Data Leakage

Data Protection Officer: 7 desafios de todo DPO

Por Hugo Moura em
COMPARTILHAR

A LGPD foi sancionada no Brasil e muito se fala sobre o DPO, o Data Protection Officer, conhecido aqui no Brasil como Encarregado de Dados ou, então, o encarregado da privacidade dos dados . O objetivo deste artigo é te ajudar a entender melhor qual o papel desse profissional relativamente jovem dentro das empresas e quais serão seus principais desafios para cumprir sua nobre e complexa missão de proteger dados pessoais nos mais diversos segmentos de negócio.

 

Vamos lá? Antes da gente começar, vou deixar aqui separadinho os 7 desafios do DPO em data privacy para 2021:

 

1. Relacionamento com stakeholders
2. Criando uma área que não existe
3. Cultura Organizacional de privacidade de dados
4. O DPO deve ser multidisciplinar
5. Rápida reação vazamentos
6. Falta de prática legal
7. Os grandes vazamentos



Se pararmos para pensar, todos os serviços, websites e portais que navegamos pela internet armazenam ou manipulam algum tipo de dado. Alguns sites, por exemplo, usam somente os cookies para acompanhar nosso tráfego online, outros, solicitam informações como email, celular e, em alguns casos, até documentos pessoais e cartões de crédito, dependendo do serviço prestado. 

 

A novidade, que nem é tão novidade assim, é que há uma preocupação generalizada com a proteção desses dados. E, assim começa a história desse profissional, o DPO: em 2018 a União Européia criou uma legislação para zelar pela privacidade dos usuários e assim nasceu a GDPR - General Data Protection Regulation. 



No mesmo ano, o Brasil seguiu a tendência e sancionou a LGPD, a nossa conhecida Lei Geral da Proteção de Dados, que passou a valer em setembro de 2020 e tornou a figura do DPO obrigatória nas empresas, como um dos muitos pré-requisitos para aderi-la em sua totalidade.

 

O papel do DPO, portanto, é garantir que os dados dos clientes e colaboradores de uma empresa sejam coletados, armazenados e utilizados de forma ética, legítima - isto é, coletados com consentimento do usuário, de forma transparente, inequívoca e segura. 

 

E mais que isso, o DPO é imprescindível para adotar as medidas técnicas, operacionais e legais dentro das empresas para que ajam em conformidade com a LGPD, uma vez que ele é o elo que liga o titular do dado pessoal, a própria empresa e a Autoridade Nacional de Proteção de Dados (a ANPD).

 

Desafio 1: Relacionamento com outras áreas

A posição do DPO dentro das empresas é uma posição não muito bem definida em relação ao cargo, a quem se reporta, a área, isso costuma variar de empresa para empresa, apesar da posição  ser imprescindível para a segurança dos titulares de dados e da própria empresa.

 

Isso quer dizer que, por mais que ele tenha acesso a dados e insights valiosos para tomada de decisão do que é necessário ser feito quanto à segurança de dados da empresa, na maioria das vezes, o DPO vai ter que conquistar espaço e apoio para conseguir implementar seus projetos e também para conseguir atuar de de forma mais independente possível.  

 

Por conta disso e, exercendo um papel de consultor, seu principal desafio será se relacionar com outras áreas dentro da própria empresa. Por isso, o DPO precisa estar pronto para atuar consultivamente com os dados que tem à disposição e informar e aconselhar seus pares, líderes e diretores de áreas.

 

O DPO vai precisar criar relacionamentos sólidos com áreas-chave da empresa para garantir o desempenho do seu papel, principalmente com aquelas que lidam com uma grande quantidade de dados como Marketing,  Produtos, Jurídico, TI e Segurança da Informação. Isso quer dizer que ele vai precisar "costurar" muito bem com esses líderes a necessidade de implementar políticas e processos que vão garantir a privacidade dos dados, sem impactar negativamente o resultado de uma área. 

 

É possível dizer também que a criação desse cargo sem cadeira definida demonstra a dificuldade que as empresas estão enfrentando em enxergar a proteção de dados como prioritária, o que pode dificultar bastante o trabalho do DPO, responsável por orientar a empresa como um todo da importância da proteção de dados.

 

O mercado sabe a importância disso? E, mais além, as empresas sabem a importância do papel do DPO para proteção de seus clientes e colaboradores? E, principalmente, para sua própria proteção? Todos estão dispostos a ouvi-lo?

 

Desafio 2: Criando uma área nova vs. trabalhar “sozinho”

Outro grande desafio a ser enfrentado é a falta de protocolos para proteção de dados. Apesar da existência da ISO 27701, framework voltado para a privacidade e proteção de dados, e da SGPD, o Sistema de Gestão de Proteção de Dados, a área é totalmente nova. 

 

Não é como a área fiscal, legal ou contábil, que já funcionam há muito tempo e sabem exatamente o que é necessário fazer para entregar o resultado que cada área precisa. 

 

Um gerente de segurança da informação, por exemplo, conta com uma ampla experiência e frameworks já muito bem desenvolvidos e praticados para proteção de dados da própria empresa. Mas, quando se trata dos dados pessoais, é preciso muito trabalho para atingir os níveis ideais de proteção.

 

Já um DPO, na grande maioria das vezes, tem que criar processos, frameworks, metodologias e pontes de relacionamento com outras áreas atuando sozinho, tudo isso com uma LGPD em vigor. É muito mais provável que esse profissional novo para muitas empresas deva chegar para arrumar a casa, antes de iniciar os trabalhos para formação de uma área específica.

 

Por isso, seu grande desafio nesse sentido é convencer seus líderes ou o board da empresa da criação de uma nova área para proteção e fomentar uma cultura organizacional de privacidade, que falaremos em seguida. 

 

Além disso, soma-se essa responsabilidade ao trabalho do dia a dia, de monitorar, inspecionar outras áreas, propor ações preventivas e reativas enquanto escolhe uma ferramenta para facilitar seu trabalho. E é justamente aí que entra um software que dê conta das suas necessidades.

 

Que software é esse? E que necessidades são essas? Bom, para começar o DPO precisa:

 

  • Administrar regras de proteção de dados
  • Monitorar a conformidade com a LGPD
  • Registrar a conformidade das atividades de processamento de dados
  • Visualizar todas as práticas de processamento
  • Prever e avaliar riscos
  • Realizar avaliações DPIA (avaliação de impacto de proteção de dados), quando aplicável
  • Gerenciar solicitações de acesso aos dados
  • Confirmar legítimo interesse dos usuários em receber comunicações e compartilhar seus dados

 

É um desafio e tanto, certo? Pode-se prever, portanto, um conjunto de ferramentas para realizar essas atribuições.

 

Uma área de proteção de dados, liderada por um DPO, talvez não seja a realidade de muitas empresas e isso nem é uma condição que aparece da Lei Geral de Proteção de Dados. Esse pode ser um desafio que muitos DPOs adorariam ter, já que a criação de uma área pode ser fundamental para o sucesso da proteção de

dados. 

 

Desafio 3: Cultura Organizacional de cibersegurança

Outro aspecto a ser analisado é a adesão do mindset ou da cultura de proteção de dados dos outros departamentos e colaboradores : o DPO será responsável por implementar uma cultura de proteção de dados que permeia a empresa como um todo.  Se agir isoladamente, corre o risco de falhar na missão de proteger os dados de seus clientes. 

 

O DPO é uma espécie de evangelista da privacidade de dados pessoais dentro da empresa. Talvez sua maior responsabilidade seja implementar em todos os níveis - gerencial e operacional - a cultura de proteção com os dados pessoais.

 

Como uma empresa poderá fornecer o profissional especializado para lidar com a demanda de tratamento de dados pós-LGPD? O DPO precisará desenhar seu time e formar profissionais para atuar em consonância com sua missão, isso se ele tiver time ou pessoas, em muitos casos o DPO atua sozinho, o que torna o desafio ainda mais complexo.

 

Workshops, treinamentos e capacitação estratégica de funcionários será parte do seu dia a dia e a adesão dessa cultura está diretamente ligada com o sucesso de seu trabalho.

 

Além disso, precisamos entender que diferentes departamentos precisam compor um time sólido com o DPO, a fim de identificar os pontos de coleta de dados pessoais e quais são as principais atividades que processam esses dados. Desde o início de qualquer projeto.

 

Esse profissional precisa ter o poder de nomear tarefas, atualizar procedimentos de segurança, ser o mais independente possível na tomada de decisões. Por isso, quanto melhor implementada estiver a cultura de cibersegurança em todos os níveis da companhia, melhor e mais fácil será o trabalho do DPO.

 

Desafio 4: DPO deve ser multidisciplinar

Ele é muito mais que um profissional de tecnologia da informação. Gestor de pessoas e projetos, altamente inovativo, background legal e jurídico, rápido no aprendizado da estrutura e processo de outras áreas, analítico, apaixonado por dados e deve entender muito bem os 7 conceitos de Privacy by Design, de Ann Cavoukian. 

 

Sem falar que espera-se que esse profissional domine linha por linha a lei geral de proteção de dados e todas as suas complexas interpretações (isso sozinho já seria um desafio, não é mesmo?)

 

Esse breve job description revela que a figura do DPO é amplamente multidisciplinar. Enquanto tem um viés muito parecido com profissionais de segurança da informação, esse profissional precisa ainda saber se relacionar, orientar, liderar e delegar tarefas baseadas em uma boa gestão de projetos.

 

Outro aspecto aqui é a necessidade do DPO interpretar muito bem legislação contida na LGPD. Temos visto algumas políticas que já estão bem implementadas, como o opt-in para assinaturas de e-mails, declaração da política de privacidade, notificações de coletas de dados via cookies, etc. 

 

Mas, ficam outras questões: como serão monitoradas as áreas da empresa que têm acesso a dados de clientes? Como evitar exposições? O que fazer se houver uma? 

 

A Autoridade Nacional de Proteção de Dados, ANPD, está responsável por prover respostas a essas perguntas num futuro próximo. Perguntas, que, inclusive, foram  pauta no TV Brasil, com o diretor-presidente da ANPD.

 

Desafio 5:  Rápida reação a vazamentos

Apesar da implementação de uma cultura preventiva, tão importante quanto se prevenir é ter um plano de contingência para vazamento de dados. Ainda que o DPO realize um trabalho bem feito, a possibilidade de vazamento intencional ou não-intencional é real.

 

Nesse sentido, é um enorme desafio implementar processos e ferramentas para para garantir a visibilidade sobre os sinais de um possível vazamento ou até de vazamentos em si, grandes ou pequenos.

 

Em muitos casos, independente de como aconteceu o vazamento, os dados vão parar na Dark Web, em fóruns criminosos que monetizam as informações vazadas, num processo que pode durar semanas, até que o vazamento seja exposto pela imprensa ou descoberto de forma tardia pela própria empresa.

 

Pensando nisso, existem plataformas que podem auxiliar o DPO na detecção de vazamentos de forma ágil, dando a oportunidade da empresa reagir rapidamente para conter o vazamento, e até mesmo notificar os órgão reguladores, clientes, colaboradores e imprensa de forma eficiente. Além disso, existem estratégias para rastrear vazamentos de dados, como a  instalação de Tracking Tokens - registros únicos e inconfundíveis que podem ajudar a identificar bases, sinalizar exposições e controle indevido de informações.

 

Isso pode fazer a diferença na contenção do vazamento e evitar que ele tome proporções incontroláveis afetando a reputação da marca e incidindo inclusive no tamanho da sanção financeira ou até mesmo evitando que isso aconteça.



Desafio 6: Falta de prática legal

A interpretação da LGPD pode ser uma tarefa complicada, ainda mais se considerarmos que nenhuma sanção foi aplicada aqui no Brasil e já tivemos exposição de dados que foram enormes.

A dupla interpretação de artigos, termos pouco elaborados e a relativização de alguns trechos da lei podem dificultar, e muito, a vida de um DPO que não necessariamente precisa ser formado na área legal.

 

No Brasil, o perfil do DPO possui um caráter mais técnico, com especializações voltadas para área de TI e Segurança, mas que precisa entender e lidar bem com a interpretação legal da lei. Ao contrário do que acontece na Europa, onde o DPO é um profissional com background legal, mas entende de tecnologia.

 

Nesse sentido, o DPO precisará contar com o apoio constante de profissionais jurídicos, podendo, inclusive, montar sua equipe pensando nas demandas legais que possam surgir:

 

  • "E se formos acionados judicialmente enquadrados na Lei Geral de Proteção de Dados?"
  • "E se novos artigos forem incluídos na lei?"
  • ”E se houver alterações na redação da LGPD?"

 

O DPO precisa estar pronto para lidar não só com as demandas atuais, como as que estão por vir. 

 

Desafio 7: Os grandes vazamentos de dados

Antes de mais nada, o DPO precisa proteger sua empresa, clientes e colaboradores de terem dados expostos. Claro que seus clientes têm dados compartilhados com outras muitas empresas. E isso dificulta sua vida.

 

Outra questão importante é: os dados de clientes que já estão expostos. O que fazer quando 223 milhões de CPFs já foram expostos? E se seus clientes utilizam a mesma credencial (email e senha) para diferentes portais e, por acaso, um desses portais é o seu? Como justificar um Credential Stuffing?

 

Como garantir que esses grandes vazamentos não causem um efeito cascata na sua base de clientes? Afinal, sua empresa poderá ser penalizada se isso acontecer.

 

Com certeza, estamos em um ano no qual o vazamento de informações, sensíveis ou não, será uma tendência. Nesse sentido, os DPOs desse Brasil precisam ser proativos e não reativos. Implementar uma cultura de sucesso para garantir a proteção de dados e ao titular dos dados pessoais é mais que uma necessidade.

 

Um profissional em alta

Já deu para entender a necessidade de um DPO dentro das empresas, certo? Temos visto uma grande movimentação do mercado de trabalho à procura desse profissional. 

 

Se você é um aspirante a ou já é um DPO, sabe exatamente o que te espera pela frente e quais habilidades você precisa desenvolver. E se quiser saber mais sobre a formação do DPO, temos outro artigo para você.


Por isso, fique atento ao nosso blog Deep Space para mais informações dessa profissão que tá dando muito o que falar!

event-image

ESPECIALISTA CONVIDADO

Eduardo Schultze, Coordenador do CSIRT da Axur, formado em Segurança da Informação pela UNISINOS – Universidade do Vale do Rio dos Sinos. Trabalha desde 2010 com fraudes envolvendo o mercado brasileiro, principalmente Phishing e Malware

AUTOR

Hugo Moura

Jornalista e entusiasta tecnológico. Acho interessante como a tecnologia e sua constante evolução remodelam nossa maneira de viver e interagir com o mundo ao nosso redor. Também sou músico e cozinheiro nas horas vagas.