As responsabilidades do encarregado de dados: o que ninguém te contou!

O Encarregado de Proteção de Dados (DPO) desempenha um papel fundamental na empresas. Em conversas com diversos DPOs no mercado, percebo que cada um tem uma papel diferente nas empresas, uns mais operacionais outros mais estratégicos.

A pergunta que fica é: Quais são exatamente as responsabilidades do DPO?

A seguir, apresentarei algumas das tarefas e obrigações do DPO e como ele pode auxiliar as empresas na conformidade com as regulamentações de proteção de dados. Vale ressaltar que essa lista não é exaustiva, e pode ser complementada com essas aqui.

Desenvolver e Implementar uma Estratégia de Proteção de Dados

Uma das principais responsabilidades do DPO é desenvolver e implementar uma estratégia de proteção de dados eficaz. Isso envolve a criação de políticas e procedimentos claros para garantir a conformidade com as leis de proteção de dados e a adoção das melhores práticas do setor, garantindo que a estratégia esteja alinhada com essas diretrizes da empresa.

Implementar políticas e procedimentos

O DPO é responsável por estabelecer políticas e procedimentos claros para proteger os dados pessoais coletados e processados pela organização. Isso inclui a definição de diretrizes para a coleta, armazenamento, uso e compartilhamento de dados, bem como a identificação de medidas de segurança adequadas para proteger essas informações.

Essas políticas e procedimento devem ser atualizados regularmente para refletir as mudanças nas práticas e regulamentações de proteção de dados. Isso ajuda a garantir que a organização esteja sempre em conformidade com as obrigações de privacidade e segurança dos dados.

Orientar a equipe e a empresa

Além disso, o DPO deve orientar a equipe sobre as melhores práticas de proteção de dados e garantir que todos os funcionários estejam cientes de suas responsabilidades em relação à privacidade e segurança dos dados.

Isso pode incluir a realização de treinamentos, campanhas de conscientização e workshops regulares para garantir que todos estejam atualizados sobre as últimas regulamentações e práticas recomendadas.

Interagir com os Departamentos para Garantir a Conformidade

Outra responsabilidade importante do DPO é interagir com as partes interessadas para garantir que elas compreendam e cumpram os regulamentos de proteção de dados. Isso pode incluir a colaboração com os departamentos de TI, marketing, jurídico e recursos humanos, entre outros.

O DPO deve trabalhar em estreita colaboração com esses departamentos para garantir que os processos e procedimentos adotados estejam em conformidade com regulamentação. Isso pode envolver a revisão de contratos e acordos com fornecedores, parceiros e terceirizados, que foram contratados pelos departamentos, garantindo que eles também estejam cumprindo as obrigações de proteção de dados.

Estabelecer e Liderar um Comitê de Privacidade

O DPO também é responsável por estabelecer e liderar um Comitê de Privacidade para supervisionar questões relacionadas à privacidade na organização. Esse comitê desempenha um papel crucial na garantia de que a proteção de dados seja tratada de forma abrangente e eficaz.

O Comitê de Privacidade pode ser composto por representantes de diferentes departamentos, como TI, jurídico, recursos humanos e marketing. Esses membros colaboram com o DPO na definição e implementação de políticas e procedimentos relacionados à proteção de dados.

O Comitê de Privacidade também é responsável por analisar e monitorar o desempenho da organização em relação à proteção de dados. Isso pode incluir a revisão regular de relatórios de incidentes de proteção de dados, a identificação de áreas de risco e a implementação de medidas corretivas para mitigar esses riscos.

Relatar Atividades e Incidentes de Proteção de Dados

Um aspecto fundamental do trabalho do DPO é relatar atividades e incidentes de proteção de dados aos interessados relevantes. Isso inclui a alta administração da organização, bem como as autoridades regulatórias responsáveis pela fiscalização e aplicação das leis de proteção de dados.

Comunicação Transparente

O DPO deve garantir que haja uma comunicação transparente e eficaz sobre as atividades de proteção de dados dentro da organização. Isso pode envolver a preparação de relatórios regulares sobre o desempenho da organização em relação à proteção de dados, bem como a comunicação de incidentes de proteção de dados às partes interessadas relevantes.

Registro de Atividades de Tratamento de dados

O DPO é responsável por manter registros precisos de todas as atividades de proteção de dados realizadas pela organização. Esses registros podem ser solicitados pelas autoridades regulatórias em caso de auditorias ou investigações.

Realizar a Avaliação de Impacto de Proteção de Dados (AIPD)

Uma das tarefas do DPO é realizar avaliações de impacto de proteção de dados (AIPD) para projetos que envolvam o processamento de dados pessoais. Essa avaliação ajuda a identificar e mitigar potenciais riscos à privacidade e segurança dos dados.

Gerenciar Projetos Relacionados à Privacidade

O DPO também desempenha um papel importante na gestão de projetos relacionados à privacidade, garantindo que eles estejam em conformidade com as leis e regulamentações de proteção de dados.

Garantir Conformidade

O DPO também deve garantir que os projetos sejam desenvolvidos e implementados de acordo com as políticas e procedimentos estabelecidos para proteção de dados. Isso pode envolver a revisão de projetos em estágios-chave para garantir que eles atendam aos requisitos de privacidade e segurança dos dados.

Estabelecer e Manter um Quadro de Governança para Proteção de Dados

Outra responsabilidade do DPO é estabelecer e manter um quadro de governança para proteção de dados. Isso envolve a definição de políticas e procedimentos para garantir que a organização esteja em conformidade com as leis e regulamentações de proteção de dados.

Identificar e Gerenciar Riscos Relacionados à Proteção de Dados

O DPO deve identificar e gerenciar os riscos relacionados à proteção de dados, implementando medidas apropriadas para mitigá-los. Isso envolve a análise contínua dos processos e sistemas da organização para identificar possíveis vulnerabilidades e tomar medidas para corrigi-las.

Medidas de Segurança de Dados

Uma das tarefas do DPO é apontar as atividades de tratamento que devem ter medidas de segurança de dados implementado, como criptografia, controles de acesso e prevenção de perda de dados. Essas medidas ajudam a proteger os dados pessoais contra acesso não autorizado e violações, e sua implementação é de responsabilidade do time de Tecnologia/Segurança da Informação.

Uma das medidas de segurança de dados mais eficazes é a criptografia. O DPO deve garantir que os dados pessoais sejam criptografados durante o armazenamento e a transmissão, para que possam ser protegidos contra acesso não autorizado.

Proteger a Marca da Empresa e Manter a Confiabilidade do Cliente

Outra responsabilidade do DPO é proteger a marca da empresa, garantindo a conformidade com os regulamentos de privacidade e mantendo a confiabilidade do cliente. Isso envolve a implementação de medidas para garantir que a organização esteja em conformidade com as obrigações de proteção de dados e que os clientes confiem na empresa para proteger suas informações pessoais.

Gerenciamento de Identidade e Acesso

Não é uma responsabilidade do DPO, porém ele deve indicar para o time responsável pelo controle de acesso da organização, implementar processos de gerenciamento de identidade e acesso para controlar o acesso a dados pessoais. Isso envolve a definição de políticas e procedimentos para autenticação, autorização e auditoria de acesso aos dados.

Os controles de acesso tem por objetivo garantir que apenas pessoas autorizadas tenham acesso aos dados pessoais. Isso pode incluir a utilização de senhas, autenticação de dois fatores e restrições de acesso baseadas em níveis de permissão.

Classificação, Minimização e Retenção de Dados

O DPO também deve implementar medidas para garantir a classificação adequada dos dados, minimizando a coleta de dados pessoais desnecessários e definindo políticas claras de retenção de dados. Isso ajuda a garantir que os dados sejam usados apenas para os fins especificados e sejam mantidos apenas pelo tempo necessário.

Garantir a Segurança Física dos Dados Pessoais

O DPO também é responsável por recomendar as áreas responsáveis, que medidas de segurança física estejam em vigor para proteger os dados pessoais contra acesso não autorizado ou violações. Isso envolve a implementação de controles de acesso físico, como sistemas de segurança por cartão-chave e monitoramento de câmeras. Sim, documento físico faz parte do escopo da LGPD.

Art. 1º Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.

Uma das tarefas do DPO é garantir que apenas pessoas autorizadas tenham acesso às áreas onde os dados pessoais são armazenados. Isso pode ser feito por meio de sistemas de controle de acesso físico, como cartões-chave ou biometria.

Além disso, o DPO deve garantir que as áreas onde os dados pessoais são armazenados sejam monitoradas por câmeras de segurança para impedir acesso não autorizado e identificar possíveis violações de segurança.

Preparar e Gerenciar Incidentes Envolvendo Dados Pessoais

O DPO deve estar preparado para lidar com incidentes envolvendo dados pessoais e deve ter um plano de resposta a incidentes em vigor. Isso envolve a identificação e ação imediata em caso de violação de dados, bem como a comunicação transparente e eficaz sobre o incidente.

Uma das tarefas do DPO é desenvolver um plano de resposta a incidentes que especifique as ações a serem tomadas em caso de violação de dados. Isso inclui a identificação da equipe responsável pela resposta, a comunicação com as partes interessadas relevantes e o restabelecimento da segurança dos dados.

Parte do plano de incidentes, é ter uma comunicação transparente sobre o incidente de violação de dados. Isso envolve informar as partes interessadas afetadas, bem como as autoridades regulatórias, e fornecer orientações sobre as medidas que estão sendo tomadas para mitigar os danos e evitar futuras violações.

Lidar com Solicitações de Acesso de Titulares de Dados (DSARs)

O DPO também é responsável por lidar com as solicitações de acesso de titulares de dados, conhecidas como DSARs (Data Subject Access Requests). Essas solicitações permitem que os titulares de dados obtenham informações sobre os dados pessoais que uma organização possui sobre eles.

As solicitações de acesso devem ser respondidas dentro dos prazos estabelecidos pela Lei. Isso ajuda a garantir que os titulares de dados possam exercer plenamente seus direitos em relação aos seus dados pessoais.

Conclusão

Como podemos observar, a vida do DPO no cotidiano da proteção de dados não é fácil. Algumas organizações desejam que todas essas atividades sejam realizadas por uma única pessoa ou por uma equipe reduzida. No entanto, é humanamente impossível, conforme evidenciado pela quantidade de responsabilidades e atividades listadas aqui.

Uma das formas que temos discutido com diversos clientes é buscar o apoio de uma empresa especializada, como a QOD Information Technology, para fornecer um serviço gerenciado que abranja todas essas capacidades técnicas. Isso permite que o DPO assuma uma posição mais estratégica e tática, comunicando-se com o comitê de privacidade e o conselho por meio de indicadores. Se você deseja saber mais, confira aqui.

Share on linkedin
LinkedIn
Share on whatsapp
WhatsApp

Leia Mais Artigos