DPO e os #17 pilares para atuação

Um homem de terno apresentando um cartão de visita escrito "Data Protection Officer - Direito Digital Cast"

A Lei Geral de Proteção de Dados (LGPD) é realidade, e a sua entrada em vigor gera inúmeras oportunidades de mercado, dentre elas a de se tornar um Data Protection Officer (DPO), definido pela Lei Brasileira como o Encarregado da Proteção de Dados (EPD). No entanto, se você quer alcançar essa posição, mas não sabe por onde começar, aqui temos #17 conhecimentos necessários para que você possa exercer essa função. 

A princípio, esse artigo parte do pressuposto que o leitor já possui conhecimentos (mesmo que básicos) sobre proteção de dados e, inclusive, saiba o que é e qual a função de um DPO.

Contudo, se esse não for o seu caso, não há nenhum problema, nós temos uma solução para você!

O nosso Podcast para complementar a informação

Um celular e um fone de ouvido (ambos pretos) em cima de uma mesa possivelmente tocando episódio sobre DPO

Se acaso você quiser entender ou aprofundar seu conhecimentos em temas relacionados ao Data Protection Officer, eu te convido para ir ao nosso Podcast Direito Digital Cast e ouvir o episódio Proteção de Dados: o caminho para atuar como um DPO

Neste episódio nós entrevistamos o DPO da L’Oreal Portugal Matheus Passos. E como resultado, nós tivemos um bate-papo incrível em que ele conversou sobre a função de um DPO, suas responsabilidades e como é o dia a dia de um DPO.

Do mesmo modo, ele pôde nos dar algumas dicas para ingressar no mercado de trabalho e, no final, falamos sobre três (03) certificações internacionais de proteção de dados! Dessa forma, eu tenho certeza que esse episódio vai te ajudar!

Sobre o Data Protection Officer (ou Encarregado de proteção de dados) – como vocês preferirem!

homem com terno preto segurando um celular e mexendo no notebook, possivelmente um DPO

Antes de mais nada, é imprescindível que entendamos que o DPO exerce um papel central no quadro normativo de proteção de dados. Afinal, ele o elo entre os titulares de dados pessoais, a empresa/organização para qual ele trabalha e a Autoridade Nacional de Proteção de Dados (ANPD)

Neste contexto, e em simples palavras, o DPO será aquele que:

  1. atuará como um “consultor” sobre os assuntos relacionados ao tratamento de dados pessoais de uma empresa,
  2. se comunicará com o titular de dados quando este quiser exercer um dos seus direitos relacionados aos seus dados que são tratados, e por fim,
  3. será a ponte de comunicação direta entre sua empresa e a Autoridade de Proteção de Dados para todo e qualquer assunto que se relacione com reclamações, dúvidas e investigações. 

O que eu preciso saber para atuar como DPO?

dados em cima de uma mesa que formam a palavra study incentivando o estudo para DPO

Para que o você venha a exercer suas funções com segurança, apenas o conhecimento jurídico a respeito da proteção de dados não é o suficiente. Na verdade, o DPO é, nos dias atuais, a materialização de um profissional multidisciplinar.

Nós afirmamos isso pois ao mesmo tempo que ele deve conhecer os diplomas jurídicos pertinentes, e aqui eu cito os Europeus (GDPR e E-Privacy) e os Brasileiros (LGPD e Marco Civil da Internet), o DPO também DEVE caminhar pela Segurança da Informação, de uma forma que o conhecimento técnico se complemente com o conhecimento jurídico (e vice-versa). 

Na entrevista que realizamos com Matheus Passos, ele ainda foi além, e dividiu a atuação de um DPO em três (03) campos distintos, sendo eles: 

  1. Conhecimento jurídico sobre proteção de dados e medidas de conformidade; 
  2. Conhecimento técnico sobre medidas técnicas e organizacionais para a segurança dos dados; e 
  3. Capacidade de gerenciar projetos como forma de promover documentação e prestar de contas.  

De fato parece muita coisa! Talvez até seja, mas não é impossível! Todavia, isso irá exigir de você preparação e dedicação. E foi pensando nesse “caminho a ser traçado” que surgiu a ideia de escrever sobre os 17 conhecimentos para atuação como DPO

Mas da onde surgiu essa lista voltada para DPO?

Imagem escrito CNIL: Comission Nationale Informatique e Libertés que escreveu um programa de estudos voltado para DPO

De antemão, até para questões de autoridade, eu gostaria de deixar claro que essa lista não foi desenvolvida sem qualquer estudo. Em outras palavras, foi a CNIL (Commission Nationale de l’Informatique et des Libertés), a Autoridade Francesa de Proteção de Dados, que desenvolveu uma Guideline a respeito de um Programa de Certificação de habilidades e conhecimentos de um DPO

Desse modo, fique tranquilo! E caso queira, baseie seus estudos nessa lista, pois a CNIL é uma das principais Autoridades de Proteção de Dados do Mundo.

Ato contínuo, para que possamos deixar tudo o mais organizado possível, iremos separar os 17 conhecimentos definidos pela CNIL dentro dos segmentos apresentados pelo Matheus Passos.

No entanto, entenda que alguns conhecimentos se encontram na interseção entre dois campos, e essa organização não é definitiva. E dessa forma, você, leitor, pode entender que a organização possa ser feita de outra forma.

Se acaso você pensar assim, por favor, adoraríamos que você nos contasse o seu ponto de vista.

Campo 1 do DPO – Conhecimento jurídico sobre proteção de dados e medidas de conformidade

estante com vários livros, talvez um deles sobre DPO

Conhecimento 1: conhecer e compreender os princípios da legalidade do processamento, da limitação da finalidade, da minimização de dados, da exatidão dos dados, da limitação do armazenamento, da integridade, da confidencialidade e da responsabilidade.

Conhecimento 2: capacidade de identificar a base legal de um processamento.

Conhecimento 3: capacidade de determinar quais medidas são apropriadas e qual o conteúdo de informação deve ser fornecido aos titulares de dados em causa.

Conhecimento 4: O DPO deve ter conhecimento do quadro legal relativo à subcontratação/terceirização do tratamento de dados pessoais.

Conhecimento 5: capacidade de identificar a existência de transferências internacional de dados e de determinar quais os instrumentos legais de transferência de dados susceptíveis de serem utilizados.

Conhecimento 6: capacidade de identificar violações de dados pessoais que requerem notificação à autoridade de supervisão e aqueles que requerem comunicação aos titulares de dados em causa.

Conhecimento 7: saber se é necessário ou não realizar um relatório de impacto à proteção de dados pessoais e saber como monitorar o seu desempenho.

Campo 2 do DPO – Medidas técnicas e organizacionais para a segurança dos dados em função dos riscos

Uma mulher negra atuando coo DPO  com um notebook na mão analisando dados em frente a um data center

Conhecimento 8: saber como desenvolver e implementar uma política ou regras internas de proteção de dados.

Conhecimento 9: capacidade de identificar medidas de proteção de dados by design e by default que sejam adequadas aos riscos e à natureza das operações de processamento.

Conhecimento 10: capacidade de identificar medidas de segurança adequadas aos riscos e à natureza das operações de processamento.

Campo 3 do DPO – Gerenciamento de Projetos 

Em uma mesa, um caderno, um paper e um notebook, remetendo aos trabalhos de um DPO

Conhecimento 11: capacidade de estabelecer procedimentos para receber e gerir solicitações de exercício de direitos realizados pelos titulares em causa.

Conhecimento 12: capacidade de organizar e participar em auditorias de proteção de dados.

Conhecimento 13: ter ciência do conteúdo do registro das atividades de processamento, do registro das categorias de atividades de processamento e da documentação sobre violações de dados, como também da documentação necessária para comprovar a conformidade com os diplomas legais de proteção de dados.

Conhecimento 14: capacidade de fornecer consultoria sobre o relatório do impacto da proteção de dados (em particular sobre a metodologia, sobre qualquer possível terceirização, sobre as medidas técnicas e organizacionais a adotar).

Conhecimento 15: compreensão de como gerenciar as relações com a(s) autoridade(s) de supervisão, respondendo às suas solicitações e facilitando a sua ação (em particular, através do tratamento de reclamações e investigações).

Conhecimento 16: ser capaz de desenvolver, implementar e fornecer programas de treinamento e conscientização sobre proteção de dados a toda a equipe e aos órgãos diretivos.

Conhecimento 17: saber como garantir a rastreabilidade de suas ações, particularmente através de ferramentas de monitoramento ou relatórios anuais.

Você já está quase no final! 🙂

foto com escrito You got this

De forma sintetizada, esses foram os 17 conhecimentos que a CNIL definiu como essenciais para a formação de um DPO. E eu realmente espero que essa lista possa ter sido importante e relevante para você!

Isto posto, comente o que você achou sobre ela! Entre em contato conosco e dê sua opinião! Ela é muito importante para nós. 

Antes de finalizar, gostaria de comentar que o DDCast e eu (Victor Mulin), temos como missão transmitir o nosso conhecimento, possibilitando que assim você construa o seu próprio caminho para alcançar os seus objetivos.

Finalmente, saiba que queremos que você esteja próximo a nós, seja sugerindo novos temas e assuntos, ou até mesmo produzindo conhecimento e conteúdo conosco! Por conta disso, deixe seu comentário sobre o que você quer ler durante as próximas semanas! 

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *