Agosto chegou com novidades no setor de tecnologia da informação, no Brasil, especialmente no que diz respeito à implementação da LPGD (Lei Geral de Proteção de Dados). A partir deste mês, começam a vigorar as sanções administrativas da lei, com multas simples ou diárias que podem variar de 2% do faturamento a R﹩ 50 milhões por infração, por exemplo.
Com a novidade, ganha um papel ainda mais estratégico – e obrigatório – nas empresas a figura do Encarregado de Dados, ou DPO, na sigla em inglês (Data Protection Officer), profissional responsável pelo desenvolvimento e a manutenção do programa de conformidade à nova legislação e a adoção de medidas que primem pelo cumprimento das regras por toda a empresa.
É o DPO quem faz o elo entre a empresa, os titulares dos dados coletados e as autoridades reguladoras – no caso do Brasil, a ANPD (Agência Nacional de Proteção de Dados). Pode ser um nome do quadro de funcionários ou um terceiro.
“É uma posição bem estratégica não só por ser exigência da LGPD, mas porque é quem atua na conscientização da organização e de seus colaboradores sobre a importância da privacidade e proteção de dados pessoais, além de engajar as outra áreas que dão suporte para as atividades relacionadas ao tema, como o Marketing, a TI, o jurídico e o RH”, destaca o especialista em segurança digital Marcus Garcia, DPO na FS Security. “Trabalhamos não apenas o aspecto tecnológico da segurança de dados, mas de governança, a fim de que não haja vazamento deles”, completa.
Nesse trabalho, Garcia também acaba lidando com várias outras empresas que têm buscado, com dificuldades, se adequar às novas exigências legais – o que demanda um investimento inicial alto, que varia de R﹩ 50 mil a R﹩ 300 mil, para empresas de pequeno a médio porte. Em um momento de forte impacto da pandemia em muitos negócios, o especialista admite que ainda é raro o caso de companhias que já se prepararam ao início da cobrança de penalidades.
Por outro lado, a ANPD estuda se há casos em que o DPO pode ser dispensado. Para Paula Zanona, Gerente Jurídica de Privacidade e Proteção de Dados na Neoway, o que deve ser mais considerado é o core da organização ou a volumetria e o impacto do tratamento, independentemente do porte da empresa.
No caso da Neoway, o nível de maturidade em relação à governança de dados já era alto, o que tornou o processo menos complexo que o habitual, pois a cultura já existia. “Além de processos, procedimentos, treinamentos, investimento em tecnologia e contratações, o mais importante, e também mais desafiador, é a internalização da cultura de privacidade e proteção de dados. Os colaboradores, independentemente de hierarquia, são peças fundamentais nesse processo, e, sem a conscientização de todos, as consequências podem ser desastrosas”, finaliza Zanona.