Com as novas leis de proteção de dados, novas instituições, mercados e até atribuições profissionais estão surgindo. E um dos principais é o Data Protection Officer (DPO) ou encarregado de proteção de dados. Dependendo da forma e dos objetivos para os quais uma empresa recolhe dados dos seus usuários ela precisa ser monitorada por um DPO.
A figura do DPO ganhou maior notoriedade a partir da publicação do GDPR (Regulamento Geral de Dados da União Europeia). De forma geral, esse profissional é um especialista em proteção de dados e monitora empresas para garantir que elas estejam em compliance com as regras e boas práticas do setor. Ele também deve intermediar os interesses da empresa (controlador) e do titular dos dados.
No Brasil, com a criação da LGPD (Lei Geral de Proteção de Dados) que se inspirou bastante no GDPR, o DPO recebeu o nome de encarregado e ganhou a seguinte definição, registrada no artigo 5º da lei: “pessoa indicada pelo controlador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a ANPD (Autoridade Nacional de Proteção de Dados)”.
Segundo Juliana Costa, advogada especialista em Compliance e Vice-presidente da Comissão de Direito Digital, Tecnologias Disruptivas e Startups da OAB/DF, a entrada em vigor da LGPD está trazendo diversos desafios e muitas dúvidas sobre a adequação às novas normas de modo a garantir a segurança, proteção e transparência aos clientes, fornecedores e funcionários.
Juliana destaca que em primeiro lugar “as organizações precisam identificar, separar e gerir toda a sua documentação de maneira sistematizada. Seja ela física ou digital. Diante de todas as informações, necessita nomear um DPO, ou Data Protection Officer, o qual é o responsável legal pelo gerenciamento de todos os dados, principalmente no caso de ocorrer vazamento daqueles, influenciando no seu tratamento. Esse especialista, de importância primordial, deve estar presente desde o início da separação dos documentos até o mapeamento deles e sua posterior gestão”.
Embora a legislação não especifique a formação desse profissional, o art. 37 da lei europeia sobre proteção de dados estabelece que o DPO deva ser alguém que entenda sobre a legislação, assim como também tenha conhecimento sobre as práticas de proteção de dados de um modo geral.
O DPO deve estar alinhado com as normas de conformidade da empresa e trabalhando conjuntamente com uma equipe técnica designada por profissionais das mais diversas áreas: tecnologia da informação, financeira, administrativa e jurídica e até outras áreas que possam exercer funções de gestão de documentos e de demais informações pessoais.
A partir daí, deve-se mobilizar uma verdadeira força de trabalho para identificar, separar e classificar a documentação física e a digital. Quando tudo estiver organizado, procura-se ordenar um processo de otimização e de gerenciamento de todas essas informações. Identificando então a natureza de todas elas, é possível a sua separação e passa-se a trabalhar somente com o mínimo de informação possível, reduzindo-se consideravelmente a quantidade de utilização desses dados.
Após essa organização e mapeamento, fica mais fácil entender e selecionar quais informações e dados precisarão ser tratados dentro de cada empresa e a especificidade de seu plano de negócios. Ainda, a avaliação periódica de impactos e de riscos ao negócio se torna mais viável, pois a gestão documental, já sistematizada, permite melhor visibilidade e previsibilidade de situações inesperadas.
“De fato”, diz a advogada, “a Lei Geral de Proteção de Dados veio para facilitar os mecanismos atuais de gestão documental, além de preservar a privacidade dos funcionários e de terceiros de um modo geral. Isso porque permite o descarte de informações inúteis, impróprias, o cuidado com as sensíveis, e filtra o que há de melhor a ser aproveitado nas contratações, nos treinamentos e nos contínuos monitoramentos que fazem parte do dia a dia das empresas”.
Assim, além dos novos processos de tratamento e de descarte, algumas outras alterações deverão ser realizadas, como as de ajustes de contratações já efetivadas e filtragem nas permissões de quem pode ou não ter acesso aos dados e quais dados. Importante esclarecer que toda e qualquer modificação feita no intuito de obedecer a Lei deve ser justificada e, ainda, inventariada suas entradas, alterações e saídas.
Todo esse processo pode ser feito em parceria com os especialistas em gestão documental da Access e com as nossas soluções de gerenciamento de documentos, que já contam com robustas políticas e sistemas de segurança que atendem todo o ciclo de vida dos arquivos, garantindo que as informações só serão acessadas por pessoas autorizadas, rastreando todas as alterações e também evitando ataques de hackers.
Outra forma de garantir a segurança no gerenciamento de dados e manter a conformidade com as novas regras é manter armazenadas somente as informações necessárias para o dia a dia dos negócios ou pelo tempo determinado por lei, o que reduz os custos com armazenamento e infraestrutura, além de aumentar a segurança.
Soluções de gestão documental identificam a temporalidade de cada documento, mantendo acessíveis os necessários para o dia a dia dos negócios e aqueles que podem gerar insights para melhorar operações e mais vantagem competitiva. Quando não são mais necessários, os documentos passam por procedimentos de destruição segura, em conformidade com as normas de cada setor e com a LGPD, facilitando o trabalho do DPO.
