A poucos meses de vigorar a LGPD no Brasil, o momento para entender a importância desse profissional para RH e empresas é agora

Quer alguns queiram, quer muitos não, a mudança das regras do tratamento de dados pessoais está em contagem regressiva para virar lei no Brasil. Agosto está aí. 

A versão final da  Lei Geral de Proteção de Dados (LGPD) ainda vai dar o que falar, e muito por fazer. A maioria das empresas ainda corre para estar em conformidade com nova realidade. As que saíram na frente entendem que as propagadas mudanças vão além de questões contratuais, termo de uso e política de privacidade.

À parte a série de alterações necessárias para que as empresas fiquem em conformidade com a lei, o pacote da LGPD sinaliza o surgimento de um novo cargo – o do Encarregado de Proteção de Dados, mais conhecido como DPO, em inglês Data Protection Officer.

Este profissional é uma espécie de guardião dos dados da empresa. Ele é quem vai acompanhar o fluxo das informações, garantir que tenha transparência, responsabilidade e alinhamento com a lei.

“Ele será o porta-voz e interlocutor da instituição sobre governança e proteção de dados pessoais. Seu papel é relevante no caso de uma resposta à crise de imagem ou na ocorrência de incidentes relacionados à privacidade de dados”, resume Patrícia Peck Pinheiro, advogada especializada em direito digital e head da área de Digital, de PG Advogados. 

Por tantas qualificações, o DPO no Brasil recebe, em média, um salário de R$ 19.689, de acordo com a Impacta Tecnologia. 

A bem da verdade, a figura do Encarregado de Proteção de Dados não nasceu ontem. Não lá fora. Pesquisa do International Association of Privacy Professionals (IAPP) estima que 500 mil organizações tenham registrado DPOs em toda a Europa. No mundo, temos mais de 7,2 mil profissionais que exercem essa função especificamente.

Profissional híbrido

Apesar de não ter sido exigido na lei, a recomendação de Patrícia é que o DPO seja um profissional com formação mais interdisciplinar, com conhecimentos da nova legislação e sobre governança de bases de dados pessoais e de segurança da informação.  

“Mas que tenha habilidade para se relacionar como porta-voz da instituição perante as autoridades e também perante os titulares dos dados, principalmente no caso de ter que cumprir com o dever de reportar situações de incidentes de violações de dados pessoais e responder a uma crise de imagem”, ressalta.

Conforme o professor Edson Germano, coordenador dos cursos de cibersegurança da FIA, o Encarregado de Proteção de Dados precisa conhecer e ter a capacidade de se “aprofundar” nos processos e no funcionamento da empresa. Deve ainda conhecer a legislação relacionada à privacidade e proteção de dados e ter competência de tecnologia e auditoria de TI. E, principalmente, garantir que os sistemas da empresa e de seus parceiros estão usando os dados estritamente alinhados aos “usos” que são informados no momento da coleta ou do consentimento de uso.

Antes de tudo, acrescenta Davis Alves, especialista em estratégias para a LGPD, o DPO deve ser um profissional responsável pelas duas áreas impactadas diretamente pela lei: TI em primeiro lugar e Jurídico em segundo. Para isso, ter conhecimento comprovado, ou em tecnologia ou em direito, é fundamental.

“O ideal é que unir os dois — não necessariamente graduação em ambas, e também não apenas graduação em uma e nada para outras. Tem que mesclar”, diz.

A dupla RH e DPO

Professor e coordenador das formações de Proteção de Dados da Impacta Tecnologia, Alves também atua como DPO. Para ele, é fundamental que esse profissional tenha grande proximidade com os recursos humanos, pois só assim será possível criar normas e culturas internas. 

“O time de proteção criará os documentos de segurança, mas divulgação, implantação e monitoria das boas práticas passarão pelo forte crivo do RH, em cooperação com outros setores”.

As adaptações e mudanças necessárias precisam começar dentro da organização, com o engajamento de todos os funcionários que se envolvam com dados pessoais. Nesse sentido, o Encarregado de Proteção de Dados será de grande valia. 

“Ele  precisará atuar na sensibilização das pessoas para conscientização das novas exigências. Será o protagonista em decisões estratégicas das empresas e, por isso, deverá ter papel de influenciador em todos os níveis de cargos dentro de uma organização”, descreve Luciana Castro, gerente da Michael Page.  

Leia também: O impacto da LGPD para a gestão de documentos do RH

Capacitação profissional

O cargo é novo e, portanto, os profissionais que estão se formando como DPO possuem diferentes bagagens e históricos profissionais. Desta forma, aconselha a gerente da Michael Page, cada empresa deverá ter foco em desenvolver o profissional em seus gaps técnicos, sejam eles no ramo de tecnologia ou jurídico.

Muitos profissionais que tendem a migrar para esta área, já estão se movimentando e realizando os cursos para se certificar.

Já existe, no Brasil, uma oferta grande de cursos destinados à profissionais que querem atuar na função de DPO. O curso da  Impacta Tecnologia foi pioneiro no país. Criado em 2016, já formou mais de 200 profissionais DPOs com a certificação pela EXIN. 

Valor de mercado

Ao ter um DPO, seja ele uma posição dentro da estrutura da organização, seja terceirizando a função por meio da contratação de empresa especializada, a organização passa uma mensagem para o mercado. Ela está preocupada em garantir que os dados coletados junto aos clientes estão sendo rigorosamente usados para a finalidade informada. Isso tem valor. 

“Quebrar essa confiança do cliente com a organização poderá resultar em, no mínimo, uma negação do cliente em fazer novos negócios com a organização”, diz o professor Germano, da FIA. 

Todo o investimento na contratação do encarregado de proteção de dados só trará o retorno esperado se a empresa tiver muito bem detalhado quais são os processos de negócios de sua operação, como ela tem contato com seus clientes e parceiros, em que ponto são obtidos/coletados dados nesses contatos e se esses dados são caracterizados como dados pessoais – do cliente ou do cliente do parceiro. 

Pode parecer básico, mas muitas empresas ainda não conhecem em detalhes seus processos internos. Só que conhecer em detalhes como funcionam os processos internos é o primeiro passo para a empresa começar a identificar onde estão os dados pessoais. E, assim, identificar se ela possui a necessidade de um DPO atuando na organização.