Com vigência iniciada em 18 de setembro de 2020, a Lei Geral de Proteção de Dados (LGPD), como você já deve saber, traz várias exigências e novidades. Entre elas, a criação de uma nova função dentro das organizações: o encarregado pelo tratamento de dados pessoais - ou Data Protection Officer (DPO), nomenclatura em inglês difundida internacionalmente.

Podemos resumir o DPO como o profissional responsável pela proteção de dados dentro da cooperativa, com a missão de garantir a segurança das informações tanto de clientes e cooperados quanto da própria cooperativa, conforme as determinações da LGPD.

No Brasil, país mais propenso a sofrer violações de segurança da informação, segundo pesquisa do Instituto Ponemon, a figura do DPO ganha ainda mais relevância. Por isso, neste texto, vamos entender as responsabilidades da nova função, a importância dela, como nomear ou contratar alguém para a posição, entre outras questões.

Caso você queira saber mais sobre a LGPD e todas as suas determinações, válidas para todas as cooperativas e Unidades do Sistema OCB, recomendamos a leitura do nosso e-book sobre o tema.

A importância do DPO para organização fica evidente quando lembramos de casos como do Facebook e da empresa de análise de dados Cambridge Analytica, no qual houve o vazamento de dados de 87 milhões de usuários de 10 países, incluindo quase 445 mil brasileiros. É justamente para evitar problemas como este que agora existe a figura do DPO.

Ele auxilia a cooperativa a adaptar seus processos para estruturar um programa de compliance com foco em maior segurança das informações. A sua atuação, porém, não é aleatória. Ela segue regras específicas reforçadas pela legislação nacional (a LGPD), feita com base no Regulamento Geral de Proteção de Dados da União Europeia (GDPR, na sigla em inglês), criado em 2016 e que trata da segurança de informação dos cidadãos na Europa.

O DPO precisa atuar com a maior transparência possível e, acima de tudo, entender sobre as legislações de segurança da informação no Brasil e no mundo. Ele deve garantir que o usuário tenha controle sobre os dados que serão coletados, além de entender exatamente o que a cooperativa fará com tais dados.

Como o DPO é a pessoa que mais entende sobre os perigos e os mecanismos de segurança, ele acaba se tornando uma referência interna no assunto. Por isso, também precisa se dedicar à conscientização e divulgação da LGPD para os demais colaboradores da organização.

Na prática, o DPO tem várias funções e até por isso é recomendável ter alguém dedicado ao cargo, sem sobreposição de tarefas na cooperativa.

Vamos conhecer algumas dessas funções:

• Receber as reclamações e comunicações dos titulares dos dados;
• Prestar esclarecimentos;
• Adotar providências;
• Receber comunicações da Autoridade Nacional de Proteção de Dados (ANPD), órgão responsável por regular, fiscalizar, sancionar e educar;
• Repassar atualizações aos gestores e dirigentes da cooperativa, guiando ações nas mudanças que forem exigidas;
• Orientar os funcionários e os contratados da cooperativa a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;
• Aplicar treinamento aos colaboradores da organização para que se adequem às boas práticas da utilização de dados;
• Apoiar os processos que contribuem para evitar multas de compliance e outras penalidades por conta do descumprimento da LGPD;
• Executar as demais atribuições determinadas pela cooperativa ou estabelecidas em normas complementares.

Inclusive, a identidade e informações de contato do DPO devem ser publicadas, de forma clara e objetiva, no site da própria cooperativa, para facilitar o contato com todas as partes: clientes e cooperados (titulares dos dados), funcionários e ANPD.

Com o DPO envolvido em todas as ações de proteção de dados, a cooperativa garante maior assertividade às suas iniciativas e evita possíveis sanções, que passam a valer em agosto de 2021. Pode ser aplicada desde advertência simples até multas que podem chegar a R$ 50 milhões, dependendo do faturamento anual da organização.

Agora que você já sabe o que é um DPO e qual a sua importância, você deve estar se perguntando como identificar e nomear o profissional para tal função. É aqui que surgem as dúvidas, porque a legislação, seja LGPD ou GPDR, não estabelece uma formação obrigatória e específica para o profissional que pretende atuar como DPO.

A assessora jurídica do Sistema OCB, Ana Paula Rodrigues, conta que essa dificuldade não é exclusiva do Brasil. “A escolha do DPO ainda suscita muitas dúvidas. Durante um intercâmbio jurídico que fizemos para uma universidade na Itália, vimos que essa questão também gerou muitos debates por lá, discutindo-se qual seria a melhor formação para um encarregado de dados”, conta Ana Paula.

O entendimento, segundo ela, é que não importa se é um profissional do direito, da tecnologia da informação (TI) ou de outra área, mas sim qual conhecimento técnico que se possui. O essencial é ter conhecimentos multidisciplinares sobre o que dispõe a lei.

“Na ausência dessa definição do ponto de vista normativo, estamos usando algumas boas práticas e sinalizações dos profissionais que atuam no direito digital. Por exemplo, além de conhecimento da lei, de direito e de TI, a recomendação é possuir habilidades de administração, segurança da informação, governança, compliance, gestão de riscos, entre outras”, afirma a assessora jurídica do Sistema OCB.

Embora não haja uma exigência da lei por uma alguma formação específica, já existem várias certificações em LGPD e formações para DPO no mercado. Capacitar um profissional que já atua na cooperativa pode ser uma ótima solução.

Além do conhecimento multidisciplinar e de uma boa comunicação, já que ele é o ponto de contato da cooperativa, é importante destacar que o DPO precisa conhecer muito bem a dinâmica da organização, seus processos e iniciativas que captam e tratam dados pessoais.

E não podemos esquecer que o DPO precisa trabalhar de maneira integrada com o departamento de TI, a fim de criar mecanismos para proteger os dados do acesso de pessoas não autorizadas, eliminando toda e qualquer brecha de segurança.

No Centro Cooperativo Sicoob (CSS), por exemplo, foi designada como DPO a atual gerente de Segurança da Informação, Karla Cavalcanti de Almeida Castro, que conhece muito bem o sistema Sicoob e tem experiência nas áreas de TI, governança corporativa, segurança da informação e cibernética, compliance e riscos.

Além disso, foi estabelecida, no âmbito de todo o Sicoob, a designação dos DPOs diretamente pelas singulares, podendo ser consolidado na cooperativa central. Essa orientação busca melhor aderência às realidades regionais de cada cooperativa, informa o Sicoob.

Outras cooperativas, como Unimed, Sicredi e Sistema Ailos, também adotaram a mesma posição, dando autonomia às singulares para a nomeação do seu encarregado de dados. No caso do Ailos, todos os DPOs das singulares respondem diretamente ao DPO da Central Ailos. A nomeação é feita pela Diretoria Executiva e homologada pelo Conselho de Administração de cada cooperativa.

Na Central Nacional Unimed (CNU), após um assessment executado pela consultoria da PwC, foi definida com a alta gestão a criação de um grupo de trabalho composto por várias áreas, que juntas formam o DPO corporativo na CNU e têm responsabilidade e comprometimento com ações efetivas no projeto de aderência à LGPD.

“Como o DPO é um grupo multidisciplinar, há em sua composição áreas como Compliance, Jurídico, Segurança da Informação, Riscos, Processos e Governança de Dados, que por meio de estratégias fortalecem as visões que um projeto de aderência à LGPD exige”, explica Carlos Alberto Campos Ferreira, coordenador de Segurança da Informação e Continuidade de Negócios da Central Nacional Unimed.

No Sicredi, as nomeações ocorrem por meio da indicação, pelo Conselho de Administração, de um dos diretores de cada cooperativa singular. “A orientação corporativa é de que sejam nomeados os diretores responsáveis pelo gerenciamento de risco de cada entidade, uma vez que o Sicredi trata privacidade de dados como uma disciplina de risco”, explica Júlio Cardozo, diretor-executivo de Riscos e DPO do Sicredi.

Para facilitar o trabalho do DPO no Sicredi, existe o Programa de Privacidade de Dados do Sicredi, que é baseado em quatro grandes pilares (frentes de trabalho):

1.    a avaliação das relações jurídicas do Sicredi com o mercado (associados, parceiros, fornecedores);

2.    a implementação de procedimentos em tecnologia da informação ligada à proteção e privacidade dos dados;

3.    a avaliação dos processos de negócio para avaliar seus tratamentos de dados;

4.    e o treinamento e conscientização sobre privacidade de dados dos colaboradores, dirigentes e terceiros.

“O programa contempla processos corporativos de forma que tanto o CAS (Centro Administrativo Sicredi) quanto cooperativas e centrais estão recebendo as ações de adequação. No que toca especificamente às cooperativas e seus processos particulares (não corporativos), que no Sicredi são minoria, produzimos orientações sistêmicas a respeito das adequações necessárias”, explica o DPO do Sicredi Confederação.

A função de DPO pode ser desempenhada tanto por uma pessoa física quanto por uma pessoa jurídica, empregada ou não da cooperativa. Sendo assim, esse papel não precisa, necessariamente, ser exercido por um empregado, podendo, inclusive, ser terceirizado.

A terceirização é uma saída quando a cooperativa - especialmente as de menor porte - tem dificuldade de contratar alguém para a vaga, já que, conforme vimos, se trata de uma função nova e que combina habilidades de diferentes áreas. Dessa forma, pode ocorrer a contratação de uma empresa de consultoria ou escritórios de advocacia especializados em segurança de dados.

A assessora jurídica do Sistema OCB, Ana Paula Rodrigues, ressalta que a cooperativa deve analisar o que faz mais sentido para a sua realidade, mas lembra que, ao terceirizar, “é imprescindível que a cooperativa promova a ambientação do profissional com todos os processos e a cultura da organização”.

Toda novidade gera dúvidas e demanda adaptação, e com o DPO não é diferente. Como ele atua como “guardião” dos dados da cooperativa, é importante que a organização também propicie uma estrutura de segurança para ele.

Por isso, para finalizar, uma dica importante é a criação de grupos/comitês de trabalho, tanto para a implantação da LGDP quanto para a manutenção posterior. Os grupos podem ser formados por profissionais de diferentes áreas, como as citadas ao longo do texto: administração, compliance, jurídico, TI, segurança da informação, entre outros. Essa boa prática fortalece as ações voltadas para a implementação da LGPD ao envolver outras pessoas da instituição.

De fato, a segurança da informação nunca esteve em tanta evidência como agora, em especial no Brasil. Em 2019, os ataques cibernéticos representaram uma perda financeira de R$ 80 bilhões às empresas brasileiras, segundo levantamento da União Internacional de Telecomunicações (UIT), agência especializada da Organização das Nações Unidas (ONU). Portanto, adequar-se à legislação não é uma questão apenas de conformidade com a lei, mas de saúde financeira do negócio.

Se você deseja se aprofundar no tema, assista ao webinar Proteção de Dados na Prática, do Sistema OCB, que contou com as participações de Patrícia Peck, advogada especialista em Direito Digital, Propriedade Intelectual, Proteção de Dados e Cibersegurança; e Cristhian Groff, advogado especialista em Direito Cível empresarial e Direito Digital.