Pouco adianta investir na implementação de um projeto de adequação à LGPD em uma empresa se a manutenção e gerenciamento do que foi estruturado não for devidamente considerada.
Neste sentido, internalizar o Data Protection Officer (DPO), ou como a legislação brasileira trata, o Encarregado de Dados, pode ser um grande aliado das empresas para evitar que o assunto proteção de dados e privacidade caia no esquecimento.
A LGPD possibilita que a figura do DPO seja exercida por um profissional interno ou externo, sendo permitida a contratação de uma empresa para exercer esse papel, por exemplo. Contudo, existem alguns riscos para as empresas em se internalizar alguém para esta função, que consideramos a seguir.
Riscos em internalizar o DPO
O primeiro ponto de atenção ao internalizar um DPO está relacionado aos riscos trabalhistas e desafios de contar com somente uma pessoa para exercer essa função. Aliás, a título de curiosidade, a função de DPO foi incluída recentemente na Classificação Brasileira de Ocupações (CBO).
Imaginando um funcionário fictício. Um funcionário administrativo de uma grande empresa, que conhece todas as rotinas de trabalho e entende todo fluxo de dados da organização, foi nomeado como DPO desta. Porém, se depara com a seguinte situação:
Houve um vazamento de dados de todos os colaboradores, que aconteceu porque o funcionário, diante da alta quantidade de trabalho, conectou o seu pen drive pessoal para poder levar um pouco de trabalho para casa.
Porém, neste pen drive, havia um arquivo que possuía um malware, o que gerou uma falha de segurança na rede da empresa, sendo somente descoberta 3 (três) dias após a efetiva perda de milhares de dados pessoais.
Nessa situação, nos deparamos com outros riscos para as empresas, como:
- Conflito de interesse: será que o funcionário realmente irá relatar que foi por causa dele que houve um ataque ‘hacker’? Tendo em vista que ele é justamente o responsável por cuidar que os demais não façam isso;
- Acúmulo de funções: a legislação brasileira não permite que se tenha o acúmulo de funções de colaboradores, salvo se houver um acordo claro entre as partes e uma remuneração maior para este colaborador;
- Falta de dedicação exclusiva: como observado, o funcionário não tem como ter uma dedicação exclusiva desta área de Proteção de Dados, pois a sua outra função já o exige bastante; e
- Falta de capacitação técnica: isso fica claro quando a pessoa não possui aprofundamento sobre o tema por estudos, cursos, certificações e uma equipe por trás que possa ajudar nessa parte de Proteção de Dados da empresa.
Benefícios ao contratar um DPO as a service
Neste cenário de Proteção e privacidade de Dados, o DPO possui um papel de extrema importância na organização.
A internalização dessas responsabilidades pode acabar em riscos para as organizações, visto que este profissional deverá estar preparado, tanto em termos comportamentais, quanto técnicos, para desempenhar uma das diversas de atividades inerentes ao seu cargo.
Para se conseguir desempenhar estas atividades, muitas organizações buscam a contratação de um DPO externo, modelo conhecido como DPO-as-a-service, que, de maneira geral, se trata de uma empresa externa seguirá com o projeto de implementação e garantir o cumprimento da lei além de trazer os seguintes benefícios:
- Otimização de recursos;
- Redução de custos com salários e encargos trabalhistas;
- Independência na atuação e afastamento de conflitos de interesse;
- Afastamento de riscos trabalhistas e preocupação com suplente para cobrir férias e licenças de um DPO interno.
- Equipe multidisciplinar e maior disponibilidade;
- Maior conhecimento e expertise, visto que atuam em várias empresas.
Portanto, no cenário que se encontra a legislação e as funções que um encarregado deve desempenhar, o DPO-as-a-Service tende a ser a melhor opção para diversos perfis de empresas, trazendo não apenas mais segurança, com também maior expertise no assunto e multidisciplinaridade.
