Não há dúvidas de que a Lei Geral de Proteção de Dados brasileira, a nossa LGPD, instigou ainda mais o debate sobre a privacidade do indivíduo, especialmente quanto à privacidade de seus dados pessoais mas assim como aconteceu na Europa, estamos cometendo alguns erros de interpretação quanto as novas funções que esse novo cenário nos trouxe. Como por exemplo, a figura do Encarregado de Proteção de Dados que ainda vejo a falta de compreensão quanto aos conhecimentos que esse profissional deve possuir. Escrevo "falta de compreensão" pois acredito na boa fé dos envolvidos, do contrário, poderia escrever qualquer outra coisa aqui que não seria tão agradável de se ler.
Mas por que isso?
Quando a GDPR entrou em vigor, não só as DPAs mas também o Comitê Europeu verificaram inúmeras nomeações equivocadas para Encarregados, desde a parte que tange o conflito de interesses até a especialização do profissional para tal função. Isso ocorreu pois tratando-se de um Regulamento Geral ou como aqui no Brasil, uma Lei Geral, é natural que os profissionais do direito vejam isso como uma nova área dentro da advocacia.
A questão é: Aonde o jurídico se encaixa na GDPR/LGPD? Na revisão de contratos, políticas de privacidade, política interna, termos de consentimento entre outros documentos necessários dentro do compliance e onde a PRIVACIDADE de dados se encaixa. Essa é a figura do Data Privacy Officer (Encarregado de Privacidade de Dados), ainda que não seja obrigatória em relação as normas da GDPR, da LGPD e demais regulamentações relacionadas à proteção de dados, é uma função de extrema importância dentro das organizações, principalmente quando essas possuem o Data Protection Officer (Encarregado de Proteção de Dados) interno e não contratado.
Para quem acompanha meus artigos, já sabe a diferença entre segurança e proteção. Quem ainda não leu o artigo, aqui está: ...
Como se não bastasse as inúmeras empresas que sofreram sanções e multas na Europa por essa questão, ainda temos o EDPS (European Data Protection Supervisor) citando a própria ISACA como a única entidade certificadora que cumpre os requisitos para certificar DPOs na Europa.
Por que apenas a ISACA? Porque a ISACA coloca como requisito, um mínimo de 3 anos com experência direta com segurança da informação para o profissional poder aplicar para ser DPO certificado desde que esse já possua uma CISM, do contrário, o tempo mínimo de experiência com segurança da informação é de 5 anos. Não pensem que estou fazendo publicidade para a ISACA aqui, isso é apenas uma informação.
A minha questão é a seguinte: Se o Encarreado de Proteção de Dados é um profissional da tecnologia e que deve possuir conhecimento para realizar uma auditoria completa na infraestrutura de tecnologia do cliente, será que apenas a certificação ISO/IEC 27001 seria suficiente para um leigo em tecnologia poder questionar um especialista em segurança da informação?
Você, que está se preparando para tornar-se um DPO (Encarregado de Proteção de Dados), se sente seguro para discutir sobre segurança da informação, protócolos de rede, VPNs, Active Directory, logs, tipos de backup e perfis com um especialista no assunto e instruir ele no que deve ser feito?
Caso ele diga que não é possível fazer o solicitado, você teria argumento para discordar ou solução para apresentar?