Apesar da pandemia da Covid-19, que acaba atraindo aatenção de todo o mundo, os assuntos relacionados à proteção de dados pessoaisdespertam o interesse de muitas pessoas, especialmente aqui no Brasil, devido àentrada em vigor da LGPD, cuja vigência, nesse momento, ficou adiada pela Medida Provisória 959 de 29 de abril de 2020, para 03 de maio de 2021.
Esse assunto que acabou ganhando muitarelevância com o início de vigência da GDPR, em 25 de maio de 2018, nos territórios da União Europeia, trouxe àtona a figura do DPO – Data Protection Officer, o qual deve garantir que sua organização processe os dados pessoais desua equipe, clientes, fornecedores ou quaisquer outros indivíduos, emconformidade com as regras de proteção de dados aplicáveis. Segundo a LGPDbrasileira, o papel do DPO é assumido pelo “Encarregado”.
Porém, “a bola da vez” é a CCPA, ouseja, a lei de proteção de dados pessoais da Califórnia, EUA, que entrou emvigor em julho de 2020.
Para efeitos da CCPA, é importantesalientar que não há previsibilidade da figura do DPO. Todavia, começa a ganharforça nos EUA, e especialmente na Califórnia, a importância de ter alguém quepossa zelar pelo monitoramento na coleta de dados pessoais, assim como interagircom os consumidores, nos assuntos que digam respeito à proteção de dados. E édessa forma, que se fortalece o conceito do CPO – Chief Privacy Officer, o qualteria como premissas básicas essas acima. Ele, na verdade, é um executivocorporativo encarregado de desenvolver e implementar políticas projetadas paraproteger os dados de funcionários e clientes contra acesso não autorizado.
É importante salientar que esse conceitocomeçou a ganhar força após a aprovaçao da HIAA (the Health Insurance Portability and Accountability Act),em 1996, que passou a exigir um profissional responsável por dados, nasempresas operando no setor de saúde, nos EUA.
Considerando o fenômeno da globalização,não será rara a sujeição por inúmeras empresas americanas transnacionais àGDPR, o que por si só já se justificaria a necessidade de deter um DPO.
Como o DPO tem as suas exigênciasespecíficas já definidas, ou seja, (i) Mais de 5 anos de experiência com leisde privacidade da UE e globais, (ii) Experiência com programação einfraestrutura de TI e (iii) Experiência com auditorias de sistemas de TI,existe o consenso que o CPO deveria ter essas habilidades como exigênciasmínimas. Por outro lado, no atual momento, não será fácil encontrarprofissionais com tal perfil. A própria Associação Internacional deProfissionais de Privacidade – IAPP estimouuma necessidade inicial de 28.000 profissionais qualificados para assumir talfunção.
Aqui é possível entender de forma maisaprofundada as tarefas a serem desempenhadas por esse profissional:
1. Cria umprograma de privacidade estratégico e abrangente que define, mantém, desenvolvee implementa políticas e processos que permitem práticas de privacidadeconsistentes e eficazes que minimizam os riscos e garantem a confidencialidadedos dados pessoais, em papel e / ou digitais.
2. Trabalha como gerente sênior de organização, segurança e conformidade corporativa paraestabelecer governança para o programa de privacidade.
3. Desempenhaum papel de liderança na conformidade da privacidade.
4. Garante queos formulários, políticas e procedimentos de privacidade estejam atualizados.
5. Estabeleceum processo contínuo para rastrear, investigar e relatar acesso e divulgaçãoinadequados de informações de dados pessoais.
6. Realiza ousupervisiona a avaliação / análise, mitigação e correção de riscos deprivacidade de informações iniciais e periódicas.
7. Realizaatividades de monitoramento de conformidade em andamento, em coordenação comoutras funções de conformidade e avaliação operacional da empresa.
8. Monitorapadrões de acesso inadequado e / ou divulgação de informações de saúdeprotegidas.
9. Assume umafunção de liderança, para garantir que a organização tenha e mantenhaconsentimentos adequados de privacidade e confidencialidade, formulários deautorização e avisos e materiais de informações que refletem a empresa atual epráticas e requisitos legais.
10. Supervisiona, desenvolve e oferece treinamento inicial econtínuo sobre privacidade aos colaboradores.
11. Participa no desenvolvimento, implementação e monitoramentocontínuo da conformidade de todos os parceiros de negócios com os quais aempresa mantém contrato, para garantir que todos os requisitos eresponsabilidades de privacidade sejam atendidos.
12. Executa a avaliação, documentação e mitigação de riscos deviolação necessárias. Trabalha com Recursos Humanos para garantir a aplicaçãoconsistente de sanções por violações da privacidade.
13. Gerencia processos para investigar e agir sobre reclamações deincidentes de privacidade e segurança.
14. Fomenta atividades para promover a conscientização daprivacidade das informações na empresa.
15. Mantém o conhecimento atual das leis sobre privacidade.
Gerencia todos os processosde notificação de violações exigidos pelas autoridades.
Entretanto, uma alternativa razoável, na impossibilidade de achar um profissional com tais habilidades, seria terceirizar esse serviço, contratando alguém que detivesse a qualificação adequada para desempenhar essa função, já que não há obrigatoriedade para que as atribuições de um CPO sejam desempenhadas internamente.
AUTORES:
Douglas Leite
Alexandre Dalmasso