O melhor portal de Marketing e Vendas para a sua empresa
Entenda os papeis do Controlador, Operador e Encarregado de Dados (DPO) dentro da Lei Geral de Proteção de Dados.
min de leitura
O marco histórico ocorreu em setembro de 2020, quando a Lei Geral de Proteção de Dados (LGPD) entrou em vigor. Em decorrência deste fato, muitas empresas precisaram se adaptar à nova realidade.
Apesar da segurança e proteção serem preocupações recorrente das companhias atreladas ao ramo da tecnologia, foram tantos os benefícios com a transformação digital, que o mercado se ajustou de forma natural e em uma velocidade avassaladora.
Entretanto, arquitetar softwares e aplicativos não é suficiente, é preciso ultrapassar essa fronteira, indo além e fazendo uso de procedimentos que estejam em consonância com as diretrizes impostas pela LGPD. Na prática, a legislação foi projetada para regulamentar os atos de coletar, tratar e armazenar informações e dados atrelados às pessoas físicas.
Um bom exemplo de como essa nova legislação funciona, é no instante que os dados pessoais de um indivíduo são coletados por estabelecimentos, farmácias, lojas e e-commerces. A partir da LGPD, esse processo de armazenamento de dados passará por um filtro muito mais rigoroso.
Em um panorama geral, ele tem tudo a ver com esse processo. O DPO ou encarregado, será o especialista responsável pelas questões relacionadas à proteção dos dados dos clientes e da instituição. Desta forma, sua função é acompanhar, com base nos acessos e interações com as plataformas e redes sociais, os hábitos dos usuários.
Além disso, ele também é responsável por auxiliar a empresa na estruturação de um programa de compliance mais focado na segurança dos dados que estão em sua responsabilidade. Basicamente, ele anda de mãos dadas com a Lei Geral de Proteção de Dados, já que garante as diretrizes relacionadas à coleta, manuseio e armazenamento dados.
Em outras palavras, o DPO possui um papel de liderança dentro da segurança da empresa, exigido pelo Regulamento Geral de Proteção de Dados (GDPR). É ele o encarregado de responder pela proteção de informações, além de supervisionar estratégias garantindo que todas as normas previstas no regulamento sejam cumpridas.
Com a necessidade urgente de liberação de recursos para a realização de investimentos em atualizações e iniciativas voltadas para a evolução do mercado digital, as empresas passam a ter a obrigação de serem ainda mais cautelosas quando o assunto é o armazenamento dessas informações, protegendo usuários de cyber ataques que possam levar ao uso malicioso desses dados.
Vale lembrar que, infelizmente, esse medo é mais real do que imaginamos. Afinal, quando se fala em vazamento de informações, existem cases concretos que justificam a preocupação, como, por exemplo, o site Canva sofreu um ataque em maio de 2019, resultando na exposição de endereços de e-mail, nomes de usuários, nomes, cidades de residência de 137 milhões de usuários.
Não bastando, em 2013 , a Adobe teve hackeados mais de 150 milhões de registros criptografados de cartões de crédito atrelados a clientes, além de IDs, senhas e outras informações.
Dentro desse contexto, o papel do Date Protection Officer passa a ser extremamente valioso, visando assegurar a segurança não só das empresas, mas também de seus clientes, assegurando a confiabilidade de seu negócio e sem colocar em risco anos de investimento.
Para o GDPR, a função de um DPO é necessária para qualquer instituição que receba ou armazene grandes quantidades de dados, sejam esses de funcionários, terceiros ou clientes.
Desta forma, torna-se indispensável a importância desse profissional para as empresas, pois este abrange o compromisso de ultrapassar as fronteiras do território digital, integrando o máximo possível de esforços na proteção de dados atrelados a usuários.
A partir da LGPD, três importantes atribuições foram inseridas na legislação brasileira: o Controlador, Operador e Encarregado. Usualmente, a diferença entre controlador e operador está no seu poder de decisão.
Enquanto o controlador é responsável pelas informações, o operador é a figura que, a partir das ordens concedidas, atua sobre os dados. Por isso, é essencial que o DPO conheça a legislação, tenha experiência em governança e entenda sobre segurança da informação.
O profissional de DPO é responsável por estabelecer a comunicação entre os titulares e autoridades nacionais, além de fornecer esclarecimentos, providências e orientações internas.
Diferentemente do Controlador e do Operador, o encarregado não possui qualquer responsabilidade legal, ou seja, a responsabilidade da fiscalização de seu funcionário ou prestador de serviço, fica inteiramente à cargo do Controlador ou Operador, variando caso a caso.
Vale ressaltar que, quando os dados do titular forem tratados pelo encarregado, este poderá fazer ao Controlador algumas solicitações:
Como o próprio nome diz, este é o personagem responsável por controlar todas as etapas e decisões atreladas ao tratamento de dados, devendo sempre seguir o disposto pela LGPD, realizando a abordagem em consonância com os princípios, orientando corretamente o Operador, para que este realize um tratamento de acordo com o regulamento.
Uma das obrigações atreladas à função de Controlador, é a composição do chamado “relatório de impacto à proteção de dados pessoais”, ou seja, uma documentação contendo as etapas descritas das metodologias de tratamento de informações sigilosas que podem resultar na violação de direitos e liberdades da vida civil, bem como direitos fundamentais dos usuários.
Desta forma, é o Controlador quem responde pelos danos patrimoniais, morais, individuais ou coletivos, tal como violações à legislação, podendo resultar em dever de reparação ao usuário lesionado.
Quando falamos na cadeia de tratamento relativa aos dados pessoais, o Operador é aquele subordinado ao Controlador, ou seja, ele realiza o serviço seguindo as diretrizes trazidas pelo Controlador para tratar os dados de acordo com as políticas de privacidade e ao ordenamento jurídico, sempre com a obrigação de cumprir à risca as instruções que lhe forem fornecidas, levando em consideração os termos da LGPD.
Assim como o Controlador, ele também responderá em nome do exercício de sua atividade, tratamento de dados pessoais, caso cause ao proprietário das informações qualquer dano de natureza moral, individual, coletiva ou quando relacionada ao patrimônio, em clara e evidente violação da legislação cabível.
Apesar do GDPR não incluir uma lista específica de credenciais atreladas a função de DPO, a legislação exige que, no mínimo, o agente de proteção possua “conhecimento especializado de leis e práticas de proteção de dados”. Sendo que a especialidade do DPO deve dialogar com a operação de processamentos de dados da organização e o nível de proteção necessário.
Portanto, por mais que não se encontre cursos especializados ou de graduação com foco específico em profissionais de DPO, este é um especialista que atua em diversas áreas e ramos, pois acaba figurando em diversos departamentos da empresa.
Muito mais do que simplesmente conhecer as leis e regulamentos nacionais e internacionais, este profissional precisa possuir competências específicas que, em decorrência da alta procura pelas instituições, foram colocadas em evidência, passando a exigir certificações aconselháveis para o exercício do cargo. Com base na norma ISO/IEC 27001, uma das principais certificações é a em “Fundamentos em Segurança da Informação”.
Durante o processo de contratação de um DPO, é preciso garantir não só que este siga as práticas e diretrizes de proteção de dados, mas também que possua conhecimentos básicos em infraestrutura de TI, além de estrutura técnica e organizacional. É possível designar o cargo para um funcionário já contratado e que seja de confiança da empresa ou contratar um alguém especialmente para o exercício da função.
