Blog

privacidade

Como se tornar um DPO (Data Protection Officer) - O que preciso saber?

Em agosto de 2020, entra em vigor a lei nº 13.709, também conhecida com LGPD (Lei Geral de Proteção de Dados). Com isso, o Brasil passa a fazer parte dos 120 países que contam com uma regulamentação específica para proteção de dados pessoais.

A LGDP teve como influência o  GDPR (General Data Protection Regulation), que entrou em vigor em 25 de maio de 2018 e regulamenta esta questão para os países da Área Econômica Europeia (AEE). O GDPR é a legislação mais relevante sobre privacidade de dados e passou a servir de base para muitos outros países criarem as suas leis relacionadas a este tema.

A LGPD estabelece regras claras sobre coleta, armazenamento, tratamento e compartilhamento de dados pessoais, impondo um padrão mais elevado de proteção e penalidades significativas para o não cumprimento dos seus requisitos. As multas previstas para o descumprimento variam de 2% do faturamento bruto a R$ 50 milhões (por infração).

A LGPD impacta praticamente todas as empresas no Brasil, pois de uma forma ou de outra todas elas lidam com dados pessoais de clientes. Além disso, também considera como dados pessoais informações relacionadas aos funcionários que são processadas pelos departamentos de RH.

Engana-se quem pensa que a LGPD é uma preocupação apenas de grandes empresas. As pequenas também correm sérios riscos. Enquanto as organizações maiores terão recursos para lidar com enormes multas e ações judiciais, as pequenas empresas podem ser simplesmente eliminadas do mercado por conta da natureza da violação e/ou pelos custos imediatos para lidar com ela.

 

O papel do DPO

Para ajudar as empresas no trabalho de adequação às leis de privacidade, surge um novo papel: DPO (Data Protection Officer). Na LGPD, esse papel foi chamado de Encarregado de Proteção de Dados (EPD).

O GDPR exige que as empresas nomeiem um DPO em determinadas situações, por exemplo, quando a organização processar ou armazenar grandes quantidades de dados pessoais pertencentes a cidadãos europeus.  No Brasil, ainda não foram definidas as hipóteses para dispensa de um DPO. Então, em princípio, vamos considerar que todas as empresas que lidam com dados pessoais vão precisar nomear um.

O DPO é uma pessoa que estará envolvida em todas as questões relacionadas à proteção de dados pessoais e cujas principais funções envolvem:

  • Informar e aconselhar o controlador ou o processador e os seus funcionários sobre as suas obrigações em relação ao GDPR/LGPD; 
  • Monitorar a conformidade com o GDPR/LGPD. Isso inclui supervisionar documentação, processos e registros;
  • Fornecer aconselhamento, quando solicitado, no que diz respeito à Avaliação de Impacto sobre a Proteção de Dados (AIPD);
  • Atuar como um ponto de contato para solicitações de indivíduos com relação ao processamento de seus dados pessoais e ao exercício de seus direitos;
  • Cooperar com as autoridades de proteção de dados (APDs) e atuar como um ponto de contato com as APDs em questões relativas ao processamento de dados pessoais na organização.

 

Qualificações do DPO

Um DPO precisa ter conhecimento especializado de leis e práticas de proteção de dados. No entanto, isso não significa que ele deve ser um advogado. Este profissional também deve ter uma compreensão do funcionamento interno de sua infraestrutura de TI, dos sistemas de gerenciamento de informações, além de processos de negócio que manuseiem dados pessoais. Excelentes habilidades de gestão e comunicação também devem ser uma necessidade para lidar com a equipe interna, incluindo a alta administração.

Contratar um DPO qualificado é um desafio, especialmente para empresas de pequeno e médio porte. O candidato certo deve ter experiência em nível gerencial em segurança cibernética, TI e/ou governança, risco e conformidade. Se a pessoa contratada tiver um bom conhecimento sobre segurança da informação, mas não possuir conhecimento razoável sobre leis e práticas de proteção de dados, ela poderá buscar algumas certificações que podem preencher essa lacuna.

Pela falta de profissionais qualificados internamente, organizações de pequeno e médio porte tendem a terceirizar o trabalho do DPO a partir de empresas de consultoria ou escritórios de advocacia especializados em proteção de dados.

 

Como se qualificar como DPO?

Para atender a grande demanda DPOs por parte das empresas tanto na Europa como no Brasil, vários institutos de certificação passaram a oferecer um programa de qualificação profissional direcionado a esse novo papel. No Brasil, um instituto que tem ganhado destaque é o EXIN, que já atua no mercado de certificação profissional há mais de 40 anos.

O programa de qualificação mantido atualmente pelo EXIN é composto por três exames que reúnem os conhecimentos mínimos para um profissional atuar como DPO em qualquer país. Eles são:

  • Information Security Foundation (ISFS) based on ISO 27001;
  • Privacy & Data Protection Foundation (PDPF);
  • Privacy & Data Protection Practitioner (PDPP).

Ao passar nos três exames acima, o profissional receberá do EXIN um certificado integrador com o título de DPO e com reconhecimento internacional.

Todos os exames estão disponíveis em português e podem ser realizados remotamente, em casa ou no local de trabalho, através do sistema EXIN AnyWhere. Para quem prefere realizá-los presencialmente, isso é possível nos centros da Pearson Vue, com exceção do exame PDPP, que está disponível apenas pelo AnyWhere.

O EXIN oferece ainda um exame nível Essentials com base na LGPD, mas ele não serve como pré-requisito para receber o título de DPO.  A certificação Privacy & Data Protection Essentials é voltada para o público em geral que precisa obter conhecimento básico sobre privacidade e principais requisitos da nossa LGPD.

A seguir serão detalhados os três exames da trilha de formação de DPOs. 

 

Information Security Foundation (ISFS) based on ISO 27001

Este é um exame composto por 40 questões de múltipla escolha que avaliam conhecimentos básicos de segurança da informação a partir das melhores práticas da ISO/IEC 27001 e 27002. Para ser aprovado, é necessário acertar no mínimo 26 questões.

Inicialmente, o título deste exame trazia como referência “based on ISO/IEC 27002”. Em 2017, o EXIN decidiu mudar esta referência para “based on ISO/IEC 27001” por conta da popularidade da norma ISO/IEC 27001. Porém o currículo deste exame continua sendo o mesmo. Se você já é certificado ISFS com o título antigo, considere que seu certificado continua sendo válido.

Oferecemos um curso preparatório para este exame em formato e-learning. 

Clique aqui para acessar este curso

 

Privacy & Data Protection Foundation (PDPF)

Este é um exame composto por 40 questões de múltipla escolha que avaliam conceitos básicos sobre privacidade, proteção de dados e requisitos legais, conforme definidos no GDPR. Para ser aprovado, é necessário acertar no mínimo 26 questões.

É preciso considerar que o EXIN desenvolveu um programa de qualificação para DPOs com reconhecimento internacional e por esse motivo este exame está disponível somente com base no GDPR.  Considere ainda que a LGPD é uma versão “light” do GDPR. Logo, compreendendo os requisitos do GDPR, será fácil compreender também os requisitos da LGPD. Inclusive, durante o nosso curso preparatório, o instrutor destacará as diferenças entre os dois regulamentos para que a nossa formação prepare também o profissional para atuação no Brasil.

Oferecemos esse curso regularmente ao vivo com opção de rever a gravação por 12 meses.

Consulte aqui a data da próxima turma.

 

Privacy & Data Protection Professional (PDPP)

Este é um exame de nível avançado, composto por 40 questões de múltipla escolha. Para ser aprovado, é necessário acertar no mínimo 26 questões. Neste nível, o candidato precisará ter uma compreensão mais elaborada sobre um roteiro de implementação de um programa de privacidade & proteção de dados,  saber redigir uma política de privacidade, entender como realizar uma análise de impacto sobre proteção de dados, compreender com detalhes as responsabilidades do controlador, do processador e do DPO, além de estar preparado para lidar com a violação de dados pessoais.

Oferecemos esse curso regularmente ao vivo com opção de rever a gravação por 12 meses.

Consulte aqui a data da próxima turma.

 

Nesta página do EXIN, você obterá um detalhamento do programa de qualificação para DPOs.

 

Assista a um webinário gravado pelo instrutor dos cursos de PDPF e PDPP