O que faz e como se tornar um encarregado de dados
Desde 2020, a Lei Geral de Proteção de Dados obriga empresas a terem um DPO (Data Protection Officer), interno ou terceirizado. Cria-se aí uma nova oportunidade de carreira – veja como seguir nela.
Saiu no Guardian, o jornal britânico, em 2015. Documentos mostravam que a empresa Cambridge Analytica, da Inglaterra, estava coletando e compartilhando indevidamente dados de milhões de usuários do Facebook para campanhas políticas.
Funcionava assim: as pessoas clicavam para jogar um quiz bobinho, e, sem perceber, concordavam em fornecer seus dados para o desenvolvedor – coisas como as páginas curtidas, a idade, a região onde mora. O app também coletava essas informações de todos os amigos do jogador.
Esses dados foram usados pela Cambridge Analytica para personalizar anúncios e propagandas em campanhas políticas, incluindo a do então candidato Donald Trump. No total, mais de 87 milhões de usuários podem ter sido afetados – 440 mil brasileiros.
O app, teoricamente, não descumpria nenhuma norma na coleta em si – o Facebook permitia (e permite até hoje, diga-se) que esses joguinhos armazenem dados do usuário, desde que avisem. Mas os termos de usuário do app não diziam para o que aqueles dados seriam usados. O caso foi um escândalo global. E pressionou autoridades para que a regulação do uso de dados assim fosse mais rígida e clara. A pioneira foi a União Europeia, ainda em 2016. O bloco aprovou a primeira legislação que concentrava uma série de normas sobre como as em – presas devem coletar, armazenar e usar os dados de seus usuários: o Regulamento Geral sobre a Proteção de Dados, ou GDPR.
Não demorou para que o mundo começasse a copiar o texto. Em 2018, o Brasil aprovou a nossa própria versão da norma: a Lei Geral de Proteção de Dados Pessoais (LGPD), em vigor desde 2020. Tanto a GDPR como a LGPD criaram uma nova profissão obrigatória, a da pessoa responsável por garantir que as empresas de fato passariam a cumprir a legislação. É o Data Protection Officer (DPO), chamado também de encarregado de dados.
O guardião dos dados
“O primeiro papel do DPO é ser o principal porta-voz e interlocutor sobre proteção de dados, seja com os titulares de dados, seja com a Autoridade Nacional de Proteção de Dados (ANPD)”, explica Patrícia Peck, sócia do Peck Advogados e conselheira titular do Conselho Nacional de Proteção de Dados (CNPD). Ou seja: se um cliente tiver uma dúvida ou reclamação sobre quais dados a empresa coleta ou como são utilizados, é com o encarregado que deve falar. Por isso, seu nome e contato devem estar públicos para todos, de preferência no site da instituição. O cargo é obrigatório para todas as companhias que armazenem dados – incluindo as pequenas (ainda que haja discussões para tirar essa imposição das menores).
O encarregado também fica em contato com a ANPD, o órgão do governo federal criado para implementar e fiscalizar a LGPD. Caso o poder público tenha algum problema com a empresa, é o DPO que fará a ponte com o governo e tomará as medidas cabíveis.
Por lei, essas duas atividades de comunicação são as principais atribuições do encarregado. Mas o grosso do trabalho do cargo está na última função determinada pela LGPD: “orientar os funcionários da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais”. O texto é vago, de fato. Mas, na prática, isso significa que o encarregado de dados é o responsável por assegurar que não aconteçam novos casos Cambridge Analytica, em suas respectivas proporções. Ele deve entender sobre todo processo da empresa que envolva dados de pessoas. Como e quais informações são coletadas? Quais funcionários têm acesso a esses dados? São usados para que tipo de atividades? E o armazenamento? É seguro?
A partir de toda essa análise, cabe ao DPO formular relatórios, manuais e sugerir alterações para assegurar que a empresa não tenha problemas com a LGPD. Para fazer isso bem feito, o DPO tem que combinar dois tipos de competências: as de teor jurídico, para entender o que pode e o que não pode, e as relacionadas a TI e cibersegurança. Isso porque a LGPD também trata de vazamento de dados acidentais, quando hackers invadem o sistema das companhias para roubá-los, por exemplo. Nos últimos meses, Lojas Renner, JBS e Fleury sofreram ataques do tipo.
“No mercado, há dois perfis de DPO: o cyber, que traz habilidades mais da parte de tecnologia e cibersegurança, e o legal, que tem experiência com legislação, compliance e auditorias”, diz Peck. Em ambos os casos, o profissional deve procurar se atualizar na área em que tiver menos bagagem.
Falar é fácil, fazer é difícil. Por isso mesmo, a LGPD (diferentemente da GDPR) não exige que o encarregado de dados tenha exatamente essas competências para assumir o cargo. Qualquer um pode ser nomeado – inclusive, a lei permite o acúmulo de funções.
Não é incomum que pequenas e médias empresas nomeiem funcionários já contratados, como o próprio responsável pelo setor de T.I. ou alguém formado em Direito que estivesse em outra área. Uma alternativa é contratar uma empresa externa para ser o DPO de seu negócio – a lei permite, e vários escritórios de advocacia e companhias de segurança cibernética já oferecem o serviço.
Empresas maiores, por sua vez, preferem investir em um profissional focado somente na área, o que cria uma nova oportunidade de carreira. Para quem pensa em ser DPO profissional, vale buscar certificações disponíveis no mercado, como a da EXIN e da IAPP, que trazem a combinação dos saberes necessários.
Há ainda uma terceira competência importante para profissionais do ramo, diz Patrícia: a da comunicação. Afinal, a função principal do DPO é ser um porta-voz. Se a empresa se envolver num escândalo de vazamento de dados, é esse o profissional que vai ter que lidar com a bomba – e tentar limpar a imagem da companhia.
Uma pesquisa do Comitê Privacy BR ouviu 83 executivos de grandes empresas para traçar o perfil do DPO no Brasil. Os resultados mostram que, entre os profissionais a assumir o cargo, 30% atuavam no setor jurídico, 16% em segurança da informação, 10% em tecnologia da informação, 10% em gestão de projetos e 8% em compliance.
Uma nova carreira
Para Carla Prado Manso, ser DPO foi um caminho natural. Advogada de formação, ela atuava no setor jurídico da Compugraf, empresa de tecnologia da informação de São Paulo, quando a LGPD entrou em vigor. Então decidiu se candidatar ao cargo para assumir novas aventuras.
A principal mudança foi uma alteração da rotina: o trabalho com contratos e a lida com o juridiquês ficou para trás. Deu lugar a um dia a dia muito mais dinâmico. No papel de DPO, o contato com outras áreas da empresa virou uma constante, especialmente com os setores que mais lidam com dados – o RH e o marketing.
“O DPO precisa ter um bom relacionamento com todas as áreas. Se for uma pessoa chata, daquelas com quem ninguém quer falar, não vai rolar”, brinca Carla. “Às vezes você vai cutucar coisas que as pessoas já estão acostumadas a fazer, mas que precisam mudar.”
Outro desafio para a advogada foi desenvolver as skills necessárias na área de tecnologia. Neste ponto, Carla tem a vantagem de trabalhar em uma empresa relativamente grande, capaz de ter um time misto para dar suporte ao encarregado de dados – algo que está se tornando mais comum, mas ainda caminha devagar. Na pesquisa do comitê Privacy Br, 47% das empresas citaram a equipe reduzida como um dos desafios enfrentados pelo DPO; em 25% delas, a redução era drástica mesmo: o encarregado de dados trabalhava sozinho, sem auxiliares.
“Eu sempre falo: ‘Uma andorinha só não faz verão’. Sem meu time técnico me apoiando, não consigo ser DPO”, diz. “Se o marketing quer comprar um software novo para uma campanha, por exemplo, eu preciso entender como ele funciona e se garante a privacidade da informação”, e aí entra a ajuda da equipe técnica.
Neste ponto, vale lembrar que o DPO não é o comandante supremo dos dados de uma empresa – ele sequer é uma autoridade com poder de mandar e desmandar. “Não é o DPO que vai executar toda a implementação da legislação”, diz Patrícia Peck. Uma das recomendações é sempre formalizar e documentar suas atividades e orientações, para que, caso aconteça algum incidente, não pareça que houve uma omissão – o DPO pode ter feito uma recomendação que não foi implementada
UM DIA NA VIDA
Atividades-chave: Ouvir reclamações e dúvidas de clientes sobre os dados pessoais, fiscalizar a adequação da empresa à LGPD e orientar os funcionários sobre como manter os dados seguros.
Quem contrata: Toda empresa deve ter um encarregado de dados, seja interno, seja externo. Escritórios de advocacia e empresas de T.I. contratam profissionais para servir de DPO remoto a outras companhias. E há as empresas que preferem contratar elas próprias o seu encarregado de dados.
Pontos positivos: É uma profissão nova e obrigatória por lei. Com isso, as chances de iniciar uma carreira duradoura são boas, e quem começar agora sai na frente.
Pontos negativos: As atividades do DPO ainda estão sendo definidas pela ANPD. Além disso, algumas empresas jogam toda a responsabilidade da segurança dos dados no colo do encarregado, sem uma equipe para auxiliá-lo.
Principais competências: Entender a LGPD e conhecimentos de compliance em geral; saber conceitos de cibersegurança e proteção de dados; ter boa comunicação com todos os setores da empresa.
O que fazer para atuar na área: A LGPD não traz nenhum pré-requisito – qualquer um pode ser DPO. Mas as empresas tendem a procurar pessoas com bom conhecimento jurídico.
Salário médio*: até R$ 20 mil
*Fonte: PageGroup