Desconstruindo a função de DPO (ampliado)

A Lei Geral de Proteção de Dados criou um novo acrônimo, DPO de Data Privacy Officer, localmente chamado de Encarregado de Dados. Com a lei em vigor muitas empresas convivem com dúvidas sobre a função. O que são? Onde vivem? O que fazem?

Privacidade e proteção de dados, por definição, é assunto de segurança da informação, mesmo que a LGPD tenha trazido uma forte carga jurídica e a função requeira interação regular com autoridades públicas.

Divido com vocês minhas convicções:

1) É importante definir um ponto focal de privacidade na empresa para atuar como interface entre os líderes da empresa, os cidadãos e as autoridades públicas.

2) É esperado que seja publicamente comunicado o meio de contato com a função de DPO, bem como registra o ponto focal junto a ANPD.  

3) Pequenas e médias empresas ainda estarão sujeitas a condições e requerimentos customizados, potencialmente mais flexíveis e minimizados, pela ANPD, mas que ainda precisam ser definidos e anunciados.

4) O DPO tem a função de orquestrar as relações entre os deveres da empresa, os direitos dos titulares de dados e os questionamentos da autoridade nacional.

5) Entende-se por orquestração, a capacidade de identificar os riscos de conformidade/privacidade; avaliar os impactos no negócio; desenhar proposições de controles mitigatórios; submeter à apreciação e deliberação da liderança empresarial; comunicar as partes interessadas e operacionalizar continuamente o framework de gestão de privacidade com a capacidade tempestiva de identificar riscos, proteger, detectar, responder e recuperar ativos de informação que tratem dados pessoais.

6) Convém que o DPO tenha intimidade com os processos de negócio e tenha trânsito com a liderança e com as áreas para interpretar as relações de causa e efeito entre riscos de privacidade e proposições de mitigação, sendo capaz de aconselhar a liderança.

7) Convém que o DPO se posicione no organograma em área o mais independente possível para não sofrer os efeitos de conflitos de interesse, por exemplo, onde decisões de mitigação ou priorização não impacte seus indicadores pessoais ou departamentais, influenciando portanto, suas decisões e recomendações. Contudo, há uma hiato entre a teoria e a prática e talvez seja preciso ponderar e flexibilizar seu posicionamento considerando o estágio ainda imaturo e de construção da função.

8) O tema é multidisciplicar por envolver aspectos físicos, tecnológicos, humanos, jurídicos e processuais. Por isso, o melhor perfil de um DPO é o de gestor, precisando ser polivalente com uma visão holística nos silos temáticos sem perder de vista os interesses de negócio, seus deveres perante a lei, e os direitos dos cidadãos sem, necessariamente, ter que dominar com profundidade todos os domínios.

9) Pelas razões descritas no item anterior, o DPO não pode trabalhar só. Como gestor possuidor de visão integrada, ele precisará contar com uma equipe multidisciplinar dimensionada para a volumetria e natureza de cada negócio e capaz de cobrir e operacionalizar a atividades relacionadas à cada domínio do conhecimento.

10) A equipe que operacionalizará o escritório de privacidade, liderado pelo DPO, poderá ser montada com recursos de outras áreas da própria empresa como o jurídico, arquitetura, tecnologia e segurança da informação, e mesmo assim, deverá, ao menos nos primeiros anos da LGPD, contar com serviços terceirizados que entregam suporte à operacionalização da privacidade como serviço (DPO Support as a Service).

11) O serviços terceirizados a que me referi, são oferecidos com transparência e entregues por um pool de profissionais invisíveis e sob demanda, com multiplas especializações e capazes de realizar serviços de um catálogo pré-determinado dentro de um prazo de entrega acordado (SLA). Com isso, as empresas conseguem atender demandas de natureza e volumetria ainda desconhecidas, dentro do prazo legal, sem tomar o risco de montar equipes próprias no escuro enquanto a operacionalização do modelo de governança de privacidade de estabiliza.

12) Terceirizar o papel do DPO me parece inadequado, especialmente para empresas que não sejam PMEs. Digo isso por acreditar que ninguém de fora do contexto do negócio será capaz de tomar decisões ou mesmo desenhar proposicões de mitigação de conformidade/privacidade com acurácia por conhecer as particularidades do negócio e suas relações de causa e feito.

13) Algumas empresas insistem na ideia de terceirizar o DPO, não o escritório, mas a função de Encarregado, acreditando que assim estariam transferindo os riscos para terceiros. Riscos associados à negligência, imprudência ou imperícia cometidos pelo terceiro enquanto representante da empresa junto às autoridades. Mesmo não sendo advogado, arrisco dizer que é improvável que empresas que venham a oferecer tal serviço, já não tenham encontrado 'blindagens' jurídicas suficientes para mitigar o risco solidário, produzindo assim exposição ainda maior ao contratante por não contar com transferência real do risco e ainda não contar com um DPO que tenha conhecimento do negócio à frente das deliberações que terá de tomar no dia-a-dia.

14) Não há qualquer exigência legal para que o profissional que se disponha a exercer a função de DPO tenha que se certificar ou mesmo ter formação em uma área específica do conhecimento, contudo, em se tratando de uma função orquestradora que se relacionará com autoridades, executivos, funcionários de diversos níveis e cidadãos, que este tenha uma experiência acadêmica e prática diversificada e abrangente, preferencialmente como gestor, e se dedique a construir ou ampliar uma visão holística que o permita extrair o melhor da equipe que o apoia.

15) Data Privacy Officer ou Encarregado de Dados não é uma profissão. É uma função atrelada a uma nova lei que trata especificamente de privacidade de dados pessoas, ou melhor, de conformidade com uma lei de privacidade, o que, a propósito, é parte do escopo de todo Chief Security Officer, só que agora mais especificado técnico e processualmente pela LGPD. Quero dizer com isso que há uma tendência dos CSOs ampliarem sua especialização para darem cobertura às especificidades da lei, vindo a exercer o papel de DPO acumulativamente. A grande diferença, é que a atual equipe de apoio ao CSO e à operação do framework de gestão de riscos de segurança da informação, terá de ampliar o alcance de conhecimento técnico-processual e também ser ampliada em contingente com especialistas que dominem os aspectos legais específicos.

16) A visão compartilhada no item anterior não irá funcionar em todas as circunstância, pois o posicionamento mais executivo que a função de DPO requer por ter interface com autoridades, titulares de dados e com a liderança da empresa, nem sempre corresponde à maturidade do atual CSO (empresas menores podem nem contar com um) em virtude da estrutura e maturidade da própria empresa na gestão de riscos de segurança da informação. Nesses casos, a alternativa será compor uma dupla integrada, complementar e formada pelo CSO e o DPO, ou até mesmo deixar que o DPO reporte ao CSO, mas alinhados e contando com uma equipe única e amplicada, como citei acima, que agora será capaz de cobrir todo o novo escopo corporativo.

Sendo prático, a visão é de esvaziar o escopo da função do DPO, deixando com o CSO a operação dos controles: tecnologias; políticas gerais; controles de acesso; indicadores de governança, risco e conformidade; anonimizações e pseudonimizações; relatórios de impacto de privacidade, repositórios e registros de tratamento, por exemplo, enquanto ao DPO restará: tratamento de solicitações de titulares; revisões contratuais; elaboração de termos de uso e cláusulas de consentimento; especificação das bases legais que legitimizam o tratamento; definição de período de retenção de dados; análise de riscos de novas propostas de tratamento e fluxo de dados; regras de transferência internacional de dados; comunicação interna e externa com os titulares e a autoridade nacional; facilitação diante de denúncias e fiscalizações, representação diante de ações judiciais individuais e coletivas, entre outras.

17) Se por qualquer razão você já tenha apontado um DPO ligado a uma das áreas previsíveis para esta fase inicial da lei, como tecnologia da informação, recursos humanos ou a área jurídica, não se sinta culpado. Isso ainda não é um grande problema, afinal, o mercado todo ainda engatinha e a ANPD respira acéfala. Contudo, é importante compreender desde já que, inevitavelmente, para conseguir eficiência, sustentabilidade e a manutenção continuada da conformidade com a LGPD, mudanças e convergências deverão ocorrer para garantir a cobertura multidisciplinar prevista pela lei.

O caminho natural é a função de DPO ser incorporada pelo cargo de CSO.

Privacidade de dados, por definição, é assunto de segurança da informação, mesmo que a LGPD tenha trazido uma forte carga jurídica e a função requeira interação regular com autoridades públicas. 

Governança, Risco e Conformidade (GRC) é o playground dos profissionais de gestão de riscos da informação, que a 'comem com farinha'. O que a LGPD trouxe, de fato, foi um tempero jurídico novo que demandará do Chief Security Officer (CSO), posicionamento estratégico, caso já não o tenha, além de assessoria jurídica que ampliará as competências e funções de sua equipe atuação.  

Minha visão mais otimista é a de que o CSO absorva a função de DPO e isso o faça sentar ainda mais empoderado no C-Level, reportando diretamente ao CEO.

Minha visão realista é a de que o CSO absorva parte da função de DPO por compatibilidade com escopo existente de governança, risco e conformidade, enquanto ao DPO restará o escopo jurídico específico como uma camada sobre o framework.

Alternativamente, as empresas que optarem pela figura específica do DPO em função das especificidades do seu negócio, por exemplo, pela relevância, volumetria e complexidades dos temas jurídicos e pela intensividade das relações com as autoridades públicas, devem considerar esvaziar o escopo desta função de DPO para deixa-lo tratar exclusivamente da camada jurídica, mas em conexão e sinergia com as atribuições do CSO, onde um suportará e complementará o outro.   

Independência do DPO é relativa.

A LGPD prega a importância da independência da função do DPO baseando no fato de que terá de tomar decisões e fazer recomendações de risco que poderiam conflitar com determinadas áreas, como a TI, se a ela estivesse subordinado.

Teoricamente justificável, mas convém sermos mais realistas e práticos, e considerarmos alguns aspectos que fazem parte da real estrutura empresarial, com suas especificidades setorias e limitações típicas de quem está apenas no início de uma longa jornada de conformidade e de gestão de riscos de privacidade.

1) O DPO, uma vez remunerado pela empresa, já recebe certa influência da área para a qual reporta, mesmo que esta seja o CEO ou o Conselho de Administração;

2) O CISO, que tem a missão da gestão dos riscos de segurança da informação, enfrenta desafios similares com a jornada de conformidade baseada em regulamentações governamentais e setoriais como a SoX, PCI-DSS, HIPAA, Marco Civil e a Resolução 4658, apenas para citar algumas.

3) Nem por isso, mesmo depois de décadas existindo e muitos ainda reportando para CIOs, os CISOs tiveram sua suposta falta de independência inviabilizando ou comprometendo sua missão.

DESEJO: CISO conectados DPO e no C-Level

REALIDADE: CISO e DPO onde for possível estar agora

Estado de conformidade permanente.

Estar 'em conformidade' é uma espécie de estado temporal, como uma fotografia que captura um momento em limitada janela de tempo. Ser capaz de realizar múltiplas fotografias, a qualquer tempo, e demonstrar consistência, é fruto somente da operação contínua de processos íntegros de gestão de controles.

É se manter operacional e apto a demonstrar diligência e responsabilidade na gestão de controles e riscos de privacidade e proteção de dados pessoais. É ser capaz de evidenciar consistentemente e intempestivamente respeito e cuidado para com os direitos dos cidadãos, e cumprimento aos deveres na condição de controlador e/ou operador.

As empresas precisam demonstrar a capacidade de atender os direitos dos cidadãos à garantia fundamental da inviolabilidade da intimidade e da vida privada.

Operar um negócio mantendo contínuo estado de conformidade requer mudanças profundas que envolvem aspectos jurídicos, físicos, tecnológicos, humanos e processuais. Requer mudança cultural na forma como a empresa e suas pessoas se relacionam com os dados. Requer funcionamento sistêmico e ininterrupto. Manutenção e adaptabilidade constante diante das variáveis que mudarão de estado ao longo da jornada.

Contudo, a construção de um escritório de gestão de conformidade é gradual. As políticas, os processos e os controles vão sendo desenvolvidos como se contruíssemos um castelo, tijolo a tijolo. Eles vão sendo empilhados e ganham maturidade à medida que são operados e recebem influências internas e externas como regulamentações da autoridade, interpretações e decisões judiciais. Precisamos dar tempo ao tempo, mas começar apontando para a direção certa.

Como reduzir a exposição aos riscos de privacidade

Senso de urgência equilibrando risco, apetite e capacidade de implementação.

Diante de uma longa e complexa jornada de conformidade, e ainda sob a forte pressão do tempo, o melhor a fazer é compreender o risco específico do negócio mapeando os fluxos de dados pessoais que oferecem maior exposição, montar um plano de ação priorizado e iniciar a implementação de ações estruturantes o quanto antes para então seguir implementando os demais controles gradualmente, ao mesmo tempo que se resguarda de incidentes de segurança e de abuso de uso de dados pessoais para não ser vítima de ataques cibernéticos ou denúncias e ações judiciais antes de ser capaz de demonstrar minimamente o funcionamento de um modelo integrado de governança de privacidade e segurança da informação.

Risk-based fast track:

1. nomeie e anuncie a função de DPO (orquestrador + equipe)
2. crie canal de atendimento aos titulares (email, SAC)
3. mapeie os maiores riscos (volumetria x fluxos x finalidades)
4. monte uma primeira versão do roadmap priorizado (risco x impacto)
5. revise os contratos-chave (terceiros, empregados, fornecedores e cláusulas Pareto-first)
6. crie e publique uma primeira versão da política de privacidade (evolução gradual)
7. reforce cybersecurity (processos, políticas e controles)
8. documente a jornada (planos, decisões, evidências, ROPAs e DPIAs)
9. crie uma primeira versão do processo Privacy by Design e by Default (filtro de novas iniciativas de negócio)
10. use uma consultoria que aporte aceleradores como DPOfficer Support as a Service (operação de backoffice para volumetria e multi-especialização)
11. eduque as pessoas (promova mudança de cultura)

Sair da inércia e imprimir velocidade, demonstrando mobilização e diligência, é positivo aos olhos dos magistrados e da autoridade, e reduz a exposição ao risco. Compartilho o serviço gratuito de auto-diagnóstico de conformidade LGPD da ABES para que possam ter uma primeira visão da jornada de privacidade.

>>> free LGPD SELF-ASSESSMENT da ABES e EY, sem coleta de dados pessoais e comercias, calcula o seu índice de conformidade com a LGPD e produz um roadmap personalizado com base em nosso método de maturidade.

O que construir no curto prazo diante da iminência de conformidade.

Priorize 'pontes rústicas' que funcionem minimamente percorrendo de ponta-a-ponta o processo de atendimento dos direitos dos titulares. A jornada de LGPD precisa ser conduzida com realismo e priorizando as atividades de acordo com a avaliação de risco de cada negócio e suas limitações intrínsecas.

O principal e legitimo objetivo é o de atender direitos e cumprir deveres especificados pela lei, sendo capaz de percorrer o processo do início ao fim, quando uma solicitação do titular ou da autoridada nacional é atendida tempestivamente.

Analogamente à construção de uma ponte, melhor será construir totalmente uma ponte rústica com os recursos básicos disponíveis, mas que transponha o rio, do que construir parcialmente uma super ponte que não os leve à outra margem tão cedo.

Menos é mais. A maturidade e aprimoramento da 'ponte' vem com o tempo, com o giro continuado dos processos do escritório de privacidade; com erros e acertos; e a gradual claridade proporcionada pela autoridade e pelas jurisprudências.

Tudo começa pela educação.

Entender o propósito da lei e como seu cumprimento afeta a cultura organizacional e a forma como os negócios são operados é determinante para reduzir a exposição ao risco. Produzi esse treinamento probono em vídeo, gratuito e com curta duração que oferece uma visão holística dos impactos da nova legislação.

Ninguém sabe tudo sobre a LGPD e sua aplicabilidade. Veremos movimentos pendulares por um bom tempo até que encontremos um equilíbrio social amparado pelo bom senso e pela atuação da ANPD e dos magistrados estabelecendo as primeiras decisões.

Entender os princípios da lei de privacidade tornam:

• cidadãos mais conscientes e fiscalizadores ativos dos seus direitos
• empresários mais sensibilizados dos seus deveres e do valor da governança
• governantes mais cientes das suas atribuições públicas
• empregados mais capazes de zelar pela custódia dos dados pessoais
• consultores mais preparados para projetos de conformidade eficientes

>>> free Udemy Course LGPD EXECUTIVO: conhecimentos aceleradores de conformidade para cidadãos, executivos, startups, consultores e governantes.

Obs: esse artigo é um veículo vivo e sujeito a evoluções regulares. Poderá sofrer melhorias à partir de novas experiências de projeto, por colaboração dos leitores, clientes e colegas de profissão, mas principalmente por estarmos diante de uma lei nova, ainda não regulamentada e fiscalizada pela ANPD, e sem jurisprudência local que ajude a consolidr interpretações em cada ajuizamento público.

Marcos Sêmola é Sócio de cybersecurity da EY, especialista em governança, risco e conformidade, professor da Fundação Getúlio Vargas e da Fundação Dom Cabral, palestrante, mentor, escritor com sete livros nas áreas de segurança informação e inteligência competitiva, conselheiro da ISACA® - Associação de Controles de Auditoria e Sistemas de Informação, da ABINC® - Associação de Internet das Coisas, do CEBDS® - Conselho Empresarial para o Desenvolvimento Sustentável, vice-presidente do Instituto SmartCity, membro da IAPP® - Associação Internacional de Profissionais de Privacidade de Dados, membro de honra da ANPPD®, membro fundador do Conselho Empresarial Brasileiro para Segurança Cibernética, diretor da aceleradora de startups Founder Institute, mentor de startups Endeavor e investidor membro da Anjos do Brasil. 

Formado em Ciências da Computação pela Universidade Católica de Petrópolis com especialização em Estratégias Disruptivas pela Harvard Business School, em Negociação pela London Business School, MBA em Tecnologia Aplicada pela FGV e mestrando em Inovação e Empreendedorismo pela HEC Paris. Premiado SECMASTER® Profissional de Segurança da Informação do Ano em 2003, 2004 e 2008, Profissional NATA® Top 50 em 2007, com certificações profissionais nacionais e internacionais nas áreas de segurança da informação e privacidade de dados: CISM®, CDPSE®, PCI-DSS®, EXIN PDPP® e ISO27K®.

www.marcossemola.com