Na era digital em que estamos, a proteção de dados tornou-se um tópico de alta criticidade para organizações de todos os tamanhos.
Com a crescente complexidade das regulamentações de privacidade, muitas empresas consideram difícil cumprir esses requisitos de forma eficaz e segura. Como resultado, a procura por Encarregados de Proteção de Dados (Data Protection Officer – DPO) aumentou significativamente.
Nesse sentido, uma solução em especial, vem ganhando popularidade: a terceirização do serviço de DPO.
Nas próximas linhas, iremos explorar os assuntos relevantes, benefícios e considerações sobre o outsourcing do DPO, de modo que você possa, não só conhecer essa prática, mas tomar a melhor decisão para a sua organização!
A terceirização do serviço DPO refere-se à contratação de uma organização ou indivíduo para cumprir as responsabilidades de um Encarregado de Proteção de Dados (DPO) em nome da empresa. Isto pode envolver várias tarefas, tais como o desenvolvimento e implementação de políticas de proteção de dados, a realização de auditorias regulares, a garantia do cumprimento das regulações de privacidade e a atuação como ponto de contacto para os titulares de dados e as autoridades reguladoras.
O papel do Data Protection Officer
O DPO é um ator fundamental para garantir que uma organização cumpra as leis e regulamentos de proteção de dados. Essa posição é tão fundamental, que a própria Lei Geral de Proteção de Dados Pessoais – LGPD, em ser artigo 23 exigiu a indicação formal do DPO (Encarregado de Proteção de Dados).
Art. 23
III – seja indicado um encarregado quando realizarem operações de tratamento de dados pessoais, nos termos do art. 39 desta Lei
A atuação do DPO pode variar bastante, considerando os diferentes portes, segmentos e operações das organizações. Todo modo, de maneira geral existem atividades que serão conduzidas independente do cenário ou contexto em que aquele DPO estiver inserido.
Assim, elencamos abaixo algumas das atividades principais de um DPO:
Desenvolver e implementar políticas e procedimentos
O DPO é o principal responsável por criar políticas que descrevem como a organização coleta, armazena e processa dados pessoais, em especial a Política de Privacidade, além de construir e gerenciar procedimentos de atendimento aos titulares de dados, gestão de incidentes com dados pessoais, elaboração de Relatórios de Impacto á Proteção de Dados, etc.
Mapeamento de processo e inventário de dados
O DPO é o responsável por conduzir o mapeamento de processos de tratamento e o inventário de dados pessoais na organização, que subsidiarão a construção e emissão de relatórios e documentos exigidos pelos órgãos reguladores.
Assessment de risco e gaps
O DPO é o profissional que avalia os riscos associados às atividades de processamento de dados pessoais e identifica potenciais riscos e vulnerabilidades nas estruturas, ferramentas e processos da organização. É ele quem analisa o possível impacto e probabilidade destes riscos nos direitos de privacidade dos indivíduos e conduz os planos de ação para implementar medidas de mitigação.
Treinamento e capacitação
É responsabilidade do DPO, também, desempenhar um papel ativo na sensibilização dos colaboradores e stakeholders sobre as boas práticas de privacidade proteção de dados. O DPO produz e oferece sessões de treinamento e workshops para garantir que os indivíduos entendam e estejam atentos às suas responsabilidades no tratamento de dados pessoais dentro de uma organização.
Conformidade e monitoramento
Mais uma atividade de todo DPO é o monitoramento contínuo das atividades de processamento de dados da organização, no sentido de garantir a manutenção da conformidade com as leis e regulamentos de privacidade e proteção de dados. Eles revisam processos, sistemas e controles internos para identificar áreas de melhoria e implementar as mudanças necessárias de forma constante.
Gestão de incidentes com dados pessoais
Nos casos de uma violação de dados (potencial ou efetiva), o DPO se encarrega de gerenciar o processo de resposta ao incidente. Ele coordena ações e atividades com as partes interessadas relevantes, investiga a violação, avalia o seu impacto e, quando é o caso, reporta às autoridades reguladoras, conforme exigido por lei.
Atendimento aos titulares de dados e aos órgãos de regulação e fiscalização
O DPO, na organização, é o ponto de contato para titulares de dados, ou mesmo para o público em geral na matéria de Privacidade, atendendo às requisições de titulares e permitindo o exercício regular dos direitos previstos nas legislações. Além disso, é o DPO que estabelece contato direito com autoridades reguladoras, tais como a Autoridade Nacional de Proteção de Dados – ANPD, no Brasil.
Tá, mas existe vantagem em terceirizar o serviço de DPO?
Não só em relação aos serviços de DPO, mas em muitos casos o outsourcing pode ser uma melhor solução em comparação com internalizar esse profissional.
Antes de seguir, porém, é importante esclarecer uma questão muito relevante: existem cenários e contextos em que internalizar o DPO pode ser a melhor solução.
Por exemplo: se a sua organização possui uma estrutura robusta, com departamentos Jurídico, T.I. e Infraestrutura, Recursos Humanos e Qualidade bem estruturados, com dezenas ou centenas de profissionais e com processos bem definidos, além de ter acesso a boas soluções tecnológicas, eventualmente pode ser mais fácil e assertivo utilizar um profissional interno.
Mas, para a maioria das organizações é provável que terceirizar o serviço de Data Protection Officer seja o mais eficiente. E vamos trazer algumas vantagens da aplicação desse modelo:
Em resumo
a terceirização do serviço de DPO oferece economia, conhecimento especializado, flexibilidade, acesso à tecnologia, riscos legais e de reputação reduzidos e a capacidade de se concentrar nas atividades comerciais principais. Esses benefícios tornam-no uma opção atraente para empresas que buscam aprimorar seus esforços de proteção de dados e, ao mesmo tempo, otimizar a alocação de recursos.
Considerações antes de terceirizar
Como vimos, o outsourcing do serviço de DPO pode trazer inúmeros benefícios para as organizações. Mas, é essencial considerar alguns fatores antes de seguir com a contratação.
Como os DPOs lidam com informações confidenciais e dados pessoais, muitas vezes sensíveis, as empresas devem garantir que o prestador de serviço escolhido mantenha protocolos rígidos de confidencialidade e cumpra os padrões de proteção de dados, sendo, essencial a existência de Acordo de Confidencialidade e de boas cláusulas contratuais.
Ademais, uma comunicação clara sobre o acesso aos dados é crucial. As empresas devem estabelecer o nível de acesso e responsabilidade que o DPO terceirizado terá e definir limitações, restrições e a autonomia do profissional ou empresa, para evitar o tratamento não autorizado de dados e/ou eventuais problemas legais.
Nesse sentido, um contrato bem elaborado é essencial na terceirização do serviço de DPO. Deve delinear claramente as funções, responsabilidades e expectativas de ambas as partes, incluindo procedimentos de notificação de violação de dados e cláusulas de rescisão.
Conclusão
Concluindo, a terceirização do serviço de Data Protection Officer (DPO) pode ser uma decisão muito assertiva para empresas que buscam soluções eficientes de proteção de dados pessoais e, ao mesmo tempo, otimizar custos.
Os benefícios podem ser vários, como menor custo, acesso a diferentes conhecimentos e background, flexibilidade de contratação e maior segurança jurídica. No entanto, é essencial considerar cuidadosamente fatores como confidencialidade, acesso a dados e obrigações contratuais antes de selecionar um fornecedor de terceirização.
Ao realizar o processo de compras e contratação, é importante manter uma comunicação clara, realizar acompanhamentos regulares e fornecer um bom ambiente de trabalho aos prestadores de serviço, para garantir uma experiência de terceirização bem-sucedida.
Em última análise, a terceirização do serviço DPO pode ajudar as organizações a navegar no cenário complexo das regulamentações de proteção de dados e a proteger o insumo mais valioso dessa era: a informação.