Investir em um DPO interno ou contratar um DPO-as-a-Service?
Qual seria a melhor opção para seu negócio? A Macher Tecnologia traz para você algumas considerações que podem ajudar em seu processo de decisão.
Se você chegou até aqui já deve entender os conceitos da LGPD e a importância do papel do DPO / Encarregado de Dados.
DPO significa Data Protection Officer e surgiu com a GDPR (Europeia). No Brasil, a LGPD chama este mesmo profissional de Encarregado de Dados. Usamos aqui na Macher Tecnologia, este termo de forma intercalada.
A função do Encarregado é ser a “pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);”. Adicione-se a isto, a orientação de funcionários e contratados a respeito das práticas a serem tomadas em relação à privacidade e proteção de dados pessoais.
Dentro do nosso conceito de DPO, entendemos que a função não é operacional e não está limitada apenas às atribuições listadas acima, mas sim estratégica e que suporta o crescimento e desenvolvimento das organizações. Acreditamos que o DPO deva ter um papel de consultor interno em privacidade e proteção de dados para todas as áreas que tratam dados pessoais.
Sendo assim, identificamos alguns pontos a considerar ao escolher entre o DPO interno ou externo:
1) LGPD é, por natureza, multidisciplinar. Ou seja, uma união de conhecimentos e implicações Jurídicas, de TI e de Processo.
Uma execução integrada de um time de privacidade formado por especialistas em direito, de governança e de TI é preferível.
Afinal, como a atividade do DPO é “consultiva”, a avaliação multidisciplinar das abordagens e decisões sob diferentes óticas pode trazer insights mais ricos quando comparados ao trabalho de uma só pessoa. Neste ponto, vemos que uma execução de DPO-as-a-Service leva vantagem sobre o DPO interno.
2) Importante ao encarregado, conhecer o negócio da organização.
Conhecer detalhes da estrutura, da cultura e ter o relacionamento prévio com as pessoas que estarão envolvidas no projeto dá vantagem ao DPO interno. Ao optar por um DPO externo, há de se considerar um tempo de familiarização com o ambiente, pessoas e processos.
3) Monitoramento e controle de processos, sistemas e tratamentos em geral.
Ao Encarregado de Dados, caberá a consolidação dos resultados, o monitoramento das ações proativas e reativas tomadas pela empresa. O suporte à gestão de risco. E o monitoramento do nível de maturidade da empresa frente à privacidade e proteção de dados.
Dentro de nosso modelo de trabalho, o DPO trabalha em escala “macro”, ou seja, comunicando e relacionando-se com verticais de negócio e seus gestores.
O relacionamento próximo entre DPO e as áreas será fundamental para uma entrega e execução satisfatória. Neste ponto, tanto um DPO interno quanto externo têm qualidades muito próximas. O mais importante aqui é ter um trabalho transparente e comprometido.
O DPO precisará transmitir conhecimento às áreas e inserir a preocupação de privacidade e proteção de dados no dia-a-dia da execução de suas funções, objetivando o monitoramento, a geração de evidências e a melhoria contínua do treinamento, da cultura e processos de tratamento.
Na Macher Tecnologia, oferecemos ainda ferramentas que auxiliam o Encarregado de Dados neste monitoramento e comunicação com os pontos focais das áreas e donos de processos ou sistemas. Clique e conheça o DPO HELPER.
4) Disponibilidade, custo e velocidade.
Velocidade é importante quando se trata de um DPO. E certamente nesse sentido, o DPO-as-a-Service pode sair na frente. Em nosso modelo de trabalho por exemplo, alocamos um time para a execução das atividades do Encarregado, com definição de SLA entre as partes. Imagina poder ser atendido por uma equipe com diferentes skills e capacidades, como:
- Jurídico;
- Analista(s) de TI;
- Analistas de Cybersecurity;
- Analista(s) de Governança;
- Gerente(s) de Projeto;
- Suporte administrativo;
Uma equipe especializada responderá às necessidades rapidamente, seguindo sua escala de prioridades. Ao invés de formar um time interno, investir em R&S, investir em capacitação, você obtém os benefícios do DPO-as-a-Service desde o primeiro dia. O mix de skills do time e o comprometimento de horas de cada profissional é customizado conforme a necessidade de sua empresa.
5) Conflito de interesses.
Referenciando a GDPR, em Abril de 2020, uma empresa foi multada em 50 mil Euros por considerar que seu DPO não atuava com liberdade ou independência. Na época o DPO acumulava as funções de Head de Compliance, Gestão de Riscos e Auditoria. Neste caso, a Autoridade Belga percebeu que o DPO não possuía plena autonomia e nem envolvimento suficiente nas discussões sobre privacidade e proteção de dados. Igualmente, a função do DPO não poderia se auto-auditar.
Observando o WP29 Europeu, o DPO lá não pode ter uma função de liderança na organização em que defina os meios e propósitos para o tratamento de dados. Assim, o WP29 indica que funções como CEO, COO, CFO, CMO, Diretor de HR, Diretores de TI não deveriam acumular a função do DPO. O acúmulo de funções com outros cargos deve ser então, avaliado caso-a-caso.
No Brasil ainda não observamos posicionamento da ANPD sobre o tema, e não há uma restrição clara sobre acúmulo de funções e conflito de interesse na LGPD, mas podemos sim tomar a GDPR como base. Seja com um DPO externo ou interno, é importante considerar que a eliminação o conflito de interesse. Em nossa visão, o DPO externo tem maiores vantagens neste sentido uma vez que é um serviço específico, com finalidade específica.
Qual modelo então seria mais recomendável?
Depende! O tamanho de sua empresa, a cultura, a maturidade, a estratégia, a velocidade de implantação, a disponibilidade financeira e de tempo certamente serão fatores decisivos na escolha da melhor alternativa.
Não existe uma contratação mais correta ou mais adequada. Cada organização deve poder pesar os prós e contras das duas modalidades de contratação, a curto e longo prazo.
Caso a opção seja pela execução interna, ainda podemos pensar em um modelo híbrido ou faseado – como um suporte ao DPO interno, ou, como uma preparação para a plena absorção da função internamente após período de aprendizado. Ou ainda, no compartilhamento de um DPO dentro de um mesmo grupo econômico (ex. Múltiplos CNPJs) com uma equipe única de atendimento, reduzindo assim os custos da operação.
Há várias alternativas potencialmente viáveis!
Qual modelo então seria mais recomendável?
Depende! O tamanho de sua empresa, a cultura, a maturidade, a estratégia, a velocidade de implantação, a disponibilidade financeira e de tempo certamente serão fatores decisivos na escolha da melhor alternativa.
Não existe uma contratação mais correta ou mais adequada. Cada organização deve poder pesar os prós e contras das duas modalidades de contratação, a curto e longo prazo.
Caso a opção seja pela execução interna, ainda podemos pensar em um modelo híbrido ou faseado – como um suporte ao DPO interno, ou, como uma preparação para a plena absorção da função internamente após período de aprendizado. Ou ainda, no compartilhamento de um DPO dentro de um mesmo grupo econômico (ex. Múltiplos CNPJs) com uma equipe única de atendimento, reduzindo assim os custos da operação.
Há várias alternativas potencialmente viáveis!
Precisa de ajuda ou ficou com alguma dúvida?
Se você ainda não começou seu processo de adequação, se busca um DPO externo (terceirizado) ou se precisa de um suporte à execução do seu DPO interno, entre em contato conosco!
Possuímos planos extremamente flexíveis e customizáveis para atender as necessidades de sua empresa.
Consulte nossas opções de DPO-as-a-Service e de Centro de Serviços Compartilhado para a LGPD.
Suportamos sua empresa na jornada de conformidade!
Conheça toda nossa linha de atuação consultiva na Lei Geral de Proteção de Dados.
CONSULTORIA, TREINAMENTOS E PROJETOS DE ADEQUAÇÃO
- Consultoria e projetos de adequação
- Treinamentos e Cursos
- Adequação de sistemas (sites, aplicações, mobile apps, etc)
- Gestão de Projetos / PMO
- DPO HELPER: Ferramenta online para mapeamento de processos, tratamentos, sistemas e dados
- Ferramenta online para avaliação de conhecimento organizacional sobre a LGPD