Data Protection Officer: o que faz esse profissional indispensável para a LGPD?

Uma nova área de atuação está surgindo no Brasil. Com a prorrogação da LGPD (Lei Geral de Proteção de Dados) para 2021, as empresas ganharam um prazo maior para se adaptar às exigências da lei e profissionais de diversas áreas se veem diante de uma oportunidade: a de se tornarem DPOs, ou Data Protection Officers.

A nomenclatura vem da GDPR (General Data Protection Regulation), legislação europeia, em vigor desde 2018. Por aqui, ele será conhecido como encarregado. De acordo com a lei brasileira, toda empresa terá de contar com esse profissional, independentemente de seu porte ou segmento de atuação. Mas, afinal, o que ele faz e o que é necessário para se tornar um?

É chamado de Data Protection Officer o profissional responsável por cuidar das questões relacionadas à proteção de dados de uma organização e de seus clientes. Ele é a figura central do relacionamento entre titulares de dados e empresas e entre as empresas e a ANPD (Agência Nacional de Proteção de Dados Pessoais), de responsabilidade do governo federal, que ainda precisa ser devidamente estruturada para fiscalizar o cumprimento da lei.

Na prática, seu trabalho consiste em estruturar um programa de segurança da informação em conformidade com a legislação, que estabelece diretrizes para tratamento de dados. Atualmente, esse cuidado com a proteção do titular se torna ainda mais importante, com o aumento da presença digital de marcas e consumidores. Estima-se que a pandemia tenha acelerado em seis anos a transformação digital – portanto, uma quantidade crescente de dados estará disponível no ambiente virtual e precisa ser devidamente protegida.

Será um cargo de confiança que exigirá do profissional uma bagagem de conhecimento multidisciplinar, com destaque para as áreas de Direito e Tecnologia da Informação e, essencialmente, dos processos da empresa em que irá atuar. A lei brasileira não determina uma formação ideal ou certificado necessário para realização da atividade, mas o próprio exercício do trabalho irá exigir conhecimento profundo nas leis, para compreender a responsabilidade da empresa, e de proteção de dados, ainda que uma equipe de TI possa e deva auxiliá-lo com demandas mais técnicas.

Conhecer profundamente a empresa é fundamental porque ele será o porta-voz, o elo de comunicação com o titular. Assim, deverá transmitir transparência e a cultura da organização por meio desse relacionamento. Deve-se entender que a LGPD é uma oportunidade de estreitar o relacionamento com o consumidor, reforçando os valores de marca e criando confiança mútua – afinal, ter controle sobre seus dados é um direito de todos.

Pode-se imaginar, então, que o DPO possa ser uma figura sênior da empresa, que conheça todos os procedimentos internos e carregue em si essa cultura. Mas é importante ter em mente que este profissional deve atuar somente nessa função. Então, cabe o questionamento para as empresas: vale a pena realocar aquele profissional experiente em sua área para algo totalmente novo? Se entender que não, há opções interessantes no mercado, como a contratação de um serviço externo, como o de um escritório de advocacia. Tudo dependerá do planejamento da empresa.

Ainda há muito a ser feito. Um levantamento feito pela ABES (Associação Brasileira das Empresas de Software), junto à consultoria EY, apontou que 60% das companhias brasileiras ainda não estão prontas para a LGPD. Portanto, é preciso ter confiança no trabalho desse profissional. No caso de um vazamento de dados, por exemplo, ele será responsável juridicamente por provar que a empresa seguia os procedimentos estabelecidos pela lei, mas foi vítima de uma ação externa.

Enquanto a legislação brasileira não especifica a formação necessária para se tornar um DPO, a dica é procurar por cursos e certificados internacionais. Eles, geralmente, se constituem em três etapas de aprendizado: regulamentação jurídica, fundamentos da segurança da informação e de prática de segurança da informação. Isso dará segurança e conhecimento para o profissional executar melhor seu trabalho e fortalecer a empresa diante da vigência da lei. Não basta estar atento às oportunidades, mas é preciso estar preparado para quando elas baterem à porta.

Gabriela de Ávila Machado é advogada, DPO (Data Protection Officer) certificada e líder da área societária do Marcos Martins Advogados.

Sobre o Marcos Martins Advogados:

Fundado em 1983, o escritório Marcos Martins Advogados é altamente conceituado nas áreas de Direito Societário, Tributário, Trabalhista e Empresarial. Pautado em valores como o comprometimento, ética, integridade, transparência, responsabilidade e constante especialização e aperfeiçoamento de seus profissionais, o escritório se posiciona como um verdadeiro parceiro de seus clientes.