver alguma informação desencontrada. Isso é adequado ao cliente, até porque nós trabalhamos com empresas de vários tamanhos.
Uma empresa menor, que nem teria um grande número de pessoas para fazer um comitê, pode ter um gestor de privacidade. Nós temos clientes que têm um DPO interno, mas que precisam do suporte de um DPO externo que vai ajudar na atualização e no esclarecimento de eventuais dúvidas, dando suporte como se fosse um comitê. Enfim, são cenários diferentes que são atendidos da mesma forma.
https://monitormercantil.com.br/tres-perguntas-servico-de-dpo-data-protection-officer-para-empresas/
