DPO - Data Protection Officer - Forense Digital - Pentest

O Data Protection Officer ou DPO é o profissional responsável por aconselhar e verificar se as leis LGPD e GDPR estão sendo aplicadas e gerenciadas da forma correta ao processarem e tratarem dados pessoais de terceiros.

Perfil do DPO segundo a EXIN

O Profissional de Segurança da Informação é um dos concorrentes naturais ao cargo de DPO, uma vez que a proteção de dados é o maior desafio das empresas para manterem a conformidade com as leis de privacidade. Concorrem com os profissionais de SI os advogados e outros profissionais voltados para a conformidade dentro das empresas, mas seja qual for a origem do DPO, este terá que trabalhar muito alinhado ou mesmo acumular funções com a área de segurança da informação e com o departamento jurídico. O conhecimento em segurança é fundamental para avaliar a efetividade e contribuir para a eficiência dos mecanismos de proteção, já o conhecimento da lei é indispensável para a correta avaliação da legalidade dos processamentos a serem executados pela organização.

O Perfil desejado para o DPO é o de um profissional híbrido que independentemente de sua origem precisará expandir seu conhecimento para uma outra área. Essa necessidade é o motivo para uma certificação tão completa como DPO, que envolve segurança da informação, legislação e estabelecimento de um sistema de gestão para garantir que a privacidade e proteção de dados seja parte do cotidiano da empresa, e não apenas um projeto.

Nos termos do item (1) do art. 37 do GDPR, em três hipóteses a indicação do DPO será obrigatória.

a) quando o tratamento de dados é realizado por uma autoridade ou organismo público, com exceção de autoridades que exerçam atividade jurisdicional;
b) quando a entidade está envolvida em monitoramento sistemático e em larga escala de dados pessoais de usuários; ou
c) quando a entidade processa ou controla dados pessoais sensíveis, conforme art. 9 do GDPR, ou relativos a condenações ou delitos criminais, conforme art. 10 do GDPR.

1 Art. 39 do GDPR

2 Art. 3º do GDPR

3 Art. 41. O responsável deverá indicar um encarregado pelo tratamento de dados pessoais. (…) §2º As atividades do encarregado consistem em: I – receber reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências; II – receber comunicações do órgão competente e adotar providências; III – orientar funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoas; e IV – demais atribuições determinadas pelo responsável ou estabelecidas em normas complementares. (…)

“O responsável pela condução dos projetos deve executar, juntamente com o DPO, uma avaliação da maturidade dos processos e ciclo de vida fluxos de dados, bem como uma análise de riscos das aplicações levando em consideração sua arquitetura, modelo de desenvolvimento, vulnerabilidade de código, modelo de integração, comunicação e negócio.

Empresas que tratam (Art. 5º; Inciso X) dados de pessoas físicas são denominadas como Controlador, desta forma, este artigo tem como principal objetivo conscientizar gestores e futuros DPOs (data protection officer e/ou encarregado de dados) sobre a gravidade e os riscos de vazamentos de informações de dados pessoais sensíveis, que podem agravar ao máximo as multas em uma empresa, podendo até levá-la à falência.” Alex Amorim para
http://www.securityreport.com.br/colunas-blogs/rh-esta-preparado-para-a-lgpd/

O Art. 5º da LGPD esclarece a diferença entre dados pessoais e dados pessoais sensíveis:

I – Dado pessoal: informação relacionada a pessoa natural identificada ou identificável.

II – Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

Referências:

https://www.migalhas.com.br/dePeso/16,MI280808,31047-O+Data+Protection+Officer+DPO

https://www.exin.com/br-pt/o-caminho-do-dpo-data-protection-officer/

http://www.securityreport.com.br/colunas-blogs/rh-esta-preparado-para-a-lgpd/