DPO, uma função fundamental na proteção de dados pessoais
Quem é o DPO? Por trás do acrônimo Data Protection Officer (Diretor de Proteção de Dados) está uma pessoa com uma função central na proteção de dados. Como garantidor da conformidade com o Regulamento Geral de Proteção de Dados ( GDPR ), ele ou ela é responsável por assegurar que o regulamento seja aplicado adequadamente.
Responsável pela proteção de dados pessoais e pelo monitoramento de TI em sua organização, o DPO é um trabalho multifacetado. Quais são as responsabilidades desse perfil 2.0, com habilidades jurídicas e de TI?
Para saber mais, descubra como ele é definido, qual é a sua função, como ele desempenha suas funções e qual é o treinamento disponível para se tornar esse "campeão dos dados"!
O DPO: definição
O que são DPOs?
Os DPOs (Data Protection Officers) ou DPDs (Délégués à la protection des données) são pessoas nomeadas dentro de uma empresa ou órgão público para garantir a conformidade dos dados que detém.O supercontrolador é um órgão público para garantir que o processamento de dados pessoais esteja em conformidade com o Regulamento Europeu de Proteção de Dados, em vigor desde maio de 2018.
A nomeação desse "supercontrolador" do processamento de dados é uma das principais medidas incluídas no Regulamento, destinada a organizações cujas atividades afetam a proteção de dados pessoais.
O DPO é o sucessor do Correspondant Informatiques et Libertés (CIL), cujo mandato foi ampliado (especialmente em termos de avaliação de risco). Como ponto de contato da CNIL, o DPO está envolvido em todas as questões relacionadas à proteção de dados pessoais e tem a função de facilitar a conformidade das atividades da organização nessa área.
Quem pode ser o DPO?
Dependendo das atividades e da organização interna da organização, o DPO pode ser :
- um membro da organização que está assessorando (por exemplo, um funcionário da empresa);
- uma pessoa nomeada em nome de várias organizações: seu cargo é agrupado para diferentes estruturas;
- um consultor externo ou especialista jurídico.
ℹ️ O uso de um desses prestadores de serviços é uma alternativa interessante, mas não é essencial se o cargo puder ser preenchido internamente por um funcionário com as qualificações necessárias.
Tudo depende do tamanho e da organização de sua empresa, da carga de trabalho dos recursos envolvidos ou da decisão de recrutar a pessoa competente diretamente.
Em todos os casos, o DPO deve receber os recursos necessários para desempenhar suas funções de forma adequada e independente.
O DPO: obrigatório ou não?
A nomeação de um encarregado da proteção de dados pelo controlador e seus processadores é obrigatória sob certas condições, especificadas no artigo 37 do Regulamento, quando :
- o processamento for realizado por uma autoridade ou órgão público;
- as atividades da organização envolvem o monitoramento regular e sistemático de indivíduos em grande escala;
- as atividades da organização envolvem o processamento em larga escala de dados confidenciais (como dados relacionados à saúde, religião, vida política ou filiação sindical de uma pessoa, por exemplo).
A empresa ou organização deve nomear o responsável pela proteção de dados, mas isso não precisa ser feito necessariamente por escrito. Por outro lado, a autoridade supervisora deve ser informada e ter acesso fácil aos detalhes de contato da pessoa indicada.
Caso o controlador de dados atenda a todos os critérios de nomeação obrigatória, o processador não é obrigado a nomear um DPO, e vice-versa.
Qual é a função do DPO?
O DPO é a pessoa de referência para a proteção de dados: ele ou ela garante que as atividades da organização estejam em conformidade com o RGPD e recebe todas as solicitações relacionadas direta ou indiretamente à proteção de dados.
Suas principais funções na empresa ou organização para a qual foi nomeado são as seguintes:
- Transmitir todas as informações sobre o processamento de dados pessoais a todas as equipes;
- verificar a conformidade com os regulamentos europeus e a lei francesa de proteção de dados;
- Assessorar a organização em sua avaliação de impacto sobre a proteção de dados (DPIA) e monitorar sua implementação;
- atuar como ponto de contato para todos os titulares de dados (funcionários, clientes, parceiros, etc.) em caso de dúvidas;
- cooperar com uma autoridade de supervisão nacional, como a CNIL.
O DPO na vida cotidiana
Suas funções podem ser encontradas :
- na descrição do cargo de DPO ou na carta padrão de atribuição disponibilizada às empresas no site da AFCDP (Associação Francesa de Dados Pessoais),
- nas diretrizes publicadas pelo G29, o grupo de autoridades de supervisão da Europa.
Tarefas típicas
O DPO desempenha funções multifuncionais dentro da empresa, combinando comunicação, diplomacia e gerenciamento de projetos. Suas atividades giram em torno de três tarefas principais:
✔︎ Informação e comunicação
- comunicar internamente sobre sua função e status;
- monitorar tópicos relacionados a dados pessoais (legais, técnicos, setoriais, etc.) e segurança de sistemas de informação;
- aumentar a conscientização entre os controladores de dados, a gerência e os funcionários;
- realizar cursos de treinamento, dependendo dos departamentos envolvidos;
- elaboração de documentação.
✔︎ Mapeamento de processos
- Mapeamento das operações de processamento;
- Avaliação de riscos;
- criação do registro;
- organização de procedimentos internos.
✔︎ Conformidade
- coordenar a conformidade das operações de processamento existentes;
- monitorar a implementação ou gerenciar todas as ações envolvidas na avaliação do grau de conformidade do processamento de dados pessoais;
- realização de auditorias para identificar quaisquer casos de não conformidade;
- verificar a conformidade com a estrutura legal e a aplicação das melhores práticas em termos de proteção de dados pessoais;
- alertar sobre os riscos de violações de dados.
☝️ Deve-se observar que os DPOs geralmente desempenham suas funções em tempo parcial (apenas 54,8% trabalham em tempo integral, meio período ou mais).
Caixa de ferramentas do DPO
Recursos e documentação on-line:
- O Regulamento Geral de Proteção de Dados,
- Folhas de informações práticas da CNIL,
- Tudo o que você precisa saber sobre a AIPD.
Software para ajudar o DPO em suas tarefas:
- Adequação,
- DPO.run,
- RGPD Manager.
Como se tornar um Data Protection Officer?
DPO: treinamento
Essa função corporativa fundamental, por mais recente que seja, pode ser considerada um trabalho por si só , como acreditam 89% dos DPOs.
Os DPOs podem vir de uma variedade de formações técnicas, jurídicas e de gerenciamento de riscos. Eles são principalmente especialistas em TI (34,9%) ou especialistas jurídicos (31,1%), com diversidade entre os outros perfis (34%) (de acordo com um estudo da AFPA para o Ministério do Trabalho da França).
Para poderem desempenhar suas funções, os DPOs devem ter conhecimento especializado da lei de proteção de dados pessoais, bem como uma sólida base em TI.
Não é preciso dizer que o DPO precisa ter um conhecimento profundo da organização em que trabalha e de seus procedimentos internos, em relação aos vários departamentos envolvidos: marketing, RH, produto, jurídico, comercial etc.
Os aspirantes a DPO podem participar de uma série de cursos de treinamento, incluindo :
- um mestrado especializado, como o oferecido pelo ISEP Management and Protection of Personal Data, o primeiro curso de treinamento de longa duração de DPO na Europa,
- certificação com base nos padrões da CNIL,
- treinamento reconhecido em Processamento de Dados e Liberdades Civis ou RGPD,
- treinamento específico do setor ou da indústria.
O site da AFCPD fornece uma lista mais exaustiva de cursos de diploma que levam a essa profissão. Deve-se observar que o Ministério do Trabalho ainda está trabalhando para profissionalizar essa função.
DPO: salário
Como essa ainda é uma profissão nova, os níveis salariais são relativamente variáveis. De acordo com a AFCDP, o salário mensal bruto está entre €2.500 e €4.000. Isso obviamente varia de acordo com o tamanho da empresa, as responsabilidades confiadas a ele e o grau de risco envolvido.
A serviço da sua segurança cibernética
Embora algumas empresas sejam obrigadas a nomear um Encarregado de Proteção de Dados, também é possível fazê-lo voluntariamente, mesmo que os critérios para a nomeação obrigatória não sejam atendidos. Há muitos benefícios em fazer isso:
- Você garante a segurança jurídica de suas atividades e reduz o risco de disputas contratuais, legais ou administrativas.
- Você reforça a segurança de TI e toma melhores decisões estratégicas, ao mesmo tempo em que consolida seus procedimentos internos de proteção de dados.
- Você pode assegurar a seus clientes, parceiros, fornecedores e outras partes interessadas que está lidando com os dados de forma responsável.
Lembre-se de que o DPO é, antes de mais nada, um coordenador interno e um intermediário externo com a autoridade supervisora e os titulares dos dados, e não é responsável pela conformidade com o RGPD no lugar e no lugar do controlador ou processador. Seu papel é essencialmente estratégico.
Você já escolheu seu responsável pela proteção de dados?