Teremos um Data Protection Officer independente?

Com a entrada em vigor da LGPD, as organizações empresariais estão diante de inúmeros desafios para atender ao que determinam as novas regras de proteção de dados pessoais. Além da adequação de seus processos de manuseio dos dados, as empresas passam a ter outra preocupação que se impõe, justamente porque a Lei exige que seja estabelecido um “responsável” pela aplicação e cumprimento da nova lei: o DPO, o Data Protection Officer, ou em português: encarregado de dados.

Tudo o que ouvimos sobre o DPO até o momento estava muito mais relacionado a como as empresas irão tratar do assunto e muito pouco sobre uma aspecto importante para o exercício de suas responsabilidades: que nível de independência terá este profissional no organograma da companhia e da área de TI que cuida da infraestrutura de aplicações pelas quais os dados transitarão.

Vemos a independência do DPO como fator vital para que ele possa desempenhar suas atribuições e possa cobrar dos seus superiores hierárquicos as devidas ações necessárias para que políticas de segurança de dados e de aplicações possam ser efetivas. Imagine o DPO em uma determinada demanda financeira ter que se submeter ao CFO, que pode justificar limitações orçamentárias para a não aquisição de um plano abrangente de defesa dos dados, ou tentar liberar ao DPO uma parte não suficiente de recursos.

Sabemos que investimentos em segurança da informação é uma antiga reivindicação dos departamentos de TI, mas que podem levar anos para que as compras sejam aprovadas, mesmo sendo explicado, é claro, que tais soluções atendem aos interesses dos negócios e da companhia. Não é raro que estes argumentos ainda não sejam suficientes para convencer certos gestores das finanças, ainda presos a números financeiros.

E como fica o DPO estando amarrado pelas limitações orçamentárias e políticas rígidas de contenção de gastos? Leia-se “gastos”, porque para muitos a palavra “investimento” se confunde com “despesa”.

DPO, sua origem seu futuro

O cargo de DPO tem origem na GDPR, a legislação europeia de proteção de dados, e a obrigatoriedade da sua existência nas empresas brasileiras está prevista no artigo 41 da LGPD, dispondo que “O controlador deverá indicar um encarregado pelo tratamento de dados pessoais”.

Mas a nova lei não dá detalhes sobre quem, como e onde este encarregado deverá executar suas atividades. Espera-se que Agência Nacional de Proteção de Dados (ANPD) venha complementar e a regular a sua atividade, assim como venha tratar de outras lacunas que possam ser apontadas na legislação.

Esperamos que a sua regulamentação possa vir no caminho de apontar para a independência do DPO, uma vez que ele – e somente ele – responderá pelos primeiros impactos negativos do não atendimento por parte da empresa onde – ou para a qual – trabalha vem a incorrer. No entanto, é comum observar que o DPO está subordinado a algum “board”, como revelou uma o último relatório IAPP-EY Annual Governance Report 2019 oferecido pela IAPP (International Association of Privacy Professionals) em conjunto com a EY, onde verificou -se que em 18% dos casos o DPO se reporta ao líder (head) de compliance da organização. Ou seja, questiono aqui se a sua independência não está mesmo comprometida.

Não é necessário – ou mandatório – que o encarregado de dados trabalhe dentro ou fora da empresa – aliás, como percebemos com a pandemia da Covid-19, o DPO pode trabalhar de qualquer lugar, remotamente ou não, de qualquer lugar. O que vai importar é a sua capacidade de atuar diante das demandas de segurança e proteção de dados que a lei impõe. Para isso, ele terá que ter todo o ferramental para colocar em prática as políticas de segurança na empresa e, com isso, fazer valer a Lei. Só não pode estar de mãos amarradas na hierarquia das organizações culturalmente acostumadas a dar ordens de cima para baixo.

*Dyogo Junqueira é VP de Vendas e Marketing da ACSoftware, parceira ManageEngine no Brasil