Os desafios para adequação à Lei Geral de Proteção de Dados, que entra em vigor em agosto de 2020 no Brasil, não são exclusivos da gestão de TI, Segurança da Informação ou Jurídico. Áreas de recursos humanos precisam se preocupar muito com a questão, visto que à legislação cria o cargo de Encarregado de Proteção de Dados Pessoais, responsáveis por toda gestão do assunto ou, como mais conhecido, o Data Protection Officer - DPO. Embora a função possa ser ocupada por um prestador de serviços terceirizado, a maioria das empresas tendem a voltar os olhos para dentro de casa em busca do perfil ideal, o que nem sempre é a melhor solução.
Sendo bem honesto, na minha opinião, infelizmente a primeira opção das empresas para escolha deste profissional é o responsável pelo departamento jurídico, afinal de contas, estamos falando de uma lei — e quem melhor que um profissional do Direito para compreender os meandros da legislação brasileira?
Infelizmente, pois o perfil do encarregado de proteção de dados pessoais não se limita ao conhecimento e aplicabilidade da lei, mas do conhecimento de todo um processo de negócio e um "arcabouço" de soluções e serviços tecnológicos que permeiam toda a segurança, e aqui não me refiro somente à segurança de dados pessoais, mas todo processo de segurança da informação e proteção de dados que uma empresa precisa se atentar: desde a gestão de seus usuários (logins, senhas, acessos, arquivos), passando por bases de dados, conexões remotas (aqueles profissionais que muitas vezes utilizando notebooks fora da empresa) e por aí vai.
Estamos vivendo um momento onde, no processo de contratação, exigem que estes profissionais tenham experiência de mercado, ou seja, que estes profissionais já tenham atuado como DPO´s em algum outro lugar (?). Não estou falando de uma ou outra situação de contratação, mas de várias, visto que muitas empresas me contatam para saber o melhor perfil e onde encontrar estes profissionais.
Atualmente existem vários processos de certificação e preparação de DPO´s, o que, mesmo a contra gosto de alguns acadêmicos, é uma forma de "tentar" padronizar o conhecimento e atuação, mesmo baseado fortemente na GDPR (Lei de Proteção de Dados Europeia), mas o que se precisa ter em mente é que, somente após a implantação da Autoridade Nacional de Proteção de Dados pelo governo, e sua consequente regularização e normatização dos mais variados pontos ainda obscuros, o perfil deste profissional sofrerá mudanças, impactando nos processos de escolha destas empresas e em sua formação. Não quer dizer que precisem ficar parados ou suspender seus processos, mas entender que estamos tratando de uma nova profissão, e não um novo cargo, e que estes profissionais ainda estão em formação, e SIM, a escolha depende do quanto a empresa está disposta a INVESTIR neste profissional, pois ele precisará de constante reciclagem.
A lei NÃO obriga que este profissional tenha uma formação e/ou certificação específica, mas um conjunto de conhecimentos e competências em segurança da informação e proteção de dados suficientes para que este execute suas funções, como por exemplo:
Sensibilização e informação de todos que tratem dados pessoais;
Assegurar o comprimento das políticas de privacidade e proteção de dados;
Controlar e regular a conformidade do LGPD;
Recolher informação para identificar atividades de tratamento;
Controlar e acompanhar a produção do RIPD – Relatório de Impacto sobre Proteção de Dados;
Promover as abordagens de Privacidade por Desenho e por Padrão;
Realizar a avaliação na exposição aos riscos de violações de privacidade e mitigados com ações de melhoramento;
Recolher informação para identificar atividades de tratamento;
Manter atualizado os registros das atividades de tratamento de dados;
Controlar o cumprimento das cláusulas de proteção de dados junto aos fornecedores;
Promover formações de boas práticas para a proteção de dados;
Ser o ponto de contato com os titulares de dados de forma a esclarecer questões relacionadas com o tratamento dos dados;
Ser o ponto de contato com as autoridades de controle etc.
Na minha opinião, além do DPO, o ideal é que às empresas pensem na tríade: PROCESSOS + JURÍDICO + SEGURANÇA DA INFORMAÇÃO, pois esta base trará muito mais benefícios, segurança e respaldo ao profissional de proteção de dados, que terá, sem dúvida nenhuma, uma grande importância em toda "vida" dos dados em uma corporação, e segurança para desenvolver suas atividades.