Com a entrada em vigor da LGPD (Lei Geral de Proteção de Dados), toda empresa que realiza operações de tratamento de dados pessoais - tais como coleta, armazenamento ou avaliação - para oferta ou fornecimento de bens ou serviços terá de contar com um “encarregado” por esta tarefa. A lei foi sancionada em 2018, mas ainda não entrou em vigor. A previsão, dada pela MP 959/2020, é que a maioria dos artigos da LGPD entre em vigor no dia 3 de maio de 2021.

Caberá ao encarregado atividades como receber reclamações dos titulares dos dados, prestar esclarecimentos, tomar providências, manter contato com a ANPD - Autoridade Nacional de Proteção de Dados, órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento da LGPD em todo o território nacional -, orientar os funcionários e prestadores de serviços da empresa a respeito das práticas a serem tomadas em relação à proteção de dados pessoais.

Na Europa, o GDPR - General Data Protection Regulation, ou Regulamento Geral de Proteção de Dados -, já havia criado a figura do DPO (Data Protection Officer) em 2018, com a sua aprovação. Se lá, onde GDPR está em vigor há dois anos, a demanda por um profissional de proteção de dados chega a mais de 200 mil pessoas e essa demanda ainda não foi suprida, no Brasil a demanda poderá ser ainda maior.

Thiago Rosa: "Todas as empresas que tratam dados vão precisar de um DPO"
Thiago Rosa: "Todas as empresas que tratam dados vão precisar de um DPO" | Foto: Divulgação

“Se for pensar, todas as empresas que tratam dados vão precisar de um DPO”, disse Thiago Rosa dos Santos, diretor do Comitê Pública da ANPPD (Associação Nacional dos Profissionais de Privacidade de Dados), que conta hoje com cerca de 4 mil membros em todos os estados brasileiros. Nas redes sociais, o número é maior - cerca de 25 mil pessoas.

Mesmo que a LGPD ainda não tenha entrado em vigor, outras leis brasileiras, como o Marco Civil da Internet, já requerem a proteção de dados, observa Santos. Empresas brasileiras que lidam com dados de cidadãos europeus também precisam estar em conformidade com a GDPR. Devido à alta demanda, a remuneração desse profissional chega, em média, a R$ 18 mil.

O profissional de proteção de dados é altamente qualificado, e precisa ter conhecimento técnico e jurídico, afirma o diretor da ANPPD. Ele pode ter formação tanto na área jurídica quanto em áreas técnicas - segurança da informação e governança, por exemplo -, e se especializar em proteção de dados. As empresas, no entanto, deverão buscar os dois perfis de profissionais, que trabalharão em conjunto.

Cursos oferecem formação e certificação europeia

Já existem cursos disponíveis no Brasil para quem quer exercer a atividade de DPO, ou encarregado pelo tratamento de dados pessoais, que fornecem certificados reconhecidos na Europa. Não existe na lei a exigência de certificações como essa para exercer o papel de DPO no Brasil, mas empresas já procuram por esse requisito na hora de contratar.

A certificação de DPO pelo instituto holandês de certificação Exin exige a obtenção de três certificações: o ISFS (Information Security Foundation, o PDPF (Privacy&Data Protection Foundation) e o PDPP (Privacy&Data Protection Practitioner).

A Daryus Educação, empresa de cursos de pós-graduação de segurança da informação, perícia forense digital e cibersegurança, é uma das que oferece cursos on-line para formação de DPO. A formação abrange conteúdo para as três certificações exigidas pela Exin.

Com a LGPD, a empresa pode receber uma alta demanda de profissionais que desejam se profissionalizar na área. A expectativa é formar mais de mil alunos até o começo do ano que vem. “Se (a LGPD) é uma lei e foi aprovada, toda empresa no Brasil devidamente registrada vai estar submetida a ela”, salienta Jeferson D´Addario, CEO do Grupo Daryus.

Mesmo empresas que não têm recursos suficientes para manter um profissional de proteção de dados nas suas dependências, poderão contratar um como prestador de serviços, ele completa. “Talvez ela não tenha nem budget para contratar, mas tem consultoria oferecendo serviços de DPO virtual que conseguem resolver.” Porém, companhias de grande porte, líderes em seus setores e que lidam com grande volume de dados, provavelmente terão de contar com um DPO em seu quadro de funcionários.

Empresas que atuam na cadeia de fornecimento de empresas europeias também já foram exigidas a contar com um profissional de proteção de dados desde 2018, comenta D´Addario. “Alguns clientes nossos são brasileiros, mas já atuam na cadeia de fornecimento de outras empresas europeias, e elas vinham exigindo isso já em 2018 para minimizar riscos indiretos.”

Advogada foi apontada como DPO em empresa

Guadalupe Nascimento foi apontada como DPO local e fez curso de capacitação
Guadalupe Nascimento foi apontada como DPO local e fez curso de capacitação | Foto: Divulgação

Guadalupe Nascimento é formada em Direito e há dez anos entrou para o mercado segurador como advogada corporativa na área consultiva. Há alguns anos, ela migrou para o mercado ressegurador - de empresas que dão suporte às companhias seguradoras -, onde começou a atuar como diretora jurídica de compliance.

Como a empresa onde ela trabalha é global, e tem um braço na Alemanha, ela foi apontada como DPO local para atendimento às normas da GDPR. “Precisávamos ter uma pessoa aqui no Brasil que garantisse as adequações jurídicas globais às práticas locais. Apesar de não estarmos sujeitos à lei europeia, estamos ligadas ao grupo e podemos ter exposição. Isso vai acontecer com todas as multinacionais que tenham bases europeias.”

Por esse motivo, ela buscou capacitação na área de DPO. “Para conseguir ter essa ideia mais prática e me aperfeiçoar caso venha a assumir o papel local de DPO, fiz o curso. O curso não é para entender só de lei, mas também de processos, técnicos”, comenta Nascimento.

Para ela, a profissão de DPO poderá expandir as possibilidades para que os profissionais possam atuar em suas respectivas áreas como o encarregado de proteção de dados. “A partir da vigência da lei, é um mercado novo. Independentemente do seu histórico de formação, a empresa provavelmente vai precisar, se não um DPO local, pelo menos alguém que entenda do assunto.” A remuneração, segundo ela, será alta a depender do tamanho da empresa e do seu nível de exposição.

Dentre as atividades que ela já começou a desempenhar, estão conhecer melhor as atividades de cada setor da companhia para poder apontar os principais pontos de exposição de dados e implantar cláusulas de proteção de dados nos contratos de trabalho e contratos com terceiros para que toda a cadeia de fornecedores de serviços esteja em conformidade com a lei e seja criado um ambiente seguro para tratamento de dados.