O que é um oficial de proteção de dados?
Um oficial de proteção de dados (DPO) é uma posição dentro de uma corporação que atua como um advogado independente para o cuidado e uso adequados das informações do cliente. O papel de um oficial de proteção de dados foi formalmente estabelecido pela União Europeia como parte de seu Regulamento Geral de Proteção de Dados (RGPD). De acordo com o regulamento, todas as empresas que comercializam bens ou serviços a clientes na União Europeia e coletam dados como resultado devem nomear um responsável pela proteção de dados. O responsável pela proteção de dados mantém as leis e práticas relacionadas à proteção de dados, realiza avaliações de privacidade internamente e garante que todos os outros assuntos de conformidade relacionados aos dados estejam atualizados. Embora a legislação da UE esteja incentivando a criação de funções de oficial de proteção de dados, outras nações estão analisando questões de privacidade de dados e podem exigir funções semelhantes através de regulamentos atualizados.
Responsável pela proteção de dados
A nomeação de um oficial de proteção de dados (DPO) é um dos principais requisitos para as empresas que realizam negócios na UE, e o GDPR é obviamente uma parte importante da legislação. O DPO está no limite para garantir que uma empresa esteja em conformidade com os objetivos do RGPD e de outra legislação relevante. Isso inclui a definição de períodos de retenção defensáveis para dados pessoais, autorizando fluxos de trabalho específicos que permitem o acesso a dados, descrevendo como os dados retidos são anônimos e monitorando todos esses sistemas para garantir que eles trabalhem para proteger os dados privados dos clientes.
Esse é um grande trabalho, e em empresas maiores o papel do DPO pode exigir um escritório cheio de funcionários em vez de uma pessoa. Em organizações menores, o diretor de segurança da informação (CISO) pode ser chamado a usar os dois chapéus. A idéia de ter DPOs profissionais monitorando várias empresas quanto à conformidade também surgiu - semelhante à terceirização de relatórios financeiros para uma empresa de contabilidade.
Oficial de proteção de dados versus outras funções de dados
As funções de diretor de informações (CIO), CISO ou diretor de dados que já existem em muitas empresas são fundamentalmente diferentes do que está previsto na função de diretor de proteção de dados. Essas funções geralmente tratam de manter os dados de uma empresa em segurança e garantir que esses dados estejam sendo explorados para melhorar as funções de negócios em toda a empresa. O responsável pela proteção de dados trabalha em nome da privacidade do cliente. Como resultado, muitas das recomendações de um responsável pela proteção de dados serão contrárias aos objetivos de outras funções de dados.
Em vez de manter dados valiosos indefinidamente ou usar informações reunidas em uma linha de negócios para informar outra, o responsável pela proteção de dados estará lá para garantir que apenas os dados mínimos necessários para concluir uma transação sejam coletados e retidos. O GDPR cria uma forte demanda por agentes de proteção de dados, mas não facilita o trabalho deles.
