Na era da Lei Geral de Proteção de Dados (LGPD), muito se fala sobre uma figura que surge com as novas tendências em segurança da informação: o DPO, ou Data Protection Officer. O que faz esse profissional? Por que há um interesse cada vez maior, por parte das empresas, na contratação de um DPO? É isso que vamos descobrir hoje!
O que é DPO?
O DPO é um profissional nomeado a partir da constituição da LGPD, e é um encarregado de proteção de dados, o que significa que esse profissional é responsável por proteger todos os dados que circulam dentro de uma empresa. Ele vai prestar atenção nas determinações da LGPD e garantir que a sua empresa esteja em compliance com as boas práticas de segurança e com as determinações da legislação.
Segundo a Lei Geral de Proteção de Dados (LGPD), o DPO é, por definição, a pessoa que está em atuação entre os titulares dos dados (clientes), o controlador dos dados e a ANPD (Autoridade Nacional de Proteção de Dados). O DPO, assim, pode ser entendido como o profissional que garante a comunicação entre essas três entidades, além de assegurar a correta proteção dos dados.
Quais são as atribuições de um encarregado de proteção de dados?
Agora que já sabemos o que realmente é um DPO e como ele interage com os titulares dos dados e os controladores, você deve estar se perguntando: mas qual exatamente é a função do DPO? O que esse profissional faz no dia-a-dia?
Principalmente agora que a LGPD está começando a se tornar funcional no Brasil, pode ser que exista uma confusão em relação ao papel que um DPO precisa desempenhar. Entretanto, o melhor é se basear no que diz a lei. Algumas das atribuições básicas de um DPO são:
– Compreender e aconselhar os demais profissionais sobre o impacto de determinadas ações na proteção de dados
– Entrar em contato com controladores e titulares, para compreensão sobre a proteção de dados
– Entrar em contato com titulares no caso de problemas de vazamento e riscos à integridade dos dados
– Treinar e desenvolver colaboradores, para garantir medidas de proteção e um cuidado no manejo de informações
– Apoiar processos de compliance e evitar penalidades sofridas pela empresa, em relação às obrigações da LGPD
O DPO é responsável por uma série de processos dentro da sua empresa. Isso vai se modificar dependendo da construção do quadro de funcionários da organização.
Qual a formação de um DPO?
Muitas pessoas enxergam o DPO como um ponto de contato entre segurança da informação e Direito. E, de fato, elas não estão erradas. Apesar do cargo ter muita relação com dados vazados e medidas técnicas de compliance, o DPO também precisa estar familiarizado com a legislação.
A LGPD é uma tendência nova e que está começando a se desenvolver agora. Por nascer em conjunto com a legislação, é bastante comum que a pessoa responsável por executar tarefas de DPO tenha uma formação em Direito. Entretanto, muitos executivos de Tecnologia da Informação têm começado a atuar na área.
Um executivo de TI ou um líder técnico da área de segurança da informação, por exemplo, pode começar a trilhar um caminho para se desenvolver como DPO. Já existem algumas formações e especializações focadas em proteção de dados pessoais e sue regulamento geral.
Para além da legislação: como garantir padrões de compliance?
Falar em DPO envolve uma série de atribuições e atividades cotidianas, como vimos anteriormente. Entretanto, antes de pensar em como operacionalizar todas essas atividades, é necessário ter fortes padrões de compliance. Afinal, como saber quais são as boas práticas que a sua empresa segue, sem padrões traçados? Vamos entender mais sobre esse assunto a seguir!
O que é compliance e como os padrões impactam nas tarefas do DPO?
A palavra compliance vem da ideia de agir em concordância com alguma restrição. É como seguir uma ordem imposta pela empresa, em relação a algum assunto ou processo. Em TI, ouvimos falar em compliance exatamente no momento de discutir regras de segurança que não podem ser quebradas.
O mercado já possui alguns padrões de compliance bastante conhecidos, como é o caso dos padrões de segurança para indústria de pagamentos (PCI DSS) ou relatórios de confidencialidade, segurança e disponibilidade de recursos de computação (conhecidos como SOC – System & Organization Control).
O DPO também vai seguir alguns padrões de compliance para atuar. Na realidade, a maioria de suas atividades devem ser baseadas em padrões bem estabelecidos pela LGPD ou até pela própria empresa. É essencial que o profissional conheça os padrões de proteção e privacidade de dados, e saiba como interagir com eles.
Como definir padrões de compliance?
Existem várias formas de definir esses padrões de compliance. É claro que a empresa deve definir alguns padrões essenciais, de acordo com o negócio. Se, por exemplo, a sua empresa é uma multinacional de saúde, e vai atuar com dados de saúde nos Estados Unidos, é essencial que haja compliance com o HIPAA – Health Insurance Portability and Accountability Act.
Existem algumas ferramentas da AWS que podem ajudar na definição de padrões de compliance. Afinal, além da proteção de dados de acordo com a legislação, é ideal que haja uma série de controles internos.
Uma dessas ferramentas é o Security Hub, muito conhecido por operacionalizar os padrões de conformidade na sua conta AWS. Essa ferramenta providencia controles para uma série de padrões, e você consegue acompanhar as operações dentro do seu ambiente de maneira automática, encontrando vulnerabilidade e não-conformidades na conta.
Um dos pacotes de compliance, com o qual você pode atuar dentro do Security Hub, é o CIS AWS Foundational, um benchmark para manter boas práticas em segurança no seu ambiente AWS, realizado pela Center for Internet Security (CIS). Esse benchmark contém várias checagens que são feitas pelo Security Hub, e garantem os melhores padrões de mercado quando o assunto é segurança.
Outras ferramentas da AWS também são úteis na hora de reforçar padrões de compliance e, principalmente, automatizar boas práticas dentro da sua conta. O AWS Config, usado para estabelecer regras de compliance, é um deles. O Amazon CloudTrail também possibilita um acompanhamento dos acessos e interações em seu ambiente AWS.
Quer conhecer mais sobre as ferramentas que usamos para garantir padrões de compliance? Quer saber como o DPO pode se beneficiar da nuvem AWS? Então não deixe de entrar em contato com a dataRain Consulting.
Conheça o serviço de Consultoria em Nuvem que a dataRain oferece e entre em contato!
