Blog Post

Encarregado de Dados – Quais as competências e certificações realmente necessárias ao profissional?

Encarregado Dados - Quais as competências e certificações realmente necessárias ao profissional?

Antes de mais nada, gostaria de deixar claro que estou usando o termo “Encarregado de Dados” porque está se tornando usual, mas na minha humilde visão o termo correto é “Encarregado pelo Tratamento de Dados Pessoais”, afinal, se recorrermos aos papéis e responsabilidades, todos podem ser encarregados de algo com relação ao dado, além disto, existem outros dados além do pessoal.

O QUE O MERCADO PROCURA?

Me deparo todos os dias com os novos especialistas em privacidade de dados.

Animados com as inúmeras vagas no mercado, boa parte destas, escritas por profissionais da área de gestão de pessoas, com pouca ou nenhuma experiência em Tecnologia da Informação, Segurança da Informação e/ou Privacidade de Dados.

Vagas procurando verdadeiros “Rodrigos Hilberts”, currículos de TI compatíveis com os maiores especialistas da NASA, de Segurança da Informação com os maiores especialistas da CIA e especialistas em LGPD com décadas de experiência na Lei com 3 anos de vida.

Não é de se estranhar este cenário, até porque, só repete o que vimos em outras ondas de especialistas anteriores, quem não conhece pelo menos um “coach”?

ALGUMAS COMPETÊNCIAS DO ENCARREGADO DE DADOS

INTERLOCUÇÃO

Atuando como DPO terceirizado (DPO as a Service) de empresas de diversos segmentos, tem algo que se torna recorrente em todos os trabalhos e que se apresenta como um dos maiores desafios no meu dia a dia como Encarregado pela Proteção de Dados Pessoais destas organizações, a falta de comunicação e interação entre as áreas.

Existe uma falta de humildade e um excesso de orgulho, muito difícil de ser rompido na cultura das empresas. Imagino, o porquê, a Gestão de Pessoas precisa pedir ajuda à outra área ou mesmo especialista externo, para compor uma vaga ou selecionar um especialista!

Após pouco mais de duas décadas dedicadas as diversas especialidades do universo de TI e administração de empresas, as últimas décadas da minha vida profissional foram dedicados a “Governança, Risco e Compliance” (GRC), Segurança da Informação e Privacidade de dados. Me recordo que no meu último emprego CLT, uma gestora ao assistir uma apresentação minha para algumas centenas de educadores, fez um comentário em tom de deboche sobre as minhas especialidades, “em que mais ele é especialista?”. O mais gostoso foi escutar o então diretor financeiro responder à gestora que minha maior especialidade era manter o foco na solução e não no problema. Continuando, explicou que a especialidade é fruto de muita mão na massa, pouca verba e necessidade de solucionar os problemas e, principalmente, humildade em procurar aconselhamento e ajuda dos especialistas nos diversos temas envolvido em qualquer problemática.

Mesmo um Rodrigo Hilbert, deve ter seus defeitos e, com certeza, estuda, se aconselha e troca muitas experiências com especialistas, para conseguir fazer bem tudo que se propõe a fazer.

Este é o meu maior conselho a qualquer profissional de Privacidade de Dados, muito estudo e troca com especialistas.

Já quanto a questão da habilidade de conduzir e implementar a interlocução entre os stakeholders, nada como o tempo e a experiência prática para que isto possa ocorrer. Muito pode ser aprendido em diversas disciplinas das mais diversas áreas de conhecimento, mas a vivência é essencial.

Por sinal, é este um dos motivos que tem levado o aumento de demandas nas empresas especializadas em consultoria, por clientes que precisam refazer o assessment de adequação à LGPD, realizados por alguns escritórios de advocacia.

MULTIDISCIPLINARIDADE

ALGUMAS COMPETÊNCIAS DO ENCARREGADO DE DADOS

A questão da multidisciplinaridade do Encarregado de Dados não é um discurso e, sim, uma necessidade prática.

Hoje, passo boa parte do meu dia analisando contratos, por mais que não seja advogado. Esse compartilhamento de tarefas é fruto do crescimento e maturidade dos departamentos jurídicos das organizações em que atuo como DPO.

Os departamentos de Legal com quem divido meu dia a dia passaram a entender que, mesmo após o DPO disponibilizar a biblioteca de “cláusulas padrão” para LGPD e/ou GDPR, muitas outras cláusulas precisam ser especificadas em função das particularidades envolvidas em cada serviço ou produto.

Para não perder tempo durante as análises, já aponto e proponho, na minha visão e experiência, sugestões de controles que precisam ser determinados em contrato, não só em privacidade, mas Tecnologia, Segurança da Informação e questões gerais de gestão de processos, riscos gerais, finanças e o que mais eu consiga identificar. A maturidade de governança que o DPO pode ajudar a introduzir ou amadurecer nas organizações faz com que esta atitude que poderia ser vista como uma intromissão de um profissional na responsabilidade de outras áreas, seja encarada como um facilitador e indicador de que estamos todos no mesmo barco.

Quando respondo ao solicitante, automaticamente coloco em cópia as diversas áreas que detectei envolvimento direto ou indireto no respectivo contrato, e solicito a análise referente as suas expertises.

Ademais, mesmo que não tenha identificado a necessidade de envolvimento das áreas de Tecnologia e Segurança da Informação sempre os coloco em cópia e solicito o parecer formal, se detectam ou não a necessidade de inclusões de controles ou pontuações específicas. Até porque, cada um tem sua responsabilidade específica e mesmo os processos que parecem não envolver tecnologia, podem trazer surpresas quando analisados por especialistas!

Ressalto que a conversa precisa existir de forma aberta até a conclusão final do processo de ajustes e refinamento do contrato. É necessário humildade para aceitar a recusa do jurídico a solicitações de inclusão de pontos ou controles e, por sua vez, é necessária a mesma atitude de humildade e compreensão do Legal quando o DPO resolver formalizar em um documento específico as solicitações de inclusão que foram recusadas, afinal, o DPO terá que responder perante a ANPD e a própria organização que representa, em caso de incidentes de dados ou mesmo dúvidas quanto ao tema

EXPERIÊNCIA DO ENCARREGADO DE DADOS

Na última semana, solicitei, mesmo em plena pandemia da Covid-19, uma reunião formal e presencial com um fornecedor cujo contrato permanecia com a necessidade de adequação à LGPD e estava sendo revisto e negociado a meses, sem um acordo definitivo. Adotadas todas as medidas de segurança à saúde de todos os envolvidos, tive o total apoio da organização que represento para que os representantes de todas as áreas envolvidas estivessem presentes, incluindo o próprio diretor.

Na reunião, nossa equipe apresentou uma enorme evolução de maturidade, deu um show de envolvimento e entendimento dos riscos e implicações de cada atividade, cada especialista se posicionou e quando não chegava a um consenso com o fornecedor, solicitava formalmente para documentarmos os riscos assumidos pelo fornecedor.

Do lado do fornecedor, nos deparamos com um advogado querendo explicar o que está escrito nas leis, tanto LGPD, quanto GDPR e um rapaz que futuramente assumirá como DPO. O advogado até tentava desenvolver os assuntos, mas sem o apoio de uma equipe multidisciplinar, se via perdido em meio a tanta informação. Já o futuro DPO, entrou e saiu calado.

CERTIFICAÇÕES DO ENCARREGADO DE DADOS

CERTIFICAÇÕES DO ENCARREGADO DE DADOS

Como no exemplo acima, vemos que alguns profissionais acreditam estar preparados para LGPD nos treinamentos de final de semana, com as “pseudo certificações” que surgem de instituições que nunca ouvimos falar ou certificações de instituições que querem surfar nesta onda e não veem o risco que manchar histórias tão bonitas, ao não entenderem o que realmente deveria envolver uma certificação relativa a temas como LGPD e GDPR.

Em 2021, ainda nos deparamos com profissionais que acreditam no “Grátis”, optando por cursos que são criados apenas para pescar novos alunos para as instituições envolvidas!

A LGPD traz que o encarregado seja detentor de conhecimento jurídico-regulatório, mas não fala sobre a certificação. De qualquer maneira, nada melhor para comprovar que o profissional tem os conhecimentos básicos quanto ao tema do que uma certificação emitida por um instituto renomado e reconhecido internacionalmente no tema, como exemplo a EXIN.

Mas isto não quer dizer que o profissional esteja pronto para atuar como Encarregado de Dados, minha sugestão é que entenda o histórico deste profissional, se atuou em empresas de Consultoria e principalmente, se precisou colocar a mão na massa resolvendo os problemas do dia a dia dos departamentos de organizações de diversos portes.

OUTRO DESAFIO DO ENCARREGADO DE DADOS

A falta de valorização real com relação ao tema é muito maior do que se pode imaginar, tenho recebido trabalhos de renomados escritórios de advocacia quanto a adequação à LGPD, que como DPO preciso ignorar e iniciar do zero um novo trabalho. Recentemente, em um deles, resolvi contratar uma das mais renomadas consultorias mundiais para me auxiliar no processo de assessment, já que não possuía disponibilidade de recursos internos na ocasião e, tendo em vista a importância da organização, seria importante um olhar diferenciado quanto ao tema.

Ao receber os “Relatórios de Operação de Tratamento de Dados Pessoais” (R.O.P.A.), me deparei com diversos erros de análise. E, ao receber os primeiros “Relatórios de Impacto a Proteção de Dados” (RIPD ou DPIA), faltavam dados básicos para o trabalho do DPO e havia inconsistências nos dados analisados no DPIA quando comparados com o ROPA. Fico imaginando a quantidade de empresas que contrataram estes renomados e os extensos entregáveis se quer passaram por uma revisão adequada. Triste imaginar que estas sérias organizações que contrataram grifes, se sentem seguras e acreditam ter assegurado os dados pessoais de tantos frágeis titulares de dados, como nós.

O ENCARREGADO DE DADOS E OS DEPARTAMENTOS DE TI SUBVALORIZADOS

O ENCARREGADO DE DADOS E OS DEPARTAMENTOS DE TI SUBVALORIZADOS

Na última semana, nos deparamos com uma campanha bonita e emocionante dos profissionais de uma grande rede de varejo que gravaram um vídeo em apoio a área de TI, dizendo do orgulho que as outras áreas sentem pelo trabalho dessa equipe que trabalhava desesperadamente para retornar os sistemas após um ataque hacker.

Em uma clara evidencia de rastros de um Plano de Continuidade e/ou Desaster Recover, mesmo que informal, a equipe de TI conseguiu em 48 horas restaurar o funcionamento, pelo menos no front-end.

Não posso deixar de parabenizar toda equipe de Tecnologia e Segurança da informação pelo trabalho realizado no reestabelecimento do negócio.

Resta-nos torcer que este apoio e reconhecimento manifestado nas mídias sociais, das outras áreas para com o departamento de TI, realmente perdure e não passe apenas de mais uma campanha de marketing para desviar o foco de uma, tão normal, subvalorização do trabalho da área de Tecnologia e Segurança da Informação.

Apesar de todo o sufoco, estes momentos de recuperação de crise trazem uma excelente oportunidade para fortalecer a sinergia entre as áreas da organização e reforçar a importância de temas como Segurança da Informação e Privacidade de Dados, que podem realmente ser incorporados ao DNA da organização.

O ENCARREGADO DE DADOS E A GOVERNANÇA CORPORATIVA

Em pleno século 21, nos deparamos com a dura realidade de empresas que se quer conhecem sua “Cadeia de Valor” e dizem possuir um gerenciamento eficaz de riscos. Empresas que consideram a área de Tecnologia da Informação uma mera área de apoio e áreas de Segurança da Informação, Compliance, Privacidade de Dados, Controles Internos, entre outras, como burocracias organizacionais.

Neste momento, é impossível não me recordar do meu amigo, parceiro de negócios e mentor, Prof. Marcos Assi. Não é à toa que há muito tempo ele insiste em falar sobre o gerenciamento de condutas, mudanças de posturas para a implementação de uma cultura organizacional voltada a controles internos, compliance e riscos.

O ENCARREGADO DE DADOS E A REDE DE APOIO E TRABALHO EM EQUIPE

Resumidamente, todo DPO precisa contar com grupos de apoio como o que temos entre os profissionais do IBRASPD, onde a troca é constante, as divergências são recorrentes, mas sempre prevalece a busca por um consenso em prol de ajudar a educação, adequação e normatização deste novo mercado onde ninguém sabe tudo, afinal nem tudo está definido e nem “tudo” ainda aconteceu.

Com apoio de grupos como o citado acima, equipes multidisciplinares internas e, principalmente, conseguindo convencer que todos os especialistas da empresa precisam trabalhar em busca do bem comum da organização e não apenas da sua área, o verdadeiro compliance e a verdadeira adequação e processo de aculturamento ocorre.

CARACTERÍSTICAS DE UM BOM ENCARREGADO DE DADOS

O DPO não precisa ser o Rodrigo Hilbert, mas é interessante que este possua algumas características:
Experiencia multidisciplinar;

  • Humildade e disponibilidade;
  • Prazer em colocar a mão na massa;
  • Perfil de educar pelo exemplo;
  • Ter experiência em integração de equipes e gerenciamento de conflitos;
  • Facilidade de comunicação com diferentes públicos;
  • Gosto por estudo e aprofundamento no tema de privacidade de dados;
  • Interesse em conhecer sobre novos processos e atividades; e
  • Como a cereja do bolo, um certificado de reconhecimento (se possível internacional) emitido por instituição renomada no tema.

***

Gostou do tema abordado neste artigo? Então, deixe o seu comentário abaixo e ative as notificações para receber mais publicações como esta.

Abraços e até a próxima!

mm

Sobre Edson Costa

É o DPO e Head de Segurança e Proteção de Dados Pessoais do Studio Estratégia. Também, é CEO e Fundador da EC Consulting, graduado em Engenharia Eletrônica pela Fundação Armando Alvares Penteado – FAAP, especialista em Governança, Risco e Compliance (GRC), Gestão e Tecnologia em Segurança da Informação (DM Business School e Faculdade Impacta de Tecnologia), certificado Data Protection Officer (DPO) pela EXIN, instrutor certificado pela EXIN ISFS, PDPE, PDPF e PDPP, Membro ANPPD® e parceiro do Studio Estratégia para execução de serviços de implementação de Segurança da Informação e Proteção de Dados (GDPR e LGPD). Instrutor oficial da EXIN para certificação de profissionais como DPO. DPO (Terceirizado) de importantes e conceituadas empresas de pequeno, médio e grande porte.

Deixe seu comentário