DPO: quem será o encarregado pela LGPD nas empresas?

Líderes de TI, do departamento jurídico e de relações institucionais são os mais cotados para acumularem a função de Data Protection Officer
Sergio Lozinsky*

“A melhor maneira de prever o futuro é criá-lo”

Peter Drucker, escritor, professor e consultor considerado o pai da administração moderna

Os desafios para adequação à Lei Geral de Proteção de Dados (LGPD), que entra em vigor em agosto de 2020 no Brasil, não são exclusivos da gestão de TI. O departamento de recursos humanos também deve se preocupar, já que a legislação criou um cargo novo nas empresas que trabalham com coleta, armazenamento e tratamento de dados: o Data Protection Officer, ou, para simplificar, DPO. Embora a função possa ser ocupada por um prestador de serviços terceirizado, empresas tendem a voltar os olhos para dentro de casa em busca do perfil ideal para cumprir a função. 

A primeira figura que tende a vir à mente dos líderes para a escolha do DPO é o responsável pelo departamento jurídico. Afinal, estamos falando de uma lei –  e quem melhor que um profissional do Direito para compreender os meandros das legislações brasileiras? 

Há, ainda, os que atribuem ao líder de TI a melhor capacitação para o cargo. Ele está familiarizado com as ferramentas que coletam e armazenam os dados, assim como com aquelas que garantem a segurança da informação. 

Outro profissional cogitado para ocupar (ou talvez, acumular) a função é o de relações institucionais. Ele reúne habilidades de comunicação fundamentais para traduzir e endereçar qualquer crise. É provável, ainda, que já esteve em contato com inúmeros dos agentes com os quais o DPO terá de se relacionar – do proprietário do dado ao poder público. 

Independentemente de para onde a liderança vai voltar seu olhar, é necessário, primeiro, entender o que fará o DPO. Esse profissional – que pode alcançar o status de C-Level – será responsável por representar a empresa diante da Autoridade Nacional de Proteção de Dados, sendo, portanto, o principal encarregado pelo monitoramento e cumprimento da proteção de dados pessoais. Ele terá, muitas vezes, o papel de intermediador de interesses, trabalhando com pautas que são do interesse dos titulares dos dados e, também, das autoridades – tudo isso com um olhar crítico em relação ao negócio.

Trata-se, portanto, de um cargo estratégico. E, como tal, precisa dominar os processos de tratamento de dados e, ao mesmo tempo, conhecer muito bem o negócio para entender de que forma ele será impactado pelas mudanças exigidas para se adequar à LGPD. Ele deve ter uma visão completa e holística do funcionamento da empresa, incluindo seus principais processos, em quais deles se encontram os pontos sensíveis relacionados ao tratamento de dados e, ainda, identificar quais são os dados que realmente precisam ser coletados para que a empresa mantenha sua operação e saúde financeira. Até porque a lei prevê o que se chama de “tratamento legítimo de dados” – o que significa que não se pode mais coletar agora e decidir depois o que fazer com a informação. A motivação precisa estar clara para o titular do dado – que deve, inclusive, autorizar o uso exclusivamente para esse fim. 

O DPO deverá, ainda, estar apto para esclarecer todas as etapas do plano de segurança de dados da corporação em caso de eventuais vazamentos. Esse é um dos aspectos avaliados pela autoridade nacional para determinar o valor da multa: o que a empresa fez, de fato, para proteger seus dados? E embora a sanção presidencial de julho de 2019 (Lei 13.853/2019)  tenha anulado a possibilidade de interrupção parcial e também da proibição parcial ou total do funcionamento do banco de dados, a preocupação com as multas ainda é factível, pois elas podem alcançar 2% do faturamento bruto, com teto de R$ 50 milhões.

A escolha do profissional que irá se tornar o DPO, por si só, já é complexa. Mas há, ainda, a possibilidade de que o perfil ideal não seja identificado entre os colaboradores da empresa – o que exigirá ou que se invista em formação, ou que se busque alguém no mercado. No primeiro caso, considero que um prazo de até um ano possa ser requerido para capacitar o profissional – o que significa começar essa formação agora. O fundamental aqui é que ele seja figura ativa no projeto de aderência à lei. Com essa participação, ficará por dentro de tudo o que é necessário saber para executar a função. 

Caso, porém, a empresa perca o timing, caberá voltar os olhos para fora e buscar no mercado o seu DPO – algo que, na minha visão, não aconteceu ainda porque os fornecedores também estão em processo de amadurecimento em relação à função. A partir de agosto de 2020, com essa maturação finalizada, os serviços estarão à disposição. E esse investimento, então, será obrigatório para quem não estiver preparado. 

 

* Texto originalmente publicado na plataforma IT Trend, da IT Mídia

 

Leia mais: 

CIO: 4 desafios complexos da TI e do negócio que você terá de enfrentar

artigo assinado por

Sergio Lozinsky

Sócio-fundador e CEO
Com mais de 30 anos na TI, é fundador da Lozinsky Consultoria. Autor de livros e inúmeros artigos sobre estratégia empresarial e tecnologia.
Veja mais artigos do consultor
compartilhe este artigo
Redes sociais Lozinsky Redes sociais Lozinsky

Qual o seu problema
de negócio complexo?

Conheça os desafios que motivam a transformação do seu negócio. E saiba como resolve-los,
nossos cases
Outros artigos
Transformação de Negócios
https://lozinskyconsultoria.com.br/wp-content/uploads/2023/01/sergio.png

Gestão de marca: o quanto o CEO pode – e deve – intervir

Qual o equilíbrio entre legado e renovação quando o assunto é gestão e atualização de marca? *Por...

Leia o artigo
Estratégia e gestão de TI
https://lozinskyconsultoria.com.br/wp-content/uploads/2023/01/fabio.png

As empresas estão correndo atrás da IA. Mas qual é o destino?

Depois de um momento de euforia, é hora de repensar a adoção da  inteligência artificial para fin...

Leia o artigo
Estratégia e gestão de TI
https://lozinskyconsultoria.com.br/wp-content/uploads/2023/01/ricardo.png

Antes de falar em disrupção em TI, que tal olharmos para o básico bem feito?

Investir tempo e dinheiro em ações estruturantes não é tão “sexy” quanto buscar a inovação, mas s...

Leia o artigo
mais artigos