Desde 2020, a Lei Geral de Proteção de Dados obriga empresas a terem um DPO (Data Protection Officer), interno ou terceirizado. Cria-se aí uma nova oportunidade de carreira – veja como seguir nela.
Saiu no Guardian, o jornal britânico, em 2015. Documentos mostravam que a empresa Cambridge Analytica, da Inglaterra, estava coletando e compartilhando indevidamente dados de milhões de usuários do Facebook para campanhas políticas.
Funcionava assim: as pessoas clicavam para jogar um quiz bobinho, e, sem perceber, concordavam em fornecer seus dados para o desenvolvedor – coisas como as páginas curtidas, a idade, a região onde mora. O app também coletava essas informações de todos os amigos do jogador.
Esses dados foram usados pela Cambridge Analytica para personalizar anúncio e propagandas em campanhas, incluindo a então candidato Donald Trump. No total, mais de 87 milhões de usuários podem ter sido afetados – 440 mil brasileiros.
O app, teoricamente, não descumpria nenhuma norma na coleta em si – o permite o Facebook (e permite até hoje, diga-se) que esses joguinhos armazenam os dados do usuário, desde que avisem. Mas os termos de usuário do app não dizemiam para os que aqueles dados seriam usados. O caso foi um escândalo global. E pressionou autoridades para que a regulação do uso de dados assim fosse mais rígida e clara. A pioneira foi a União Europeia, ainda em 2016. O bloco aprovou a primeira legislação que concentra uma série de normas sobre como em – presas devem coletar, armazenar e usar os dados de seus usuários: o Regulamento Geral sobre a Proteção de Dados, ou GDPR.
Não demorou para que o mundo começasse a copiar o texto. Em 2018, o Brasil aprovou a nossa própria versão da norma: a Lei Geral de Proteção de Dados Pessoais (LGPD), em vigor desde 2020. Tanto a GDPR como a LGPD criaram uma nova profissão obrigatória, a pessoa responsável por garantir que as empresas de fato passariam a cumprir a legislação. É o Data Protection Officer (DPO), chamado também de encarregado de dados.
O guardião dos dados
“O primeiro papel do DPO é ser o principal porta-voz e interlocutor sobre proteção de dados, seja com os titulares de dados, seja com a Autoridade Nacional de Proteção de Dados (ANPD)”, explica Patrícia Peck, sócia do Peck Advogados e Conselheira titular do Conselho Nacional de Proteção de Dados (CNPD). Ou seja: se um cliente tiver uma dúvida ou reclamação sobre quais dados a empresa coleta ou como são utilizados, é com o encarregado que deve falar. Por isso, seu nome e contato devem estar públicos para todos, de preferência no site da instituição. O cargo é obrigatório para todas as sociedades que armazenem dados – incluindo como pequenas (ainda que haja ocorrência para tirar essa imposição das menores).
O encarregado também fica em contato com a ANPD, órgão do governo federal criado para implementar e fiscalizar a LGPD. Caso o poder público tenha algum problema com a empresa, é o DPO que fará uma ponte com o governo e tomará como medidas cabíveis.
Por lei, essas duas atividades de comunicação são as principais atribuições do encarregado. Mas o grosso do trabalho do cargo está na última função fornecida pela LGPD: “orientar os funcionários da entidade a respeito das práticas a isolar em relação à proteção de dados pessoais”. O texto é vago, de fato. Mas, na prática, isso significa que o encarregado de dados é o responsável por garantir que não aconteçam novos casos Cambridge Analytica, em suas proporções. Ele deve entender sobre todo o processo da empresa que envolve dados de pessoas. Como e quais informações são coletadas? Quais funcionários têm acesso a esses dados? São usados para que tipo de atividades? E o armazenamento? É seguro?
A partir de toda essa análise, cabe ao DPO relatórios de formulários, manuais e sugestões de mudanças para assegurar que a empresa não tenha com um LGPD. Para fazer isso bem feito, o DPO tem que combinar dois tipos de competências: como de teor jurídico, para entender o que pode e o que não pode, e como relacionadas a TI e cibersegurança. Isso porque a LGPD também trata de vazamento de dados acidentais, quando os hackers invadem o sistema das companhias para roubá-los, por exemplo. Nos últimos meses, Lojas Renner, JBS e Fleury sofreram ataques do tipo.
“No mercado, há dois perfis de DPO: o cyber, que traz habilidades mais da parte de tecnologia e cibersegurança, e o legal, que tem experiência com legislação, compliance e auditórios”, diz Peck. Em ambos os casos, o profissional deve procurar se atualizar na área em que tiver menos bagagem.
Falar é fácil, fazer é difícil. Por isso mesmo, uma LGPD (diferentemente do GDPR) não exige que o encarregado de dados tenha exatamente essas competências para assumir o cargo. Qualquer um pode ser nomeado – inclusive, a lei permite o acúmulo de funções.
Não é incomum que pequenas e médias empresas nomeiem funcionários já contratados, como o próprio responsável pelo setor de TI ou alguém formado em Direito que está localizado em outra área. Uma alternativa é contratar uma empresa externa para ser o DPO de seu negócio – uma lei permitida, e vários escritórios de advocacia e companhias de segurança cibernética já compatíveis o serviço.
Empresas maiores, por sua vez, preferem investir em um profissional focado somente na área, para que crie uma nova oportunidade de carreira. Para quem pensa em ser DPO profissional, vale buscar certificações disponíveis no mercado, como a EXIN e do IAPP, que trazem uma combinação dos sabres combinados.
Há ainda uma terceira competência importante para profissionais do ramo, diz Patrícia: a comunicação. Afinal, a função principal do DPO é ser um porta-voz. Se a empresa se envolver num escândalo de vazamento de dados, é esse o profissional que vai ter que lidar com uma bomba – e tentar limpar a imagem da companhia.
Uma pesquisa do Comitê de Privacidade BR, 83 executivos de grandes empresas para traçar o perfil do DPO no Brasil. Os resultados mostram que, entre os profissionais a assumir o cargo, 30% atuavam no setor jurídico, 16% em segurança da informação, 10% em tecnologia da informação, 10% em gestão de projetos e 8% em compliance.
Uma nova carreira
Para Carla Prado Manso, ser DPO foi um caminho natural. Advogada de formação, ela atuava no setor jurídico da Compugraf, empresa de tecnologia da informação de São Paulo, quando um LGPD entrou em vigor. Então, decidiu se candidatar ao cargo para assumir novas aventuras.
A principal mudança foi uma alteração da rotina: o trabalho com contratos e a lida com o juridiquês ficou para trás. Deu lugar a um dia a dia muito mais dinâmico. No papel de DPO, o contato com outras áreas da empresa virou uma constante, especialmente com os setores que mais lidam com dados – o RH e o marketing.
“O DPO precisa ter um bom relacionamento com todas as áreas. Se for uma pessoa chata, daquelas com quem ninguém quer falar, não vai rolar ”, brinca Carla. “Às vezes você vai cutucar coisas que as pessoas já estão acostumadas a fazer, mas que precisam mudar.”
Outro desafio para a descoberta foi desenvolver as habilidades necessárias na área de tecnologia. Neste ponto, Carla tem a vantagem de trabalhar em uma empresa relativamente grande, capaz de ter um tempo misto para dar suporte ao encarregado de dados – algo que está se tornando mais comum, mas ainda caminha devagar. Na pesquisa do comitê Privacidade Br, 47% das empresas citaram a equipe reduzida como um dos desafios enfrentados pelo DPO; em 25% delas, a redução era drástica mesmo: o encarregado de dados trabalhava sozinho, sem auxiliares.
“Eu sempre falo: ‘Uma andorinha só não faz verão’. Sem meu tempo técnico me apoiando, não consigo ser DPO ”, diz. “Se o marketing quer comprar um software novo para uma campanha, por exemplo, eu preciso entender como ele funciona e se garantir a privacidade da informação”, e aí entra a ajuda da equipe técnica.
Neste ponto, vale lembrar que o DPO não é o comandante supremo dos dados de uma empresa – ele sequer é uma autoridade com poder de mandar e desmandar. “Não é o DPO que vai executar toda a implementação da legislação”, diz Patrícia Peck. Uma das recomendações é sempre formalizar e documentar suas atividades e orientações, para que, caso aconteça algum incidente, não pareça que houve uma omissão – o DPO pode ter feito uma recomendação que não foi implementada
UM DIA NA VIDA
Atividades-chave: Ouvir reclamações e dúvidas de clientes sobre os dados pessoais, fiscalizar a adequação da empresa à LGPD e orientar os funcionários sobre como manter os dados seguros.
Quem contrata: Toda empresa deve ter um encarregado de dados, seja interno, seja externo. Escritórios de advocacia e empresas de TI contratam profissionais para servir de DPO remoto a outras companhias. E há as empresas que preferem contratar elas próprias o seu encarregado de dados.
Pontos positivos: É uma profissão nova e obrigatória por lei. Com isso, como chances de iniciar uma carreira duradoura são boas, e quem começar agora sai na frente.
Pontos negativos: As atividades do DPO ainda estão sendo definidas pela ANPD. Além disso, algumas empresas jogam toda a responsabilidade de segurança dos dados no colo do encarregado, sem uma equipe para auxiliá-lo.
Principais competências: Entender um LGPD e conhecimentos de compliance em geral; sabre conceitos de proteção e proteção de dados; ter boa comunicação com todos os setores da empresa.
O que fazer para atuar na área: A LGPD não traz nenhum pré-requisito – qualquer um pode ser DPO. Mas as empresas tendem a procurar pessoas com bom conhecimento jurídico.
Salário médio *: até R $ 20 mil
Por Bruno Carbinatto, postado originalmente no Você S/A.