A GDPR — ou General Data Protection Regulation, foi criada com o objetivo de garantir a proteção de dados pessoais e a privacidade dos cidadãos dos estados-membro da União Europeia. O texto já está em vigor desde 2018 e estabelece regras bem rígidas para qualquer empresa que colete, armazene e processe informações de cidadãos europeus em sistemas de informação, prevendo multas para quem cometer deslizes e permitir, por exemplo, um eventual vazamento.
O Brasil, a exemplo da União Europeia, criou seu marco regulatório, a LGPD — Lei Geral de Proteção de Dados. Trata-se de um regulamento similar, mas voltado especificamente às empresas brasileiras. Embora ainda não esteja em vigor, o texto passará a valer em todo o território nacional a partir de 2020. Algumas corporações já começaram a se preparar, implementando controles e políticas para evitar, por exemplo, vazamentos que podem gerar multas de até R$ 50 milhões por incidente cibernético.
Por mais que as leis tenham suas particularidades e diferenças, ambas geraram uma nova função profissional no mercado: a figura do Data Protection Officer (DPO), que, por aqui, está ficando conhecido como Executivo de Proteção de Dados ou Delegado de Dados. Trata-se do profissional que ficará encarregado de administrar todo o fluxo de informações de uma corporação e garantir que ela esteja respeitando todas as legislações de proteção de dados vigentes.
"Mas e se minha organização não tiver condições de ter esse profissional?", algumas empresas já devem ter se questionado sobre isso. Em uma atualização recente do seu texto, foi autorizado que empresas terceirizem essa função para escritórios de advocacia, que possuem expertise em proteção de dados e gestão de crise.
O que faz o Data Protection Officer?
A figura do DPO surgiu descrita nos Artigos 37, 38 e 39 da GDPR. Ele é descrito como o executivo que responde diretamente à alta diretoria da companhia e também interage com os órgãos locais de proteção de dados, servindo como uma ponte para garantir que tudo esteja nos conformes em sua corporação. Ele deve ser designado “com base em suas qualidades profissionais e, em particular, seu conhecimento especializado em leis de proteção de dados”, de acordo com o texto europeu.
Sendo assim, o DPO carrega a missão de supervisionar a infraestrutura de proteção de dados de sua empresa, podendo aplicar auditorias, aconselhar a alta gerência, garantir que a equipe técnica esteja devidamente treinada para proteger as informações, remediar eventuais infrações à legislação vigente e servir como ponto de contato com as autoridades locais, respondendo o mais rápido possível a eventuais inquéritos que lhe forem direcionados. No caso do Brasil, essa autoridade local seria a Agência Nacional de Proteção de Dados (ANPD), que foi criada no fim de 2018.
Diferente da GDPR, a LGPD obriga que a empresa tenha um encarregado de dados designado (a lei europeia só aplica tal exigência em casos bem específicos, como órgãos públicos e bancos). De qualquer forma, contar com a ajuda de tal profissional é um diferencial competitivo que, além de transmitir mais confiança ao mercado, pode evitar uma série de problemas judiciais e garantir que seu negócio trabalhe sempre com uma mentalidade privacy-first.
Características de um DPO
Visto que se trata de uma profissão inédita, ninguém simplesmente “se forma em proteção de dados” e já está apto a assumir tal cargo. O DPO precisa ser um profissional interdisciplinar, que, além de ter um amplo conhecimento das legislações, tenha habilidades associadas a governança de dados, domínio de conceito básicos de segurança da informação e uma excelente capacidade de comunicação interpessoal — seja para se comunicar com as entidades reguladoras, a alta gerência ou os consumidores da empresa.
O perfil mais buscado para assumir este papel é o de alguém que tenha certa experiência com segurança da informação e compliance, mas que também esteja apto a absorver conhecimentos básicos da área jurídica e seja comunicativo, sabendo passar, com transparência e clareza, as informações que forem necessárias tanto internamente quanto externamente.
Um profissional-chave
A GDPR e a LGPD serviram como um despertador para que as empresas europeias e brasileiras acordassem para a necessidade de arquitetar seus modelos de negócio com base na proteção de dados desde a sua fundação. Enquanto as autoridades de fiscalização garantem que os textos estejam sendo seguidos e a equipe de segurança cibernética lida com questões mais técnicas, o Data Protection Officer entra como o profissional-chave para fazer essa ligação e garantir o compliance das regras legais.
É natural que, dentro dos próximos meses, a demanda por esse tipo de profissional comece a crescer cada vez mais — criando novas oportunidades de trabalho com direito a salários generosos. Quando o assunto é proteção de dados, principalmente em se tratando de dados de consumidores, nenhum cuidado é demais.
Somos jornalistas, mas também somos hackers — procuramos resolver problemas ao analisá-los de forma criativa e inventando maneiras inusitadas de usar as ferramentas que temos à nossa disposição.