Com a democratização do acesso à internet e o aumento de seu uso dentro dos ambientes corporativos, surge uma nova profissão: o Data Protection Officer (DPO).
E, se pararmos para pensar, a sua existência faz todo sentido.
Hoje, cada vez mais, confiamos na internet para muitas das soluções do nosso dia a dia.
Usamos a web para nos comunicarmos, fazer compras, vender itens novos e usados, encontrar trabalho extra, pedir um transporte, entre muitas outras funções.
Todos esses usos fizeram com que as empresas hoje armazenem um número recorde de dados sobre seus clientes.
Dessa forma, tornaram-se capazes de monitorar o comportamento de todos os usuários que acessam suas plataformas ou interagem com a marca nas redes sociais.
E como diz a clássica frase apresentada por Stan Lee, “com grandes poderes, vêm grandes responsabilidades”.
Nesse sentido, as empresas precisam ser cuidadosas com o armazenamento desses dados, protegendo seus clientes de invasões e vazamentos que possam levam ao uso malicioso das informações.
Não se trata de um medo injustificado, afinal, temos exemplos reais do problema.
Basta lembrar do vazamento de dados do Facebook, que levou seu CEO a ter de prestar esclarecimentos ao Congresso dos Estados Unidos.
Em 2019, um servidor desprotegido da Adobe expôs os dados de 7,5 milhões de usuários de diversos produtos da empresa multinacional.
A falha, descoberta por um engenheiro da firma de cibersegurança Comparitech, deixou os usuários do Adobe Creative Cloud vulneráveis a ataques de phishing – um tipo de golpe onde hackers se passam por uma empresa para roubar dados bancários do usuário.
É nesse contexto que o papel do Data Protection Officer se justifica.
De extrema importância para garantir a segurança das empresas e clientes, o seu trabalho é previsto por legislação nacional e acordos internacionais sobre segurança na internet.
Continue lendo para saber mais sobre o trabalho de um DPO, entender quais são suas funções e descobrir como você também pode entrar na área.
Se preferir, navegue pelos tópicos abaixo:
- O que é Data Protection Officer ou DPO?
- Proteção de Dados no Brasil e no Mundo
- O que é GDPR?
- Lei Geral de Proteção de Dados (LGPD)
- Para que serve o Data Protection Officer?
- Qual a importância do Data Protection Officer?
- Quais serão as funções do DPO?
- Como ser um Data Protection Officer
- Certificações recomendadas para se tornar um Data Protection Officer
- Perfil do DPO
- Média salarial.
Boa leitura!
O que é Data Protection Officer ou DPO?
Chamamos de Data Protection Officer, ou simplesmente DPO, o profissional que, dentro de uma empresa, é encarregado de cuidar das questões referentes à proteção dos dados da organização e de seus clientes.
Em seu trabalho, ele auxilia a empresa a adaptar seus processos para estruturar um programa de compliance com foco em maior segurança das informações que estão sob a sua tutela.
O DPO pode atuar em companhias privadas e também em órgãos públicos – basta que haja a necessidade de ter alguém responsável pelo tratamento e processamento de dados pessoais.
A sua atuação, que não é aleatória, segue regras específicas reforçadas por uma legislação nacional feita com base em regulamento aprovado na Europa.
A lei brasileira traz diretrizes sobre a coleta, manuseio e armazenamento dos dados – vamos falar com detalhes sobre os aspectos legais mais à frente.
Proteção de Dados no Brasil e no Mundo
A proteção de dados no Brasil e no mundo ganha cada vez mais importância e espaço dentro do organograma das grandes empresas.
Isso porque, nos últimos anos, têm ficado cada vez mais evidente o quanto os dados podem ser extremamente valiosos.
E o seu uso, quando mal intencionado, pode influenciar a percepção da realidade.
Assim, surgiu a necessidade de criar mecanismos para regulamentar e monitorar o modo como as organizações lidam com as informações que coletam dos indivíduos.
Com a internet sendo um fenômeno global, pouco ou nada adiantaria criar regras isoladas e diferentes de um país para outro.
Nesse sentido, se fez necessária a proposição de um regulamento que ultrapasse as fronteiras de território, englobando o máximo possível de estados dentro dos esforços para proteger os dados dos usuários.
O que é GDPR?
General Data Protection Regulation (GDPR) é o nome do regulamento sobre segurança da informação aprovado em 25 de maio de 2018 e que tem peso jurídico sobre os países da Área Econômica Europeia (AEE).
Aprovado pelo Parlamento Europeu e pelo Conselho da União Europeia, o conjunto de regras serviu de inspiração para a criação de legislações sobre o tema em diversos países pelo mundo.
Ainda que tenha tido sua versão final assinada em janeiro de 2016, o GDPR só entrou em vigência em maio de 2018.
Seu desenvolvimento buscou seguir três pilares fundamentais: a governança, a gestão e transparência dos dados.
A governança prevê a criação de mecanismos para coletar, armazenar e manipular os dados de maneira sistemática, descrevendo previamente quem vai lidar com qual pedaço de informação.
Enquanto ela trabalha mais na fase do planejamento, a gestão dos dados define a execução de fato.
Aqui, entram as ações de acompanhamento e controle para garantir que o que foi previsto no plano de ação será feito da maneira mais segura possível.
Por fim, a transparência dos dados prevê que a organização certifique-se de ter sempre o consentimento dos usuários para coletar as suas informações.
Aqui, é importante também garantir que a organização apresente sua política de privacidade de maneira clara e organizada para os usuários.
Lei Geral de Proteção de Dados Pessoais (LGPD)
Lei Geral de Proteção de Dados Pessoais – também conhecida apenas como LGPD – é o nome dado à legislação brasileira que trata dos assuntos relacionados à segurança dos dados na internet.
Seu texto tem regras rígidas sobre o que uma empresa no país pode ou não fazer na coleta, armazenamento e manipulação dos dados pessoais de seus clientes ou usuários.
Sancionada em 14 de agosto de 2018 como a Lei nº 13.709/2018, a maioria dos seus artigos só deve entrar em vigor em agosto de 2020.
A LGPD prevê ainda punições em forma de multas para aquelas que desrespeitarem suas determinações.
É importante dizer que a lei brasileira não substitui a GDPR, que ainda é aplicável para qualquer empresa nacional que atue coletando dados de indivíduos na Europa.
Para que serve o Data Protection Officer?
A transparência e a responsabilidade são dois conceitos básicos que devem guiar a atuação de um Data Protection Officer no ambiente profissional.
Quando falamos de transparência, nos referimos à necessidade de deixar claro para o cliente quais são os dados que a empresa está coletando e, ainda, qual uso será feito com cada um deles.
Sua utilização, então, implica no consentimento da parte que fornece os dados e confia na organização para manter uma tutela segura deles.
Já a responsabilidade é o que garante que a empresa será consciente sobre o poder que tem em suas mãos, comprometendo-se a lidar com os dados de maneira segura e ética.
Um exemplo negativo nesse sentido foi o escândalo envolvendo o Facebook e a empresa de análise de dados Cambridge Analytica.
Em 2008, a revelação de que as práticas pouco ortodoxas da empresa poderiam ter influenciado campanhas eleitorais, como a que elegeu Donald Trump, sacudiram as manchetes de jornais pelo mundo todo – virando até tema para um documentário produzido pela Netflix.
Mais tarde, o próprio Facebook admitiu o vazamento de dados de 87 milhões de usuários de 10 países – incluindo quase 445 mil brasileiros.
É aqui que entra o trabalho de um Data Protection Officer.
Esse profissional é quem, dentro de uma organização, entende mais sobre as legislações de segurança da informação no Brasil e no mundo.
Ele precisa garantir que o usuário tenha controle sobre os dados que serão coletados, assim como entender exatamente qual uso será feito deles.
Acima de tudo, é preciso trabalhar de maneira integrada com o departamento de Tecnologia da Informação para criar mecanismos para proteger o seu acervo do acesso de pessoas não autorizadas, eliminando toda e qualquer brecha de segurança.
Qual a importância do Data Protection Officer?
A cada ano que passa, a presença e atuação de um Data Protection Officer se torna cada vez mais necessária dentro de empresas que armazenam e lidam com dados em seu cotidiano.
Ainda que a lei brasileira não especifique a formação necessária para se tornar um DPO, o regulamento europeu é claro sobre a necessidade de o encarregado pela área ser alguém que conhece as leis.
O foco aqui é garantir que o profissional que trabalha com a governança, gestão e transparência dos dados possa estar 100% dedicado à função, sem distrações.
Com o DPO envolvido em todas as ações de proteção de dados, a empresa garante maior assertividade às suas iniciativas.
Isso traz uma maior autonomia ao profissional, que trabalha sem limitações da chefia ou autoridade supervisora.
Lembrando que seu compromisso deve ser primeiro com a transparência e segurança dos dados do usuário, e não com a imagem da empresa (o que vem como consequência).
A importância da atuação do Data Protection Officer aparece, ainda, em seu trabalho de conscientização junto aos outros colaboradores da equipe.
Como ele é a pessoa que mais entende sobre os perigos e os mecanismos de segurança, acaba se tornando uma referência sobre o assunto dentro da empresa.
É importante que seu cargo seja divulgado publicamente no site da instituição.
Além de contribuir para uma percepção positiva da empresa, a iniciativa de fato traz mais transparência e confiança para o usuário, que consegue observar a presença de um profissional dedicado à segurança de suas informações.
Quais serão as funções do DPO?
As funções do Data Protection Officer são determinadas pela legislação nacional, com a LGPD e, internacionalmente, pelo regulamento GDPR.
De modo geral, o profissional deve resguardar as informações da organização, seus colaboradores e os clientes.
Para tanto, é importante que ele não tenha ou aceite um cargo ou posição que resulte em um conflito de interesses com seu objetivo principal.
Hoje em dia, coletar informações dos consumidores em potencial se tornou praxe e, em alguns casos, uma prática essencial para os negócios da empresa.
Nesse cenário, é função do DPO se certificar junto ao departamento de TI de incluir uma cláusula clara nos momentos em que a coleta de dados é feita para que o usuário fique ciente e possa dar sua permissão.
O cenário muda um pouco de forma quando estamos lidando com dados de crianças, já que, quem é menor de idade, não pode responder por si, sendo necessário criar mecanismos para que o acesso só seja liberado com a permissão dos pais.
A GDPR menciona ainda o direito ao esquecimento como um dos aspectos que deve estar no radar de funções do DPO.
Quando solicitada, a empresa precisa deletar todas as informações do usuário que estão armazenadas e não sejam de cunho estatístico ou científico.
Todas essas funções são preventivas, ou seja, visam manter a segurança dos dados.
Porém, caso algo falhe e haja um vazamento de informações, o DPO deve orientar a empresa para avisar os clientes afetados o mais rápido possível – o estatuto europeu, por exemplo, fala em um prazo de 72 horas.
Como ser um Data Protection Officer
A legislação vigente não estabelece uma formação obrigatória e específica para o profissional que pretende atuar como Data Protection Officer – isso vale tanto para o GDPR quanto para a LGPD.
Ainda assim, é aconselhável que esse profissional tenha um bom conhecimento das leis e práticas do setor.
Isso não significa, porém, que para ser um DPO seja preciso de uma formação em um curso de Direito, embora seja interessante.
A atuação desse profissional é bastante ampla, emprestando conceitos das áreas de infraestrutura, TI, gestão de processos, administração, além de uma boa comunicação.
Muitas empresas acabam tendo dificuldade na hora de contratar alguém para a vaga, já que essa é uma função relativamente nova e que combina habilidades de diferentes áreas.
Por isso, é comum que organizações menores acabem optando por terceirizar o serviço, contando com empresas de consultoria e escritórios de advocacia especializados em segurança de dados.
Certificações recomendadas para se tornar um Data Protection Officer
Por mais que ainda não exista um curso de graduação ou especialização com foco na capacitação de profissionais DPO, a grande demanda por parte das empresas colocou em evidência algumas certificações que podem ser úteis para o cargo.
Baseado na norma ISO/IEC 27001, o certificado em Fundamentos em Segurança da Informação é um deles.
Ele apresenta os padrões para sistemas de segurança da informação mais utilizados no mercado, dando ao aluno as noções básicas da área e suas relações com medidas físicas, técnicas e operacionais.
Focado nos artigos da Lei Geral de Proteção de Dados Pessoais, o curso de Privacy & Data Protection Essentials (PDPE) introduz o profissional às demandas da legislação brasileira.
Para se aprofundar nas regras do regulamento europeu, o Privacy & Data Protection Foundation (PDPF) dá uma visão analítica sobre o GDPR, apresentando um comparativo com o seu correspondente brasileiro, a LGPD.
Por último, o Privacy & Data Protection Practitioner representa o nível mais avançado na jornada de “formação” de um DPO.
No curso, são apresentados alguns estudos de caso para que o profissional possa entender na prática como criar relatórios, contratos e documentos em conformidade com as normas legais.
As quatro certificações apresentadas aqui são obtidas após a realização de um exame com 40 questões de múltipla escolha, onde é preciso acertar o mínimo de 26.
Perfil do DPO
Como dissemos, o Data Protection Officer deve ser um profissional interdisciplinar, pois, em sua atuação vai circular entre diversos departamentos da empresa, precisando manter um bom relacionamento com toda a equipe.
Muito além de simplesmente estar familiarizado com as leis do país e regulamentos internacionais, ele precisa contar com algumas habilidades específicas.
É importante, por exemplo, que o profissional entenda pelo menos os conceitos básicos da tecnologia da informação para que possa apresentar soluções viáveis para a governança dos dados.
Conhecer um pouco de segurança da informação também é desejável, assim como ter certa experiência em gestão de compliance.
Por fim, ele deve ser capaz de se comunicar de maneira clara e transparente para garantir a integridade das políticas estabelecidas na organização.
Média salarial
Como esse é um cargo relativamente novo, é difícil dar números exatos sobre a remuneração de um DPO.
Na Europa, alguns estudos indicam que o valor pago aos profissionais da área gira em torno de 70 mil euros por ano.
No Brasil, nós temos o portal Vagas, que faz um cálculo da média salarial por cargos de acordo com os dados fornecidos por usuário reais.
O site informa que, por aqui, a remuneração de um Data Protection Office seja de cerca de R$ 21,5 mil.
Conclusão
O aumento do acesso à internet pelo mundo todo faz com que cada vez mais dados sejam diariamente coletados e armazenados na rede.
A quantidade de informações que as empresas de tecnologia têm de seus clientes é gigantesca e pode gerar graves problemas ao caírem nas mãos erradas.
Pensando nisso, os países têm criado legislações específicas para regulamentar a coleta, a gestão e o uso desses dados.
Assim, surge a necessidade de um profissional dedicado exclusivamente à proteção dos dados das organizações assim como de seus clientes ou usuários.
O Data Protection Officer (DPO) é esse profissional.
Sua atuação envolve conhecimentos e habilidades de várias áreas para garantir que as informações que estão sob tutela da organização não sejam acessadas por terceiros e utilizadas de forma mal intencionada.
Recente no mercado, o cargo ainda não conta com uma capacitação formal, mas se beneficia quando o candidato a DPO busca certificações baseadas nas normas internacionais.
Esta é uma oportunidade para profissionais e empresas.
Aqueles que integram o primeiro grupo podem se beneficiar de uma carreira promissora.
Já quem está no segundo se vale desse trabalho para se posicionar no mercado como uma organização transparente e responsável.
Gostou do artigo? Compartilhe o conteúdo com seus amigos nas redes sociais. Ficou com dúvidas? Deixe um comentário abaixo ou entre em contato.