COMPETÊNCIAS PARA DPO
1) Conhecimento Jurídico-regulatório: o DPO deve ser designado com base em suas qualidades profissionais, principalmente em seu conhecimento especializado no domínio jurídico e práticas de proteção de dados. Referido conhecimento deverá levar em consideração não somente a lei local, mas todas as legislações internacionais e normas setoriais aplicáveis.
2) gerenciamento de Risco e Tecnologia da Informação (TI): o DPO deve levar em consideração os riscos associados às operações de tratamento de dados, tendo em conta a natureza, o âmbito, o contexto e as respectivas finalidades. Também necessita orientar e gerar evidências acerca das medidas de conformidade, em especial no que diz respeito à identificação dos riscos relacionados com o tratamento, à sua avaliação em termos de origem, natureza, probabilidade e gravidade, bem como à identificação das melhores práticas para a atenuação dos riscos.
3) Liderança: o DPO deve reportar diretamente ao mais elevado nível de direção do controlador ou operador, que devem lhe assegurar autonomia, não devendo ser penalizado ou destituído no exercício de suas funções.
4) Auditoria e proatividade: o DPO deve ser um fiscal da conformidade da LGPD e das demais normas setoriais de proteção de dados pessoais aplicáveis dentro da organização. Deve exercer sempre um posicionamento isento, sem receber instruções (interferências indevidas) relacionadas às suas atividades. Precisa ser proativo e saber identificar a localização e como obter as informações necessárias para executar seu trabalho, que muitas vezes será de auditor;
5) Conscientizador/ Educador: o DPO exerce um papel fundamental de avaliar e aplicar todas as medidas possíveis para conscientizar todos os colaboradores e demais pessoas que operem dados pessoais sob a responsabilidade da organização acerca das regras estabelecidas, ou seja, das normas legais e políticas corporativas vigentes. Para atingir essa meta, o DPO necessita contar com uma boa didática, transmitindo seu conhecimento de forma que os destinatários da informação consigam entender a relevância do tema e se engajem no cumprimento das regras existentes;
6) Relações Públicas/ Governamentais: como o DPO será responsável por atuar como canal de comunicação com os titulares e com a ANPD, é fundamental que ele tenha habilidade de se posicionar adequadamente em nome da empresa perante terceiros, desenvolvendo narrativas condizentes com as evidências existentes, seja em um evento crítico de incidente perante à Autoridade, no esclarecimento do Relatório de Impacto à proteção de dados, seja em um caso mais sensível de requisição de um Titular.
OUTRAS COMPETÊNCIAS E HABILIDADES DO DPO
Padrões técnicos mínimos
Em todas as atividades de tratamento de dados pessoais da organização, o DPO é peça-chave para demonstrar a necessidade de incorporação do Privacy by Design (PbD), de Ann Cavoukian, no qual a proteção à privacidade advém da trilogia (i) sistemas de tecnologia da informação (IT systems); (ii) práticas negociais responsáveis (accountable business practices); iii) design físico e infraestrutura de rede (physical and networked infrastruture). Ademais, como qualquer agente de tratamento ou qualquer outra pessoa que intervenha em uma das fases do tratamento do tratamento obriga-se a garantir a segurança dos dados prevista na LGPD (art. 47), o DPO também deve avaliar se a empresa consegue ter uma visão cristalina de todas as pessoas físicas e jurídicas que, de alguma forma, operam dados sob sua responsabilidade, seguindo protocolos de segurança proporcionais ao tratamento. Outra função a que o DPO deve estar atento e monitorar é o mapeamento dos registros de atividades de tratamento de dados, que têm diversas finalidades, como (i) gerar uma visão clara sobre o ciclo de vida dos dados pessoais existentes nas mais diversas áreas da empresa, para as mais distintas finalidades; (ii) identificar, revisar e opinar acerca das bases legais para os respectivos tratamentos, (iii) aparar arestas mediante a avaliação dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do seu tratamento; (iv) cumprir com o requisito legal do dever de manutenção do registro de operações de dados existentes; (v) entender a origem dos dados, se diretamente dos titulares ou de terceiros, (vi) entender o destino dos dados, incluindo eventual uso compartilhado e transferência internacional; e (vii) avaliar hipóteses em que a empresa se enquadra como controladora ou operadora dos dados de acordo com a respectiva atividade de tratamento.
“Não devemos pedir aos nossos clientes que façam um equilíbrio entre privacidade e segurança. Precisamos oferecer-lhes o melhor de ambos. Em última análise, proteger os dados de outra pessoa é proteger a todos nós.” (Tim Cook)
GESTÃO DA PRIVACIDADE
Necessidades da Organização
- Identificar e documentar os propósitos específicos pelos quais os dados pessoais são tratados;
- Determinar e manter de forma segura os registros de tratamento mediante a elaboração de inventário;
- Determinar a documentar a base legal para cada atividade de tratamento de dados pessoais;
- Avaliar as atividades que geram riscos aos titulares para identificar e realizar relatório de impacto, quando pertinente;
- Implementar controles por meio de contratos com operadores de dados vidando a garantia da conformidade perante terceiros;
- No caso de controlador conjunto de dados pessoais, determinar as responsabilidades e papéis de cada organização, como propósito do compartilhamento, categorias de dados a serem compartilhadas, responsabilidade pela implementação técnica e organizacional das medidas de segurança, definição de responsabilidades no caso de incidentes e de cumprimento dos direitos dos titulares, ponto de contato com os titulares, entre outros.
Assim, nos termos do art. 50, pár. 2º, da LGPD, o Programa de Governança em Privacidade deve contemplar e demonstrar, no mínimo:
- O seu comprometimento em adotar processos e políticas internas que assegurem o cumprimento, de forma abrangente, de normas e boas práticas relativas à proteção de dados pessoais;
- Aplicabilidade a todo o conjunto de dados pessoais que estejam sob seu controle, independentemente do modo como se realizou a coleta;
- Adaptação à sua estrutura, escala e volume de suas operações, bem como à sensibilidade dos dados tratados;
- Políticas e salvaguardas adequadas com base em processo de avaliação sistemática de impactos e riscos à privacidade;
- Estabelecimento da relação de confiança com o titular, por meio de atuação transparente e que assegure mecanismos de participação do titular;
- Integração à sua estrutura geral de governança e estabelecimento e aplicação de mecanismos de supervisão internos e externos;
- Planos de resposta a incidentes e remediação;
- Atualização constante com base em informações obtidas a partir de monitoramento contínuo e avaliações periódicas.
A LGPD não é um projeto… É uma JORNADA!
Escrita por Renata Luciana Moraes