LGPD: 30% dos DPOs atuam no modelo ‘as a Service’

Pesquisa da Associação Nacional dos Profissionais de Privacidade de Dados (ANPPD) aponta que quase um terço dos profissionais de TI atuam como DPO as a Service
Por Tissiane Vicentin, editado por André Lucena 26/03/2021 21h19, atualizada em 27/03/2021 00h18
Imagem ilustra o profissional responsável pela segurança e privacidade de dados de uma empresa, o DPO
Crédito: Shutterstock
Compartilhe esta matéria
Ícone Whatsapp Ícone Whatsapp Ícone X (Tweeter) Ícone Facebook Ícone Linkedin Ícone Telegram Ícone Email

Atualmente, quase um terço (28,4%) dos profissionais que atuam como DPO nas empresas seguem o modelo “as a Service”. É o que aponta uma pesquisa realizada pela Associação Nacional dos Profissionais de Privacidade de Dados (ANPPD) com 9 mil colaboradores que atuam na área.

O Panorama da Conscientização Nacional sobre LGPD, divulgado nesta sexta-feira (26) durante congresso organizado pela associação, mostra que, dos que já atuam no modelo “como serviço”, 24,8% trabalham para controladores; enquanto 3,6% trabalham para operadores.

Segundo a Lei Geral de Proteção de Dados no país, as empresas são obrigadas a estabelecerem um Data Protection Officer (DPO), um profissional encarregado pelo tratamento de dados pessoais e cuja função é atuar como canal de comunicação entre a empresa, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).

Símbolo da LGPD estampado no botão enter, de um teclado
A adequação à LGPD ainda é um desafio para a maior parte das empresas.
Crédito: Shutterstock

O titular dos dados, no caso, são as pessoas donas das informações.

Além disso, as empresas também precisam estabelecer outros dois profissionais para garantir a privacidade e assegurar que o tratamento dado às informações: o controlador e o operador.

Compete ao primeiro as decisões referentes ao tratamento de dados pessoais; e ao segundo, resta realizar o tratamento de dados pessoais em nome do controlador. 

O levantamento aponta para uma questão que há algum tempo permeia a LGPD: ainda faltam profissionais especializados no assunto. Segundo ressaltou Luiz Lima, diretor do comitê cientifico da ANPPD, 31,4% das empresas brasileiras ainda não possuem um DPO.

Até por isso, faz sentido ter um número tão grande de pessoas que atuam como DPO terceirizado e, ainda, a serviço de mais de um controlador ou operador. Eles seriam a forma encontrada pelo mercado para suprir essa demanda latente e garantir o cumprimento à lei.

Ainda de acordo com a pesquisa da ANPPD, as empresas estão nomeando como DPOs funcionários de áreas diversas, mas especialmente da TI (30,6%). No ranking aparecem também profissionais de governança, risco e compliance (23%), e jurídico (18,3%).

Cuidados com a terceirização

Sempre quando há o termo “terceirizar”, é preciso considerar algumas variáveis para mitigar riscos – especialmente em se tratando de um assunto tão sensível quanto proteção e privacidade de dados.

O DPO não necessariamente precisa ser alguém da TI ou de alguma outra área, mas são pré-requisitos que essa pessoa tenha conhecimento técnico aprofundado com relação à legislação, bem como entendimento sobre o negócio em questão.

Leia também:

Ao passo que pode ser uma solução paliativa contratar um terceiro para ser o DPO, os advogados especialistas em direito digital, Paulo Vidigal e Luis Fernando Prado, levantam como uma questão importante a ser analisada quando a empresa opta pelo modelo “as a Service”:

“O arranjo escolhido para a nomeação do DPO, seja esse qual for – se profissional interno da companhia ou terceiro contratado -, normalmente colocará a empresa frente a um trade-off (conhecimento técnico da lei versus entendimento do negócio), que imporá alguma forma de transmissão de conhecimento para a figura escolhida”, explicam eles, em artigo produzido para a revista Consultor Jurídico (ConJur).

Assim, continuam os especialistas, o entendimento do negócio pode ser um elemento mais complicado de ser repassado ao terceirizado para que ele possa exercer a função de forma adequada.

“Ainda que se tente energicamente, o resultado final nem sempre será plenamente satisfatório se tomarmos como referência o nível de conhecimento sobre as práticas da empresa que um colaborador interno poderia ter”, ressaltam no texto.

Apesar disso, eles sinalizam que o DPO terceirizado pode ser uma solução, especialmente para empresas de pequeno porte, ou ainda para companhias em que o tema privacidade “não é encarado como estratégico”, observam.

Via: Convergência Digital, Conjur,

Redator(a)

Tissiane Vicentin é redator(a) no Olhar Digital

André Lucena
Ex-editor(a)

Pai de três filhos, André Lucena é o Editor-Chefe do Olhar Digital. Formado em Jornalismo e Pós-Graduado em Jornalismo Esportivo e Negócios do Esporte, ele adora jogar futebol nas horas vagas.