Com vigência iniciada em 18 de setembro de 2020, a Lei Geral de Proteção de Dados (LGPD) traz várias exigências e novidades para as cooperativas. Dentre elas, está a criação de uma nova função dentro das organizações: o encarregado pelo tratamento de dados pessoais - ou Data Protection Officer (DPO), nomenclatura em inglês difundida internacionalmente.

Podemos resumir o DPO como o profissional responsável pela proteção de dados dentro da cooperativa. O cargo, portanto, tem a missão de garantir a segurança das informações tanto de clientes e cooperados quanto da própria cooperativa, conforme as determinações da LGPD.

O vazamento de dados é um problema no Brasil, que foi o 12º país com mais vazamentos no mundo em 2022. Nesse cenário, a figura do DPO ganha ainda mais relevância. Por isso, neste artigo vamos entender as responsabilidades da nova função, a importância dela, como nomear ou contratar alguém para a posição, entre outras questões.

E caso você queira saber mais sobre a LGPD e todas as suas determinações, válidas para todas as cooperativas e Unidades do Sistema OCB, confira nosso e-book sobre o tema!

Qual é a importância do DPO 

A importância do DPO para as cooperativas fica evidente quando lembramos de casos como do Facebook e da empresa de análise de dados Cambridge Analytica. Na ocasião, houve o vazamento de dados de 87 milhões de usuários de 10 países, incluindo quase 445 mil brasileiros. É justamente para evitar problemas como este que agora existe a figura do DPO.

Ele auxilia a cooperativa a adaptar seus processos para estruturar um programa de compliance com foco em maior segurança das informações. A sua atuação, porém, não é aleatória. Ela segue regras específicas reforçadas pela legislação nacional (a LGPD), feita com base no Regulamento Geral de Proteção de Dados da União Europeia (GDPR, na sigla em inglês), criado em 2016 e que trata da segurança de informação dos cidadãos na Europa.

O DPO precisa atuar com a maior transparência possível e, acima de tudo, entender sobre as legislações de segurança da informação no Brasil e no mundo. Ele deve garantir que o usuário tenha controle sobre os dados que serão coletados, além de entender exatamente o que a cooperativa fará com tais dados.

Como o DPO é a pessoa que mais entende sobre os perigos e os mecanismos de segurança, ele acaba se tornando uma referência interna no assunto. Por isso, ele também precisa se dedicar à conscientização e divulgação da LGPD para os demais colaboradores.

As funções do DPO em uma cooperativa

Na prática, o DPO tem várias funções e, até por isso, é recomendável ter alguém dedicado ao cargo, sem sobreposição de tarefas na cooperativa. Confira algumas dessas funções:

• Receber as reclamações e comunicações dos titulares dos dados;

• Prestar esclarecimentos;

• Adotar providências necessárias;

• Receber comunicações da Autoridade Nacional de Proteção de Dados (ANPD), órgão responsável por regular, fiscalizar, sancionar e educar;

• Repassar atualizações aos gestores e dirigentes da cooperativa, guiando ações nas mudanças que forem exigidas;

• Orientar os funcionários e os contratados da cooperativa a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;

• Aplicar treinamento aos colaboradores da organização para que se adequem às boas práticas da utilização de dados;

• Apoiar os processos que contribuem para evitar multas de compliance e outras penalidades por conta do descumprimento da LGPD;

• Executar as demais atribuições determinadas pela cooperativa ou estabelecidas em normas complementares.

Inclusive, a identidade e informações de contato do DPO devem ser publicadas, de forma clara e objetiva, no site da própria cooperativa. A ideia é facilitar o contato com todas as partes: clientes e cooperados (titulares dos dados), funcionários e ANPD.

Com o DPO envolvido em todas as ações de proteção de dados, a cooperativa garante maior assertividade às suas iniciativas e evita possíveis sanções. A primeira multa aplicada pela ANPD aconteceu em 2023. As punições possíveis vão desde advertência simples até multas que podem chegar a R$ 50 milhões, dependendo do faturamento anual da organização.

Perfil e formação do DPO

Agora que você já sabe o que é um DPO e qual a sua importância, você deve estar se perguntando como identificar e nomear o profissional para tal função. É aqui que surgem as dúvidas, porque a legislação, seja LGPD ou GPDR, não estabelece uma formação obrigatória e específica para o profissional que pretende atuar como DPO.

Ana Paula Rodrigues, assessora jurídica do Sistema OCB, conta que essa dificuldade não é exclusiva do Brasil. “A escolha do DPO ainda suscita muitas dúvidas. Durante um intercâmbio jurídico que fizemos para uma universidade na Itália, vimos que essa questão também gerou muitos debates por lá, discutindo-se qual seria a melhor formação para um encarregado de dados”, conta.

O entendimento, segundo ela, é que não importa se é um profissional do direito, da tecnologia da informação (TI) ou de outra área, mas sim qual conhecimento técnico que se possui. Ou seja: o essencial é ter conhecimentos multidisciplinares sobre o que dispõe a lei.

“Na ausência dessa definição do ponto de vista normativo, estamos usando algumas boas práticas e sinalizações dos profissionais que atuam no direito digital. Por exemplo, além de conhecimento da lei, de direito e de TI, a recomendação é possuir habilidades de administração, segurança da informação, governança, compliance, gestão de riscos, entre outras”, afirma Ana Paula.

Embora não haja uma exigência da lei por alguma formação específica, já existem várias certificações em LGPD e formações para DPO no mercado. Capacitar um profissional que já atua na cooperativa pode ser uma ótima solução.

Conhecimento da dinâmica da cooperativa

Além do conhecimento multidisciplinar e de uma boa comunicação, já que ele é o ponto de contato da cooperativa, o DPO também precisa conhecer muito bem a dinâmica da organização, seus processos e iniciativas que captam e tratam dados pessoais.

E não podemos esquecer que o DPO precisa trabalhar de maneira integrada com o departamento de TI. A parceria precisa criar mecanismos para proteger os dados do acesso de pessoas não autorizadas, eliminando toda e qualquer brecha de segurança.

No Centro Cooperativo Sicoob (CSS), por exemplo, foi designada como DPO a atual gerente de Segurança da Informação, Karla Cavalcanti de Almeida Castro, que conhece muito bem o sistema Sicoob e tem experiência nas áreas de TI, governança corporativa, segurança da informação e cibernética, compliance e riscos.

Além disso, o Sistema Sicoob estabeleceu que cada singular pode designar seu próprio DPO. Essa orientação busca melhor aderência às realidades regionais de cada cooperativa, informa o Sicoob.

Abordagem sobre DPOs no cooperativismo

Outras cooperativas, como Unimed, Sicredi e Sistema Ailos, também adotaram a mesma posição, dando autonomia às singulares para a nomeação do seu encarregado de dados. No caso do Ailos, todos os DPOs das cooperativas singulares respondem diretamente ao DPO da Central Ailos. A nomeação é feita pela Diretoria Executiva e homologada pelo Conselho de Administração de cada cooperativa.

Na Central Nacional Unimed (CNU), após um diagnóstico executado pela consultoria da PwC, foi definida com a alta gestão a criação de um grupo de trabalho composto por várias áreas. Juntas, elas formam o DPO corporativo na CNU que tem responsabilidade e comprometimento com ações efetivas no projeto de aderência à LGPD.

No Sicredi, as nomeações ocorrem por meio da indicação, pelo Conselho de Administração, de um dos diretores de cada cooperativa singular. A orientação corporativa é de que sejam nomeados os diretores responsáveis pelo gerenciamento de risco de cada entidade, uma vez que o Sicredi trata privacidade de dados como uma disciplina de risco.

Para facilitar o trabalho do DPO no Sicredi, existe o Programa de Privacidade de Dados do Sicredi, que é baseado em quatro grandes pilares (frentes de trabalho):

1. A avaliação das relações jurídicas do Sicredi com o mercado (associados, parceiros, fornecedores).

2. A implementação de procedimentos em tecnologia da informação ligada à proteção e privacidade dos dados.

3. A avaliação dos processos de negócio para avaliar seus tratamentos de dados.

4. O treinamento e conscientização sobre privacidade de dados dos colaboradores, dirigentes e terceiros.

O programa contempla processos corporativos de forma que tanto o CAS (Centro Administrativo Sicredi) quanto cooperativas e centrais estão recebendo as ações de adequação.

É possível terceirizar a função de um DPO?

A função de DPO pode ser desempenhada tanto por uma pessoa física quanto por uma pessoa jurídica, empregada ou não da cooperativa. Sendo assim, esse papel não precisa, necessariamente, ser exercido por um empregado, podendo, inclusive, ser terceirizado.

A terceirização é uma saída quando as cooperativas - especialmente as de menor porte - têm dificuldade de contratar alguém para a vaga. Trata-se, afinal, de uma função nova e que combina habilidades de diferentes áreas. Dessa forma, pode ocorrer a contratação de uma empresa de consultoria ou escritórios de advocacia especializados em segurança de dados.

A assessora jurídica do Sistema OCB, Ana Paula Rodrigues, ressalta que a cooperativa deve analisar o que faz mais sentido para a sua realidade. No entanto, ela aponta que, ao terceirizar, “é imprescindível que a cooperativa promova a ambientação do profissional com todos os processos e a cultura da organização”.

Em nossos cases de inovação, contamos a história da Cooprodados, primeira cooperativa especializada em serviços de LGPD no Brasil. A Cooprodados, por exemplo, oferece o serviço de DPO terceirizado.

Conclusão

Toda novidade gera dúvidas e demanda adaptação, e com o surgimento do DPO não é diferente. Como ele atua como “guardião” dos dados da cooperativa, é importante que a organização também propicie uma estrutura de segurança para ele.

Por isso, para finalizar, uma dica importante é a criação de grupos/comitês de trabalho, tanto para a implantação da LGDP quanto para a manutenção posterior. Os grupos podem ser formados por profissionais de diferentes áreas, como as citadas ao longo do texto: administração, compliance, jurídico, TI, segurança da informação, entre outros. Essa boa prática fortalece as ações voltadas para a implementação da LGPD ao envolver outras pessoas da instituição.

De fato, a segurança da informação nunca esteve em tanta evidência como agora, em especial no Brasil. O país sofreu mais de 100 bilhões de tentativas de ataques cibernéticos em 2022, segundo a Fortinet. Portanto, adequar-se à legislação não é uma questão apenas de conformidade com a lei, mas de governança do negócio.

Se você deseja se aprofundar no tema, assista ao webinar Proteção de Dados na Prática, do Sistema OCB, que contou com as participações de Patrícia Peck, advogada especialista em Direito Digital, Propriedade Intelectual, Proteção de Dados e Cibersegurança; e Cristhian Groff, advogado especialista em Direito Cível empresarial e Direito Digital e DPO do Sistema OCB. Confira, também, o portal LGPD no Cooperativismo!