Proteção de dados e o CPO

01.05.2020 – Apesar da pandemia da Covid-19, que acaba atraindo a atenção de todo o mundo, os assuntos relacionados à proteção de dados pessoais despertam o interesse de muitas pessoas, especialmente aqui no Brasil, devido à entrada em vigor da LGPD, cuja vigência, nesse momento, ficou adiada pela Medida Provisória 959 de 29 de abril de 2020, para 03 de maio de 2021.

Esse assunto que acabou ganhando muita relevância com o início de vigência da GDPR, em 25 de maio de 2018, nos territórios da União Europeia, trouxe à tona a figura do DPO – Data Protection Officer, o qual deve garantir que sua organização processe os dados pessoais de sua equipe, clientes, fornecedores ou quaisquer outros indivíduos, em conformidade com as regras de proteção de dados aplicáveis. Segundo a LGPD brasileira, o papel do DPO é assumido pelo “Encarregado”.

Porém, “a bola da vez” é a CCPA, ou seja, a lei de proteção de dados pessoais da Califórnia, EUA, que entra em vigor em julho de 2020.

Para efeitos da CCPA, é importante salientar que não há previsibilidade da figura do DPO. Todavia, começa a ganhar força nos EUA, e especialmente na Califórnia, a importância de ter alguém que possa zelar pelo monitoramento na coleta de dados pessoais, assim como interagir com os consumidores, nos assuntos que digam respeito à proteção de dados. E é dessa forma, que se fortalece o conceito do CPO – Chief Privacy Officer, o qual teria como premissas básicas essas acima. Ele, na verdade, é um executivo corporativo encarregado de desenvolver e implementar políticas projetadas para proteger os dados de funcionários e clientes contra acesso não autorizado.

É importante salientar que esse conceito começou a ganhar força após a aprovaçao da HIAA (the Health Insurance Portability and Accountability Act), em 1996, que passou a exigir um profissional responsável por dados, nas empresas operando no setor de saúde, nos EUA.

Considerando o fenômeno da globalização, não será raro a sujeição por inúmeras empresas americanas transnacionais à GDPR, o que por si só já se justificaria a necessidade de deter um DPO.

Como o DPO tem as suas exigências específicas já definidas, ou seja, (i) Mais de 5 anos de experiência com leis de privacidade da UE e globais, (ii) Experiência com programação e infraestrutura de TI e (iii) Experiência com auditorias de sistemas de TI, existe o consenso que o CPO deveria ter essas habilidades como exigências mínimas. Por outro lado, no atual momento, não será fácil encontrar profissionais com tal perfil. A própria Associação Internacional de Profissionais de Privacidade – IAPP estimou uma necessidade inicial de 28.000 profissionais qualificados para assumir tal função.

Aqui é possível entender de forma mais aprofundada as tarefas a serem desempenhadas por esse profissional:

1. Cria um programa de privacidade estratégico e abrangente que define, mantém, desenvolve e implementa políticas e processos que permitem práticas de privacidade consistentes e eficazes que minimizam os riscos e garantem a confidencialidade dos dados pessoais, em papel e / ou digitais.
2. Trabalha com o gerente sênior de organização, segurança e conformidade corporativa para estabelecer governança para o programa de privacidade.
3. Desempenha um papel de liderança na conformidade da privacidade.
4. Garante que os formulários, políticas e procedimentos de privacidade estejam atualizados.
5. Estabelece um processo contínuo para rastrear, investigar e relatar acesso e divulgação inadequados de informações de dados pessoais.
6. Realiza ou supervisiona a avaliação / análise, mitigação e correção de riscos de privacidade de informações iniciais e periódicas.
7. Realiza atividades de monitoramento de conformidade em andamento, em coordenação com outras funções de conformidade e avaliação operacional da empresa.
8. Monitora padrões de acesso inadequado e / ou divulgação de informações de saúde protegidas.
9. Assume uma função de liderança, para garantir que a organização tenha e mantenha consentimentos adequados de privacidade e confidencialidade, formulários de autorização e avisos e materiais de informações que refletem a empresa atual e práticas e requisitos legais.
10. Supervisiona, desenvolve e oferece treinamento inicial e contínuo sobre privacidade aos colaboradores.
11. Participa no desenvolvimento, implementação e monitoramento contínuo da conformidade de todos os parceiros de negócios com os quais a empresa mantém contrato, para garantir que todos os requisitos e responsabilidades de privacidade sejam atendidos.
12. Executa a avaliação, documentação e mitigação de riscos de violação necessárias. Trabalha com Recursos Humanos para garantir a aplicação consistente de sanções por violações da privacidade.
13. Gerencia processos para investigar e agir sobre reclamações de incidentes de privacidade e segurança.
14. Fomenta atividades para promover a conscientização da privacidade das informações na empresa.
15. Mantém o conhecimento atual das leis sobre privacidade.
16. Gerencia todos os processos de notificação de violações exigidos pelas autoridades.

Entretanto, uma alternativa razoável, na impossibilidade de achar um profissional com tais habilidades, seria terceirizar esse serviço, contratando alguém que detivesse a qualificação adequada para desempenhar essa função, já que não há obrigatoriedade para que as atribuições de um CPO sejam desempenhadas internamente.