Já faz algum tempo que penso em escrever esse artigo mas vou adiando, adiando...
A ideia desse artigo é apresentar à você, com fatos e exemplos o que a Europa viveu com a GDPR (General Data Protection Regulation) e o que estamos vivendo com a LGPD (Lei Geral de Proteção de Dados).
Você já deve acompanhar que cada vez mais profissionais se dizem DPOs ou especialista em Proteção e Privacidade de Dados. Antes de mais nada, quero destacar o ponto positivo disso: Há cada vez mais pessoas conscientizando-se à respeito da Lei Geral de Proteção de Dados, e quanto mais as pessoas falam sobre o assunto menos espaço sobra aos oportunistas.
Há pouco tempo isso aconteceu na área de treinamentos, apareceram muitos coachs repentinamente e muitos não possuíam a capacidade necessária para desempenhar a função em sua plenitude. Todas as profissões sofrem com isso, porém quando falamos de novas profissões, isso fica acentuado e acaba gerando desinformação e problemas para quem utiliza os serviços desse tipo de profissional.
O que mais aconteceu na Europa, e também podemos acompanhar no Brasil hoje, são profissionais que leram a Lei uma ou duas vezes e já começam a ministrar palestras sobre o assunto, se dizendo especialistas e em alguns casos até entitulando a si próprios como DPOs. Outras coisas que acontecem, e também são prejudiciais para a compreensão da Lei Geral de Proteção de Dados são os profissionais que realizam um treinamento para serem aprovados em uma certificação e quando aprovados se dizem DPOs, assim como Instituições e empresas de treinamento, propondo "cursos de formação de DPO", quando, apesar de não possuir uma formação convencional como as graduações, existem diversos itens que provam que um profissional é de fato um DPO.
Um erro que é recorrente e é muito mais uma questão de abordagem, é a utilização do tempo de carreira em uma área parecida com Regtech (tecnologias regulatórias) para dizer que possui vasta experiência. Quando na verdade, ainda não realizaram uma auditoria, não passaram por uma fiscalização, não tiveram de responder questões técnicas de tecnologia para algum órgão fiscalizador, onde o fiscal é especialista no assunto e quer a resposta de forma simples e direta, apresentando quando necessário especificações técnicas, fluxogramas da infraestrutura interna e externa e explicando o porquê os processos são feitos daquela forma.
Por isso é importante que estejamos atentos quanto às especialidades dos profissionais que se dizem especialistas em Proteção e Privacidade de Dados, principalmente quando se dizem DPO.
Vamos a mais alguns exemplos:
Em uma palestra em São Paulo, um suposto DPO foi questionado à respeito de VLANs.
☆ VLAN: Virtual Local Area Network, é a rede virtual local. São redes alternativas dentro de uma rede principal e que permitem uma configuração exclusiva para cada uma delas, sem necessidade de se alterar a principal.
Um participante perguntou se com a adequação seria necessário o acréscimo de VLANs ou até mesmo alguma mudança na estrutura dos switches, e a resposta do DPO foi: "Isso é problema do pessoal do TI".
☆ Switch: É o aparelho responsável por distribuir logicamente os pontos de redes para toda a infraestrutura de rede.
Um DPO deveria saber responder que talvez não fosse necessário o acréscimo de VLANs desde que a estrutura fosse adequada, porém uma reorganização provavelmente seria necessária. Já quanto a uma nova estruturação dos switches, deveria ser feito uma análise da PSI, já revisada de acordo com as regras do Programa de Privacidade, porém na maioria dos casos é possível manter a estrutura atual.
O outro exemplo que trago à você aconteceu recentemente e envolveu nossa equipe.
Em uma reunião com um de nossos clientes, o mesmo se referiu ao seu contador (operador externo) falando sobre a necessidade de averigurar junto ao DPO do contador, como estava o processo de adequação.
Com muito esforço conseguimos marcar uma reunião com o contador e o respectivo DPO.
Para nossa surpresa, na reunião que precisava ser apresentada a eficiência do Programa de Privacidade, apresentando os documentos, políticas, salvaguardas e planos de ação e publicização, apenas o contador estava presente. Por viva voz, o DPO contribuiu com a reunião dizendo que estava "tudo certo" e que as documentações estavam prontas.
Quando questionamos sobre contratos e sobre a PSI, tivemos a surpresa, o DPO nos falou que não se fazia necessária a adequação dos contratos pois já possuiam cláusulas que deixavam subentendido o processo de tratamento de dados e sobre a PSI ele disse que estava realizando orçamentos com terceirizadas para confecção. Detalhe: A empresa de contabilidade em questão possui infraestrutura de TI completa, com datacenter, um gestor para o TI e um gestor exclusivo para segurança da informação.
Em resumo, é importante ouvir sempre mais de uma opinião à respeito do tema e quanto ao DPO, o perfil ideal é aquele profissional que possui sólidos conhecimentos em Proteção e Privacidade de Dados primordialmente, conhecimentos profundos se tratando de tecnologias regulatórias e conhecimento intermediário quando o assunto é segurança da informação.