Por
André Cilurzo*
O tema
proteção de dados nunca esteve em tanta evidência em nosso país como nos
últimos dois anos, tudo graças ao surgimento da Lei Geral de Proteção de Dados
(LGPD). Com a LGPD, foram criados diversos direitos que os titulares de dados
poderão exercer, bem como diferentes obrigações para as empresas estarem em
conformidade com a nossa legislação de dados.
Entre as
responsabilidades das organizações, uma que se destaca é a incumbência de ser
indicado o chamado Encarregado de Dados (ou, Data Protection Officer – DPO).
Trata-se da pessoa apontada para atuar como canal de comunicação entre o
controlador, os titulares dos dados e a Autoridade Nacional de Proteção de
Dados (ANPD), conforme texto da própria LGPD.
Contudo, o DPO
atuará efetivamente como um verdadeiro ponto focal da companhia quando se
tratar dos temas de privacidade e proteção de dados, auxiliando a empresa em
relação à sua jornada de adequação à LGPD. Isso inclui a realização dos
mapeamentos dos processos internos da companhia, a avaliação de risco na
contratação de terceiros, os treinamentos internos e demais atividades
relacionadas aos dados pessoais.
Muitas dessas
funções são multidisciplinares, envolvendo diversas áreas da companhia, tais
como Jurídico, Controles Internos e Auditoria, Segurança da Informação e
Recursos Humanos, bem como a possível criação de uma área de Privacidade para
poder atender e auxiliar o Encarregado no seu dia a dia. Além desses
departamentos, muitos processos internos deverão ser adequados, assim como
poderá existir a necessidade de aquisição de novos sistemas para serviços
específicos.
Porém, a
realidade nacional é que muitas empresas brasileiras não terão mão de obra e
nem mesmo verba para a contratação de pessoas, recursos ou sistemas para o
atendimento de muitas das novas obrigações e demandas que a LGPD trouxe
consigo, o que levará essas empresas a buscarem soluções para estarem adequadas
à LGPD.
A
terceirização de alguns desses serviços pode ser uma saída para as
organizações. Para esclarecer sobre essa oferta, elenco cinco vantagens neste
processo. São elas:
- Custo -
terceirizar serviços da LGPD pode acabar sendo mais econômico às empresas
do que a criação de uma estrutura própria para o atendimento das
obrigações da Lei, além da contratação e adequação de sistemas internos ou
externos.
- Especialidade
técnica e atualização do programa - as empresas contratadas para a prestação
desses tipos de serviços terão equipe treinada e
certificada para o atendimento às demandas da LGPD. Além disso, as
empresas terão ferramentas que suportaram os contratantes a atender as
exigências e demandas da LGPD. Com isso, será mais fácil a atualização e
evolução da maturidade do programa de privacidade e proteção de dados da
companhia contratante.
- Possibilidade de
apenas nomear o DPO na empresa, terceirizando o restante da estrutura
para as demais necessidades de conformidade para atendimento à Lei –
neste modelo, a empresa terá um parceiro dedicado exclusivamente para o
atendimento das demandas dos titulares de dados e gerenciamento do
inventário de atividades de processamento e segurança de informações,
implicando assim em uma diminuição da estrutura necessária para tal.
Assim, o cargo de DPO poderá ser mais estratégico na organização, sendo o
ponto focal interno em relação às questões da LGPD, além de ter todo
o suporte da estrutura terceirizada à sua disposição.
- Contratação de
serviços sob demanda - com a terceirização, a empresa contratante poderá
solicitar serviços específicos à medida que tem necessidade, evitando que
se mantenha uma estrutura custosa que poderá permanecer ociosa por
longos períodos. Nesse caso, atividades como mapeamento de novas
atividades de tratamento, atualização das atividades existentes e gestão
de crises podem ser realizados apenas quando existir efetivamente
mudanças necessárias ou incidentes de privacidade, assim como nas demandas
de elaboração de relatórios de impacto, avaliação de terceiros no aspecto
de proteção de dados, análise de sistemas no quesito segurança da
informação e Privacy by Design, além de treinamentos
internos poderão ser realizadas sob demandas específicas.
- Parceiro de
negócios - a empresa contratada oferecerá soluções diversas de proteção de
dados, segurança da informação e treinamentos quando necessário. Ou seja,
uma única empresa poderá suportar a contratante em diversos tipos de
demandas.
A
terceirização das atividades da LGPD é uma alternativa viável para que
empresas brasileiras possam se adequar de uma maneira mais ágil e com
melhor custo-benefício do que a implantação de uma estrutura interna para
tratar sobre o tema. Assim, as empresas poderão manter o foco em seu negócio e
em seu propósito, mantendo um programa de manutenção à LGPD sob a
responsabilidade de um terceiro.
*
André Cilurzo, especialista em LGPD e diretor associado de Data Privacy da ICTS
Protiviti, empresa especializada em soluções para gestão de riscos, compliance,
auditoria interna, investigação, proteção e privacidade de dados.