Com a vigência do Regulamento Geral Sobre Proteção de Dados (GDPR) na Europa, surgiu uma nova oportunidade profissional no mercado de segurança da informação, já que a lei exige a atuação de um profissional nomeado como DPO.
De acordo com a legislação, toda a empresa que armazena ou processa uma grande quantidade de dados pessoais, sejam elas de seus próprios funcionários ou de usuários fora da organização, deve ter um DPO.
- O que é DPO?
- O que é GDPR e LGPD?
- Quais são as funções e responsabilidades do DPO?
- Quanto ganha um DPO?
- Por que o Data Protection Officer é importante?
- Quem pode ser um DPO?
- Como ser um Data Protection Officer?
O que é DPO?
O DPO é o profissional responsável pela comunicação com as autoridades nacionais de proteção de dados e titulares desses dados pessoais, verificando sua conformidade com a legislação vigente.
O significado de DPO é Data Protection Officer, que, em uma tradução livre, pode ser entendido como “Oficial de Proteção de Dados“.
Além disso, cabe ao DPO auxiliar a organização a adaptar os seus processos para enquadra-se a legislação, visando, sobretudo, maior segurança dos dados pessoais que estão sob a sua tutela.
Esse profissional deve estar envolvido em todas as questões referentes à proteção de dados, e poderá ser um consultor contratado, terceiro ou colaborador da própria empresa, desde que tenha preparo adequado para tal cargo.
Portanto, dentro da organização, o DPO é o profissional que deve ter mais domínio sobre as leis de privacidade e proteção de dados.
O GDPR institui a obrigatoriedade da nomeação de um DPO em uma organização em três hipóteses:
- quando o tratamento de dados é feito por uma autoridade ou organismo público (com exceção daqueles que exercem atividade jurisdicional);
- quando a instituição está envolvida em monitoramento sistemático (e em larga escala) de dados pessoais de usuários;
- se a entidade processa ou controla dados pessoais sensíveis ou relativos a condenações ou delitos criminais.
A obrigatoriedade da presença de um DPO nas organizações que processam dados, no entanto, não consta unicamente na legislação europeia, como mencionamos anteriormente.
A lei brasileira de proteção e privacidade de dados pessoais, a LGPD, também institui a atuação dessa figura. Mas vamos entender um pouco mais sobre isso no próximo tópico.
O que é GDPR e LGPD?
Para entender completamente o conceito de DPO é preciso, primeiro, estar ciente das legislações que deram origem à profissão: a GDPR e a LGPD.
Você sabe em qual cenário está inserido esse profissional e as leis que determinam sua atuação nas organizações?
Hoje vemos uma expansão constante do mundo virtual, gerando dados pessoais em massa sobre os usuários que fazem parte desse meio.
Por sua vez, as empresas passaram a usar esses dados pessoais para diversos fins, como entender melhor o perfil dos seus clientes e também em benefício próprio.
Dessa forma, os dados pessoais tornaram-se ativos de extrema importância para essas organizações, sendo usados até mesmo como moeda de troca entre elas.
Com isso, a maneira como as empresas processam e usam esses dados pessoais, bem como os frequentes casos de vazamentos, tornaram a falta de segurança de dados uma inquietação global.
Criação da GDPR na União Europeia
Nesse contexto surge a General Data Protection Regulation (GDPR), legislação idealizada pela União Europeia em 2012 e aprovada em 2016.
Embora o bloco econômico já contasse com leis de proteção de dados desde 1995, devido ao cenário tecnológico atual essas tornaram-se obsoletas.
Em suma, a GDPR trouxe novas regras para empresas que coletam, processam, compartilham e guardam dados pessoais. Do mesmo modo, também garante direitos aos titulares desses dados, oferecendo maior proteção.
Portanto, uma das novas regras instituídas pela GDPR é a nomeação do Data Protection Officer, que ficará a cargo de diversas questões que envolvem a proteção de dados pessoais.
Criação da LGPD no Brasil
No mesmo ano em que a GDPR entrou em vigor na Europa, em 2018, o Brasil foi um dos países que também passou a movimentar-se para se adaptar ao novo cenário, criando a LGPD (Lei Geral de Proteção de Dados).
A lei é a primeira a tratar do assunto de forma efetiva no país, uma vez que as legislações que tratavam o tema anteriormente, como o Código Civil e o Código de Defesa do Consumidor, eram rasas e pouco específicas.
Além disso, a criação da Lei Geral de Proteção de Dados no país foi necessária por dois motivos principais.
Em primeiro lugar, a própria GDPR determina que toda e qualquer organização que realiza o tratamento de dados pessoais de cidadãos europeus deve se sujeitar à lei europeia.
Com isso, a adequação à legislação também tornou-se preocupação de algumas empresas brasileiras que, por sua vez, encontraram pouca ou nenhuma orientação do próprio país sobre o procedimento.
Em segundo lugar, a GDPR também determina que os dados pessoais europeus poderão ser transferidos apenas para países com legislação semelhante.
Portanto, conclui-se que a ausência de uma lei de privacidade e proteção de dados pessoais brasileira poderia acarretar prejuízos ao país.
Por fim, a criação da LGPD no Brasil também trata-se de um movimento natural que já ocorre em diversos países ao redor do mundo, uma vez que um cenário cada vez mais digital se estabelece e os pressiona.
A criação da LGPD, por sua vez, teve inspiração direta da lei europeia, o que significa que seus dispositivos se assemelham muito à GDPR. Um ponto convergente, e tema desse artigo, como já mencionamos antes, é a nomeação do DPO.
O que diz a LGPD sobre o DPO?
Na lei brasileira o Data Protection Officer é definido pelo termo “encarregado“, tendo, contudo, as mesmas designações propostas para o DPO na GDPR.
Com isso, a Lei Nº 13.709/2018 – LGPD, define o encarregado como:
“Pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados“.
É importante destacar que o encarregado não é considerado um agente de tratamento, sendo neste caso apenas o Controlador e o Operador.
O encarregado deverá atuar dentro dos agentes de tratamento, auxiliando os mesmos em todo o processo de tratamento de dados pessoais.
Outra determinação da LGPD quanto ao encarregado é de que suas informações de contato deverão ser divulgadas publicamente, de forma clara, preferencialmente no sítio eletrônico do controlador.
Além disso, a LGPD determina algumas funções que serão realizadas pelo encarregado, ou o DPO, mas trataremos desse tema no tópico seguinte.
Quais são as funções e responsabilidades do DPO?
Agora que você já sabe o que é o DPO e em qual contexto esse profissional está inserido, vamos falar um pouco sobre suas funções e responsabilidades dentro de uma organização.
Tanto a GDPR como a LGPD descrevem quais são as principais atribuições do DPO, ou encarregado.
De acordo com o artigo 41 da LGPD, temos a seguinte definição de funções para o encarregado:
- “I – aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
- II – receber comunicações da autoridade nacional e adotar providências;
- III – orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
- IV – executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares. “
As funções estabelecidas pela LGPD dizem um pouco a respeito das características esperadas para o DPO, ou encarregado.
Em primeiro lugar, deverá ter eloquência para se comunicar diretamente com os titulares dos dados, passando uma imagem positiva da organização.
Do mesmo modo, deve ter profundo conhecimento da legislação e interpretar corretamente as diretrizes da autoridade nacional, a fim de prestar os devidos esclarecimentos e adotar as providências cabíveis quando preciso.
Além disso, também é esperado um perfil analítico para identificar possíveis discordâncias com a lei e, assim, orientar a organização às práticas corretas de proteção de dados pessoais.
Outras atribuições
Observando a LGPD podemos pontuar algumas atribuições do DPO no exercício da profissão, como:
- supervisionar as estratégias utilizadas na proteção dos dados pessoais, garantindo a conformidade com a legislação vigente;
- garantir que as pessoas envolvidas no processo de análise de dados pessoais dentro da organização tenham conhecimento e treinamento para colocar em prática o que diz a legislação;
- monitoramento dos processos relacionados ao tratamento de dados pessoais, a fim de certificar-se de que estão sendo executados corretamente;
- desempenhar papel proativo no relato de violações à LGPD, dentro do tempo devido;
- estabelecer protocolos de comunicação com a equipe de TI para que se tome ciência de qualquer violação, em termos cibernéticos, que envolva qualquer processo de tratamento de dados pessoais ou base de dados correspondente;
- certificar-se de que quaisquer alterações no processo de tratamento de dados pessoais sejam informadas, de imediato, à cúpula de sua organização;
- registrar o que foi feito em relação ao processamento de dados pessoais dentro da organização;
- ser responsável pelo contato entre a organização e a autoridade nacional, seja para tirar dúvidas ou receber equipes de fiscalização, por exemplo.
Qual o salário de um DPO?
A LGPD trouxe consigo uma alta demanda pelo DPO, trazendo impacto direto no mercado de trabalho.
Isso pode significar a criação de milhares de empregos e novos cargos dentro das organizações que fazem tratamento de dados pessoais no Brasil, número este que já é elevado.
Contudo, ainda não é possível falar de um número exato de novos postos de trabalho no país.
Ainda sim, é possível se ter uma ideia quando comparamos esse processo com o já vivido na Europa. Quando a GDPR entrou em vigor, em 2018, por exemplo, foram criados cerca de 28 mil novos cargos.
Um estudo realizado pela International Association of Privacy Professionals (Associação Internacional de Profissional de Privacidade) prevê a criação de 75 mil novos postos de trabalho em todo o mundo devido a implementação de regras como a europeia.
Essa expectativa também é refletida no salário do DPO. Prova disso é o aparecimento do cargo de DPO em um relatório realizado pela consultoria PageGroup que apresentou uma panorama de 36 profissões em alta para 2020, com salários entre R$ 3 mil e R$ 50 mil.
De acordo com o relatório, o profissional que escolher a carreira de DPO pode ter um salário entre R$ 20 mil e R$ 30 mil. O valor se justifica pelo nível de experiência, bagagem e conhecimento necessário para realizar a função.
A nível de comparação, de acordo com um levantamento feito pela IAPP realizado em 2018, o salário médio praticado na Europa para o cargo de DPO é de aproximadamente €70 mil por ano.
Por que o Data Protection Officer é importante?
No cenário atual, garantir a proteção dos dados pessoais tratados deve ser uma prática levada a sério pela sua organização. Assim, seguir as diretrizes das legislações em vigência, como a LGPD, é o primeiro passo para isso.
Esse fator é importante até mesmo para a imagem da organização, uma vez que grande parte das empresas pelo mundo já têm se adaptado às novas diretrizes de proteção dos dados pessoais.
Dessa maneira, deixar de enquadrar-se às normas pode ser um ponto muito negativo para sua empresa, influenciando na maneira que seus clientes a vêem.
Além disso, adaptar-se às legislações já não é algo opcional, uma vez que tanto a GDPR quanto a LGPD preveem sanções rigorosas para as organizações que descumprirem as normas.
Portanto, quanto antes a sua organização se adaptar às novas normas, melhor será para o seu negócio. Para isso, a presença do DPO, como já vimos, é indispensável.
Quem pode ser um DPO?
Apesar de ser uma função obrigatória para empresas que processam dados, nem a GDPR ou a LGPD detalham qual seria a qualificação ideal para o DPO.
Na verdade, uma vez que essa é uma função relativamente nova e que combina diversas habilidades de diferentes áreas, contratar um profissional certo para o cargo pode ser um tanto quanto difícil.
A GDPR, especificamente, se refere ao profissional exigindo conhecimento especializado de leis e práticas de proteção de dados.
Mas afinal, qual é o profissional ideal para ocupar essa vaga?
Em primeiro lugar, é preciso entender que nenhum profissional que não é devidamente especializado poderá desenvolver as atividade de DPO com precisão, visto a quantidade de conhecimentos e habilidades exigidas para esse cargo.
Algumas das expertises desejadas para um DPO, por exemplo, incluem:
- sólidos conhecimentos de Segurança da Informação, Gestão de Processos, Análise de Riscos, Gestão de Crises e Cyber Security;
- conhecimento da natureza do setor ao qual pertence sua organização (público, privado);
- amplo conhecimento das legislações vigentes;
- conhecimento profundo da sua organização;
- habilidade de comunicação.
Para a vaga de DPO, os principais concorrentes do mercado incluem o profissional de TI, o profissional de segurança da informação e os profissional da área de Direito.
O perfil do DPO deve ser o de um profissional híbrido, pois, de uma forma ou de outra, ele terá de expandir seu conhecimento para uma outra área.
Dessa forma, o profissional ideal para ocupar essa vaga é aquele que está mais preparado, no tocante às habilidades e conhecimentos exigidos, independentemente da sua formação.
Como ser um Data Protection Officer?
Ainda que não exista uma graduação específica com foco na capacitação de profissionais DPO, devido a alta demanda por parte das empresas em busca desse profissional, algumas certificações úteis para o cargo ficaram em evidência.
As certificações mais bem reconhecidas pelo mercado de TI são fornecidas pela EXIN, organização especializada no tema.
Por isso, se você se está se perguntando como se tornar um DPO, realizar os cursos e tirar as certificações EXIN do programa de Privacidade e Proteção de Dados e Segurança da Informação é o melhor caminho.
Isso porque esse é o programa de qualificação mais indicado atualmente para a especialização DPO. O título é concedido pela instituição ao profissional que obtém três certificações fundamentais.
Essas certificações validam o conhecimento do profissional sobre os fundamentos de segurança da informação, conhecimento da GDPR e LGPD e implementação de um Sistema de Gestão de Privacidade de Dados.
Certificações necessárias para se tornar um DPO
As três certificações DPO necessárias para receber o título são:
- Information Security Foundation (ISFS)
- Privacy & Data Protection Foundation (PDPF)
- Privacy & Data Protection Practitioner (PDPP)
Information Security Foundation (ISFS)
A certificação Information Security Foundation, ou apenas ISFS, é baseada na ISO/IEC 27001, uma norma internacional para Gerenciamento de Segurança da Informação.
Trata-se de uma norma amplamente respeitada e consultada que fornece estrutura para a organização e o gerenciamento de um programa de segurança das informações.
Essa certificação tem como objetivo validar os conhecimentos do profissional sobre os seguintes aspectos.
- Informação e segurança: os conceitos, o valor da informação e da importância da confiabilidade;
- Ameaças e riscos: a relação entre as ameaças e confiabilidade;
- Abordagem e organização: a política de segurança e estabelecimento da Segurança da Informação;
- Medidas: física, técnica e organizacional;
- Legislação e regulamentação: a importância e funcionamento.
A certificação ISFS é o ponto de partida para as demais certificações em Segurança da Informação.
Privacy & Data Protection Foundation (PDPF)
A certificação Privacy & Data Protection Foundation, ou PDPF, abrange os principais assuntos relacionados a GDPR e tem sido usado como um guia para diversos países fora da União Europeia em fase de elaboração das suas próprias leis.
A certificação PDPF busca validar o conhecimento do profissional sobre:
- organização da proteção de dados pessoais;
- regras e regulamentos da União Europeia em matéria de proteção de dados.
Privacy & Data Protection Practitioner (PDPP)
Por fim, a certificação Privacy & Data Protection Practitioner, ou PDPP, possui nível avançado e é baseado no mesmo tema abordado pela PDPF.
Contudo, a certificação PDPP tem como foco o desenvolvimento e a implementação de políticas e procedimentos para o cumprimento da legislação. Além disso, visa a aplicação das diretrizes e melhores práticas para privacidade e proteção de dados e, ainda, o estabelecimento de um Sistema de Gestão de Proteção de Dados e Privacidade.
Portanto, essa certificação busca validar os conhecimentos do profissional quanto à legislação de privacidade e proteção de dados europeia e sua relevância internacional, bem como sua capacidade de aplicar esse conhecimento e compreensão a sua prática profissional.
Em posse das três certificações apresentadas, o profissional receberá o título de DPO reconhecido internacionalmente e por todos os países com regulamentação semelhante à GDPR.
Contudo, vale ressaltar que para tirar as certificações é preciso realizar e ser aprovado nos exames preparados pela EXIN.
O sucesso desses exames, muitas vezes, demanda o auxílio de cursos preparatórios que fornecem todo conteúdo programático exigido nas provas, preparando o aluno para realizá-lo com aptidão.
Para estar preparado para a realização desses exames e conquistar o título de DPO, conte com os cursos preparatórios do Certifiquei, elaborados especialmente para te ajudar a alcançar essas certificações e ingressar no mercado de trabalho.