Atualmente, quase um terço (28,4%) dos profissionais que atuam como DPO nas empresas seguem o modelo “as a Service”. É o que aponta uma pesquisa realizada pela Associação Nacional dos Profissionais de Privacidade de Dados (ANPPD) com 9 mil colaboradores que atuam na área.
O Panorama da Conscientização Nacional sobre LGPD, divulgado nesta sexta-feira (26) durante congresso organizado pela associação, mostra que, dos que já atuam no modelo “como serviço”, 24,8% trabalham para controladores; enquanto 3,6% trabalham para operadores.
Segundo a Lei Geral de Proteção de Dados no país, as empresas são obrigadas a estabelecerem um Data Protection Officer (DPO), um profissional encarregado pelo tratamento de dados pessoais e cuja função é atuar como canal de comunicação entre a empresa, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).

Crédito: Shutterstock
O titular dos dados, no caso, são as pessoas donas das informações.
Além disso, as empresas também precisam estabelecer outros dois profissionais para garantir a privacidade e assegurar que o tratamento dado às informações: o controlador e o operador.
Compete ao primeiro as decisões referentes ao tratamento de dados pessoais; e ao segundo, resta realizar o tratamento de dados pessoais em nome do controlador.
O levantamento aponta para uma questão que há algum tempo permeia a LGPD: ainda faltam profissionais especializados no assunto. Segundo ressaltou Luiz Lima, diretor do comitê cientifico da ANPPD, 31,4% das empresas brasileiras ainda não possuem um DPO.
Até por isso, faz sentido ter um número tão grande de pessoas que atuam como DPO terceirizado e, ainda, a serviço de mais de um controlador ou operador. Eles seriam a forma encontrada pelo mercado para suprir essa demanda latente e garantir o cumprimento à lei.
Ainda de acordo com a pesquisa da ANPPD, as empresas estão nomeando como DPOs funcionários de áreas diversas, mas especialmente da TI (30,6%). No ranking aparecem também profissionais de governança, risco e compliance (23%), e jurídico (18,3%).
Cuidados com a terceirização
Sempre quando há o termo “terceirizar”, é preciso considerar algumas variáveis para mitigar riscos – especialmente em se tratando de um assunto tão sensível quanto proteção e privacidade de dados.
O DPO não necessariamente precisa ser alguém da TI ou de alguma outra área, mas são pré-requisitos que essa pessoa tenha conhecimento técnico aprofundado com relação à legislação, bem como entendimento sobre o negócio em questão.
Leia também:
- Pelo menos 85% das empresas ignoram normas da LGPD
- LGPD é amplamente ignorada no Brasil
- LGPD, PIX e Open Banking: quais são os impactos para o setor financeiro?
Ao passo que pode ser uma solução paliativa contratar um terceiro para ser o DPO, os advogados especialistas em direito digital, Paulo Vidigal e Luis Fernando Prado, levantam como uma questão importante a ser analisada quando a empresa opta pelo modelo “as a Service”:
“O arranjo escolhido para a nomeação do DPO, seja esse qual for – se profissional interno da companhia ou terceiro contratado -, normalmente colocará a empresa frente a um trade-off (conhecimento técnico da lei versus entendimento do negócio), que imporá alguma forma de transmissão de conhecimento para a figura escolhida”, explicam eles, em artigo produzido para a revista Consultor Jurídico (ConJur).
Assim, continuam os especialistas, o entendimento do negócio pode ser um elemento mais complicado de ser repassado ao terceirizado para que ele possa exercer a função de forma adequada.
“Ainda que se tente energicamente, o resultado final nem sempre será plenamente satisfatório se tomarmos como referência o nível de conhecimento sobre as práticas da empresa que um colaborador interno poderia ter”, ressaltam no texto.
Apesar disso, eles sinalizam que o DPO terceirizado pode ser uma solução, especialmente para empresas de pequeno porte, ou ainda para companhias em que o tema privacidade “não é encarado como estratégico”, observam.
Via: Convergência Digital, Conjur,