Em um artigo anterior eu trouxe uma reflexão sobre o perfil do Encarregado de Proteção de Dados, e isso gerou inúmeros questionamentos sobre o meu posicionamento a respeito da entrada de advogados no ambiente Regtech. A minha concepção sobre Regtech é simples, trata-se de tecnologias regulatórias, foi idealizada por um estagiário de tecnolgia com pouco ou nenhum conhecimento jurídico e que sem saber, aplicou ITIL em suas documentações e fluxos de processos que automatizaram o compliance de uma grande organização financeira.
Há espaço para todos dentro do ambiente Regtech mas cada um no seu devido lugar.
Se nem mesmo a pioneira regulamentação chilena, o eficiente INAI (Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales) mexicano ou até mesmo o EDPS (European Data Protection Supervisor) foram capazes de definir de forma clara o perfil do Encarregado de Proteção de Dados, quem seria eu para fazê-lo?
Mas para trazer um pouco mais de clareza ao assunto, aqui estão alguns trechos de artigos que acredito serem interessantes nesse raciocínio.
"Em poucas palavras, a proteção de dados é sobre a proteção de dados contra acesso não autorizado. A privacidade dos dados diz respeito ao acesso autorizado - quem o possui e quem o define. Outra maneira de analisar é a seguinte: a proteção de dados é essencialmente uma questão de tecnologia, enquanto a privacidade de dados é uma questão legal." (Trecho traduzido do artigo Data Privacy Vs. Data Protection da Ipswitch)
"De acordo com os requisitos do GDPR, um DPO deve estar adequadamente qualificado para desempenhar a função. Como resultado, espera-se que eles tenham experiência em leis e práticas de proteção de dados, além é claro, de experiência na auditoria de sistemas de TI e na avaliação de riscos de segurança." (Trecho traduzido do artigo Data Protection Officer vs Chief Privacy Officer: A Comparison of Two Compliance-Related Roles da Net App - primeira empresa de cloud licenciada pelo Comitê Europeu de Proteção de Dados)
"Os melhores DPOs terão experiência em leis de proteção de dados e um entendimento completo da infraestrutura de TI, tecnologia e estrutura técnica e organizacional de suas empresas. " (Trecho traduzido do artigo What is a Data Protection Officer (DPO)? Learn About the New Role Required for GDPR Compliance in 2019 da Digital Guardian - empresa líder no mercado global de prevenção de perda de dados, atendendo 7 das 10 maiores empresas do mundo)
A fórmula na minha cabeça é a seguinte:
proteção de dados = mecanismos = profissional de TI = Data Protection Officer
privacidade de dados = segurança = profissional do direito = Data Privacy Officer
Isso não é uma regra, é a forma como eu vejo de acordo com as experiências que tivemos ao longo dos últimos anos com a GDPR.
Nada impede que um advogado possua mais de 3 anos atuando diretamente com tecnolgia da informação e entenda o suficiente para realizar uma auditoria completa na infraestrutura de tecnologia, bem como realizar pentest entre outras atividades.
Da mesma forma que um profissional da tecnologia pode muito bem ter experiência jurídica, saber revisar contratos, políticas de privacidade, termos de consentimento e procurações de forma forense e respeitando as leis existentes.
Se continuar a ter dúvidas, acompanhe o meu canal no Instagram onde há conteúdo diário sobre a LGPD e o ambiente Regtech.
https://www.instagram.com/jandreyschmidt/