Quem é DPO, profissional que ganhará espaço nas empresas com a LGPD

Claudinei Vieira: DPO da Marketdata

A Lei Geral de Privacidade de Dados (LGPD) valoriza a atuação de um novo profissional, o Data Protection Officer (DPO). Também conhecido como delegado de dados ou encarregado de dados, a partir de fevereiro de 2020 esse especialista será encarregado de administrar todo o fluxo de informações em qualquer empresa, desde sua coleta até seu tratamento. Além disso, servirá como ponte entre uma empresa e a futura Autoridade Nacional de Dados.

“O DPO (ou encarregado de dados) deve, em primeiro lugar, ser alguém com autonomia para poder exercer uma função fiscalizatória interna. Mas também possui prerrogativas de interlocutor com a Autoridade Fiscalizadora de Proteção de Dados Pessoais”, explica Patricia Peck, especialista em direito digital ouvida por Mobile Time. “Sendo assim, o recomendável é que seja um profissional com uma formação mais interdisciplinar, com conhecimentos da nova legislação, conhecimentos sobre governança de bases de dados pessoais, de segurança da informação, mas que tenha habilidade para se relacionar como porta-voz da instituição perante as autoridades e também perante os titulares dos dados, principalmente no caso de ter que cumprir com o dever de reportar situações de incidentes de violações de dados pessoais”.

De acordo com Maurício Paranhos, COO da Apura Cybersecurity Intelligence, a necessidade do DPO era evidente, uma vez que as informações se tornaram um ativo importante para qualquer empresa no começo deste século. Agora, com a LGPD, este encarregado de dados torna-se obrigatório. Além disso, ele acredita que o DPO será encarregado não apenas dos dados, mas será responsável por treinar os funcionários de uma companhia a tratar os dados coletados apropriadamente e realizar auditorias regulares.

No entanto, como quase tudo o que acontece neste cenário, o DPO é algo novo e que sequer tem uma formação ou abrangência específica de seu papel, como destaca Peck: “Acredito que este perfil esteja em formação. É híbrido (técnico, jurídico e com competências interpessoais). Não há ninguém hoje totalmente preparado para esta função, que é de grande responsabilidade e exige múltiplas habilidades. Por isso, cresceu a oferta de cursos preparatórios e certificações para DPOs, o que é recomendável para quem quer seguir nesta carreira”.

Perfil do DPO

Embora a lei entre em vigor apenas em 2020, algumas empresas começam a se movimentar em busca de uma solução no mercado, um perfil que agregue para a função. A empresa de gerenciamento de dados Marketdata, do grupo WPP, é uma delas. Recentemente, a companhia, que tem 18 anos de atuação com clientes como operadoras e varejistas, contratou um profissional para ser seu encarregado de dados, Claudinei Vieira.

“No início da carreira fui analista e, aos poucos, fui mudando para TI. Para mim, o DPO hoje tem quer ter uma formação em riscos, compliance, tecnologia e segurança”, diz o DPO da Marketdata. “Como ainda não há formação específica para o tema, o ideal é que seja alguém graduado em tecnologia com especialização em compliance”.

Formado em ciência da computação pela Unesp com MBA em inovação e tecnologia pela FIA, Vieira foi consultor SAP na Softek, consultor sênior na Deloitte, e destacou-se por um trabalho de 16 anos de PwC em funções de supervisão de SAP, gerência de SAP, gerência de contas e como diretor de TI. Ao longo de sua carreira atuou com contexto de riscos de segurança da informação, privacidade de dados, riscos regulatórios (Sox 404) e riscos de negócio (prevenção a perdas e fraudes).

Vieira enfatiza ainda que há certificações importantes para trilhar no caminho do encarregado de dados. Citando seu próprio caso, ele revela que estudou e obteve duas formações específicas em privacidade de dados: EXIN (Foundation + Practioner) e da IAPP GDPR Ready (International Association of Privacy Professionals).

Como contratar

Em conversa com Mobile Time, parte do board da Marketdata explicou que a contratação de um DPO já estava em seus planos, e que não é por causa pela lei, como explicou Rovane Machado, diretor executivo da empresa: “Boas políticas de dados, nós sempre seguimos. Com a lei, a gente fez pequenas adaptações e melhoramos a segurança. Enfim, essa contratação não foi pela LGPD, mas para formalizar nosso papel junto ao mercado e atuar com nossos clientes”.

“Para contratá-lo, selecionamos primeiro aqueles com experiência forte em cibersecurity. Depois elegemos três aspectos para questionar nas entrevistas: conhecimentos em tecnologia, área legal e governança. Isso foi importante, pois sabíamos que o DPO lideraria comitês internos da empresa”, completou o diretor.

Machado defende ainda outro motivo para contratar um DPO: não sobrecarregar os gestores jurídicos e de TI de sua empresa, uma vez que é melhor ter alguém concentrado em entender todos os processos deles e de seus parceiros. A percepção do executivo foi defendida por outro profissional do setor, André Carraretto, estrategista de Cibersegurança da Symantec.

“O DPO será um profissional que conhece de privacidade e segurança para conseguir fazer a gestão dos dados. A tendência é que ele fique ligado à área de dados, mas vai depender muito da estrutura e governança de cada empresa”, enfatizou o executivo. “É fundamental que ele ocupe uma área que tenha independência e total autonomia para fazer a gestão dos dados de forma isenta. Pela LGPD, toda empresa necessitará nomear um Encarregado pelo Tratamento de Dados Pessoais, que tem sido assimilado no mercado com o nome de DPO”.

DPO, agora?

Questionados por que não esperar até fevereiro de 2020, Marcelo Sousa, também diretor na Marketdata, ressalta que muitas empresas não estão preparadas para a LGPD, inclusive seus clientes. Para isso, um comitê com 27 empresas-clientes foi criado para discutir o impacto e a atuação perante o novo marco da privacidade de dados.

“Tudo isso faz parte de um processo. As pessoas e as empresas vão melhorando à medida que entendem o tema”, diz Sousa, que também é presidente da Associação Brasileira dos Agentes Digitais (Abradi). “O problema do dado é ser malcuidado. Organizar um dado é sempre mais complicado do que parece”.

Por sua vez, Rubens Stephan Junior, CEO e fundador da Marketdata, explica que outra razão para contratar Vieira como seu DPO está em buscar alguém que explique o que ele e seus parceiros podem fazer com dados de forma clara e transparente.

Os executivos da empresa de data-driven da WPP ainda foram perguntados se um dos próximos passos seria oferecer esta solução como um serviço, algo similar a um SaaS com DPO (DPOaaS). A ideia está no radar da Marketdata: uma vez que toda empresa precisa ter um DPO, eles ofereceriam isso como serviço ou consultoria. O formato e modelo de negócios desta solução ainda não estão definidos.

Mobi-ID

O gerenciamento dos dados cadastrais de clientes será tema do painel de abertura do Mobi-ID, seminário sobre identificação e autenticação digitais organizado por Mobile Time e que acontecerá no dia 26 de setembro, no WTC, em São Paulo. Estão confirmados para esse painel os seguintes palestrantes: Caio Fernandes, CIO do Outback; Igor Régis Simões, gerente executivo de TI do Banco do Brasil; Marcela Miranda, CEO da Trigg; e Ruben Longobuco, CSO da Vivo. A agenda completa do evento e mais informações estão disponíveis em www.mobi-id.com.br, ou pelo telefone 11-3138-4619, ou pelo email [email protected].