À medida que as empresas se esforçam para estar em conformidade com a nova Lei Geral de Proteção de Dados Pessoais (LGPD), que inclui a exigência de nomear um Encarregado de Dados, também conhecido por DPO, cresce cada dia mais a estratégia de optar pela modalidade do DPO as a Service.
A contratação do DPO no formato terceirizado tem algumas vantagens: permite atender de maneira mais imediata aos requisitos da legislação e trazer um profissional mais especializado de maneira a assegurar uma atuação a nível estratégico e tático com foco em privacidade e proteção de dados, principalmente no que tange a análises, avaliações e acompanhamento da evolução dos requisitos de privacidade e na identificação de riscos ao negócio.
Além disso, é mais econômico do que aumentar o quadro da equipe e também permite ganhar tempo para definir e treinar um DPO interno no caso da decisão de que ele venha a assumir esta função.
DPO as a service: opção mais atrativa
Sendo assim, ante a necessidade de observar todas as premissas trazidas pela legislação, o arranjo terceirizado (DPO as a Service) acaba sendo a opção mais atrativa, por beneficiar as organizações com um conjunto amplo de habilidades técnicas, jurídicas, de segurança cibernética e de mitigação de riscos. Tendo, em princípio, um custo menor do que seria recrutar profissionais especializados em várias frentes de atuação e por tempo integral.
No caso de Grupos Econômicos, é importante avaliar o modelo de governança de privacidade para mitigar o risco de aplicação de multa sobre o faturamento total do Grupo, e um dos elementos de conexão é a centralização em um único DPO. Logo, o uso do contrato de DPO as a Service também serve para trazer um reforço e apoiar a governança em grupos de empresas.
É certo que as organizações devem compreender as possíveis preocupações que existem em seu ambiente organizacional e, principalmente, quando envolvem terceiros contratados. É fundamental que os controladores gerenciem como o tratamento dos dados é realizado por seus operadores, sobretudo porque estes agentes estão sujeitos às delegações e orientações daquele que estabelece as “regras do jogo”.
Aumento de incidentes de segurança
De acordo com uma pesquisa realizada pela Fundação Dom Cabral (FDC), 60% das empresas ignoram o alto impacto e a alta probabilidade de ocorrência de um incidente de segurança relacionado ao risco cibernético. E, recente levantamento da Checkpoint Research apontou que ataques cibernéticos no Brasil cresceram 122% em julho deste ano.
Esse aumento considerável de ameaça de fraudes e ataques cibernéticos tem impulsionado as pautas nos comitês executivos das empresas. A preocupação permeia sobretudo a necessidade de adoção de estratégias de gerenciamento de riscos cibernéticos para mitigar os riscos de incidentes.
Os desafios enfrentados são constantes, dada a engenhosidade dos cibercriminosos. Além dos riscos financeiros e dos prejuízos aos consumidores, os incidentes de segurança trazem riscos reputacionais e jurídicos, sendo uma das maiores ameaças ao ambiente corporativo.
Pesquisas revelam que 60% das empresas já sofreram ao menos um incidente de segurança e aquelas que já passaram por experiências dessa natureza têm uma maior probabilidade de contratar um DPO capaz de apoiar na gestão de riscos, sobretudo de terceiros contratados para a operação.
Atuação do DPO as a Service e suporte estratégico
Em um cenário de crise, as primeiras ações são cruciais para evitar danos ainda piores. É essencial ter apoio de uma equipe preparada capaz de dar os direcionamentos técnicos necessários para lidar com o problema. E, no caso de incidente que envolva dados pessoais, a atuação do DPO, seja ele interno ou terceirizado, é importante para avaliar o risco associado, de modo que, se identificado risco relevante, a comunicação à autoridade competente e aos titulares afetados seja feita de modo adequado.
O apoio na gestão do ecossistema de fornecedores, de modo que as ameaças conhecidas sejam geridas e a organização esteja apta a lidar com os riscos desconhecidos, em um nível aceitável para cumprir com os requisitos organizacionais e de conformidade, tem sido demanda de grande relevância para Consultorias de DPO.
Nesse sentido, o suporte estratégico prestado às empresas é fundamental e o uso de ferramentas na identificação de ameaças e vulnerabilidades no ambiente operacional é uma forma de otimizar o atendimento aos padrões de privacidade e segurança em convergência com as práticas de mercado.
Gestão de incidentes e ferramentas
O Tribunal das Contas da União, inclusive, aponta a gestão de incidentes como um dos cinco controles de segurança cibernética. Segundo o TCU, é importante que a organização tenha e mantenha atualizadas as ferramentas para identificação de ameaças, de modo que seja possível atuar rapidamente ante aos ataques e recuperar a normalidade do ambiente comprometido.
Além disso, a utilização de ferramentas possibilita que as empresas estejam mais bem posicionadas para identificar os gaps e riscos potenciais atrelados às operações de tratamento de dados pessoais, possibilitando a identificação de lacunas e a priorização de melhorias.
Ocorre que, atualmente, as empresas não se utilizam de eficientes soluções para avaliar proativamente a segurança de seus sistemas e processos de dados, de modo a ter uma visão dos maiores riscos cibernéticos a que estão submetidas. Se a avaliação interna geralmente não é feita de modo adequado, quando se estende a terceiros contratados, o processo torna-se muito mais desafiador.
Por vezes, a metodologia adotada para avaliar o nível de maturidade em privacidade e segurança da informação se restringe ao uso de planilhas. Esse método, no entanto, acaba por trazer inúmeros desafios para verificação do grau de aderência exigido pela criticidade das operações envolvidas, principalmente porque a responsabilidade sobre a veracidade das respostas apresentadas pelo terceiro acaba ficando a cargo da área gestora do contrato, que nem sempre conta com profissionais com conhecimento técnico e recursos necessários para as devidas diligências.
Uso de soluções tecnológicas
Nesse sentido, o emprego de soluções tecnológicas para a avaliação da vulnerabilidade cibernética da organização permite que as empresas tenham insights estratégicos de medidas corretivas de segurança e, em eventual due diligence, possibilita que a Consultoria de DPO, com sua equipe multidisciplinar, apoie a área responsável na análise de relatórios mais detalhados dos sistemas e processos que tratam dados pessoais e comunique os riscos de forma consciente e eficaz aos principais interessados, sinalizando as ações de mitigação.
Além disso, é importante que as empresas estruturem uma área interna dedicada às avaliações e adotem soluções que examinem objetivamente as medidas administrativas e de segurança capazes de munir o DPO as a Service na identificação de potenciais riscos comumente alvos de cibercriminosos. São avaliações necessárias que visam cumprir com a legislação, e, principalmente, evitar que incidentes ocasionem um abalo reputacional à organização.
De fato, o custo de um incidente excede em muito os investimentos razoáveis destinados ao gerenciamento de riscos cibernéticos de terceiros. Por este motivo, a adoção de ferramentas eficientes no processo de avaliação permite que a empresa tenha maior resiliência cibernética e a contratação do DPO como serviço, seja na modalidade nomeado, ou para dar suporte ao DPO interno, permite que a organização tenha profissionais com as habilidades necessárias para aconselhar sobre a conformidade, que incluem conhecimento detalhado de privacidade e segurança da informação.
Por Patricia Peck, sócia-fundadora do Peck Advogados e professora de Direito Digital da ESPM e Cecília Helena de Castro, advogada do Peck Advogados.
Fonte: Tech Compliance