Um cargo pouco conhecido começou a aparecer nas listas de profissões em alta a partir de 2018. Uma função descrita por apenas três letras passou a ser tão valorizada que os profissionais que se especializavam nela chegam a receber R$ 20 mil por mês, segundo levantamento do PageGroup de 2021.
É o Data Protection Officer, ou simplesmente DPO, uma nova oportunidade de carreira para quem já atua no mundo do Direito. De acordo com o Comitê Privacy BR, um terço dos profissionais que exercem atividades de DPO no Brasil vem do setor jurídico. O restante vem das áreas de segurança da informação, TI, gestão de projetos e compliance.
Se você pensa em dar um novo rumo na sua trajetória profissional, o cargo de Data Protection Officer pode ser uma boa opção. A seguir, você vai entender mais sobre as funções do cargo e por que ele é tão importante para empresas do Brasil e do mundo.
O que você vai encontrar por aqui:
- O que significa Data Protection Officer
- A relação entre DPO e LGPD
2.1 Quais empresas precisam ter um DPO?- A diferença entre DPO interno e DPO as a service
3.1 DPO interno
3.2 DPO as a service- As funções do DPO nas organizações
4.1 Quanto ganha um DPO- Quem pode ser um Data Protection Officer
5.1 As características de um bom DPO- As certificações necessárias para se destacar como DPO
6.1 Certificação EXIN Data Protection Officer
6.2 Certificação CDPO/BR da IAPP
O que significa Data Protection Officer
Data Protection Officer (DPO), ou “diretor de proteção de dados”, em português, é o termo usado para definir a função do profissional responsável pela proteção de dados dentro de uma organização, garantindo a segurança das informações de clientes, fornecedores e da própria empresa.
O cargo existe há alguns anos em organizações privadas e públicas fora do Brasil, após a implementação da General Data Protection Regulation (GDPR) – em português, Regulamento Geral sobre a Proteção de Dados.
A GDPR regulamenta a proteção de dados pessoais e identidade dos cidadãos da União Europeia desde 2016. Quando falamos em dados, estamos nos referindo às informações geradas pelas pessoas no meio online e físico. Os exemplos mais comuns são o nome, CPF, e-mail e número de celular, mas o conceito engloba informações sensíveis também, como orientação política e condições de saúde.
A necessidade de ter uma legislação específica sobre privacidade e proteção de dados veio com a acelerada digitalização da sociedade e a massificação da internet – contexto que fez, inclusive, surgir uma nova especialidade no Direito, o Direito Digital.
Para garantir que as organizações façam um bom uso das informações dos usuários, a GDPR criou a figura do Data Protection Officer.
O DPO é mencionado no artigo 37 da GDPR. A legislação europeia define que o profissional responsável pela segurança de dados deve trabalhar lado a lado da equipe de compliance para garantir que a organização cumpra todas as leis de proteção de dados, além de realizar treinamentos e orientar os colaboradores sobre boas práticas de privacidade.
A GDPR inspirou a Lei Geral de Proteção de Dados (LGPD), que está em vigor desde 2020 e define a atuação do DPO no Brasil.
A relação entre DPO e LGPD
Assim como a GDPR na Europa, a LGPD estabelece como os dados pessoais dos usuários devem ser armazenados, protegidos e usados por empresas, pessoas e órgãos públicos. A legislação é válida em todo o território nacional e garante a privacidade da população, ao impedir que bases de contatos circulem livremente entre entidades privadas.
A LGPD também estabelece a obrigatoriedade de organizações nomearem um Encarregado pelo Tratamento de Dados Pessoais, ou seja, um DPO. A função deste profissional é definida no artigo 5º, inciso VIII, da Lei 13.853/2019:
“Encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).”
Aqui vamos fazer uma pausa para entender o significado de alguns termos frequentes na LGPD. É importante saber o que eles querem dizer para respeitar a lei.
As definições a seguir são do Serpro, estatal de TI e processamento de dados:
- Agentes de tratamento: o controlador e o operador
- Autoridade nacional: órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional
- Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais
- Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador
- Titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento
>>> Aqui você encontra um glossário completo preparado pelo Serpro.
Quais empresas precisam ter um DPO?
Toda empresa, seja pública ou privada, seja de pequeno, médio ou grande porte, deve ter um DPO. No artigo 41, a LGPD ainda orienta que as organizações publiquem em seus sites oficiais a identidade e as informações do encarregado indicado.
Mas a Agência Nacional de Proteção de Dados (ANPD) pode, no futuro, definir quais organizações não vão precisar indicar um encarregado de dados. Ela já colocou em consulta pública a dispensa do DPO para startups e micro e pequenas empresas, em setembro de 2021.
Isso já acontece na União Europeia. A GDPR estabelece a obrigatoriedade ou não de acordo com o tamanho da empresa e a relevância do tratamento de dados realizado. A legislação na Europa também determina que toda autoridade ou organismo público tenha um DPO.
A diferença entre DPO interno e DPO as a service
A LGPD não determina que o DPO da empresa seja um colaborador interno ou um profissional externo, nem que seja uma pessoa física ou jurídica. Ou seja, não existe uma forma correta de contratação, o importante é que as organizações tenham alguém que se responsabilize pela proteção de dados.
E é na forma de contratação que está a diferença entre o DPO interno e o DPO as a service. O DPO interno faz parte do quadro de funcionários da empresa, enquanto o DPO as a service é um fornecedor terceirizado, que pode ser uma pessoa física ou jurídica.
A seguir, vamos detalhar os dois tipos de Data Protection Officer.
DPO interno
Como o nome já diz, o DPO interno é um profissional que faz parte do quadro de colaboradores da organização, em geral sob o regime da CLT. Ele tem como principal tarefa ajudar a empresa a se adequar à LGPD, além de manter contato com a ANPD, titulares e operadores de dados.
Vantagens
- Já conhece a empresa, os objetivos de negócios, os processos e as pessoas envolvidas no projeto de adequação à LGPD.
Desvantagens
- Necessidade de a empresa capacitar o colaborador para exercer a função de DPO.
- Acúmulo de funções, o que pode levar a maiores encargos trabalhistas.
- Conflito de interesses, devido à relação de subordinação de emprego.
DPO as a service
O trabalho do DPO é terceirizado para um profissional externo. É uma prestação de serviço como qualquer outra no Brasil, regida pela Lei nº 10.406/2002, o Código Civil.
Vantagens
- Custos mais acessíveis para e empresa, pois os contratos são firmados de acordo com a demanda.
Desvantagens
- Um DPO externo não conhece o modelo de negócio nem a cultura organizacional da empresa. Ele precisará de tempo para assimilar o core business.
Uma organização não precisa ter apenas um ou outro. É possível seguir um modelo híbrido, em que a empresa monta um grupo de trabalho com um DPO interno e um DPO as a service. Ambos serão responsáveis pelo programa de governança em privacidade.
As funções do DPO nas organizações
Toda empresa deve nomear um DPO, mas o que este profissional faz exatamente?
A advogada, conselheira titular do Conselho Nacional de Proteção de Dados (CNPD) e professora convidada da Pós PUCPR Digital, Patrícia Peck Pinheiro, explicou em entrevista para a Você S/A a principal função do encarregado de dados:
“O primeiro papel do DPO é ser o principal porta-voz e interlocutor sobre proteção de dados, seja com os titulares de dados, seja com a Autoridade Nacional de Proteção de Dados (ANPD)”.
Essa atribuição está na LGPD, que traz outras atividades que devem ser desempenhadas pelo Data Protection Officer:
- Prestar esclarecimentos e tomar providências ao receber reclamações de titulares;
- Receber as comunicações e atualizações da ANPD para repassá-las aos demais gestores;
- Realizar treinamentos para todos os colaboradores se adequarem às boas práticas de segurança e uso de dados;
- Orientar as áreas da empresa a seguirem o Privacy by Design no desenvolvimento de novos projetos, produtos e serviços.
- Coordenar o programa de compliance à LGPD, levando em consideração o contexto da organização, os requisitos legais e técnicos e o respeito à privacidade do titular;
- Formular relatórios, manuais e sugerir mudanças que assegurem que a empresa siga as normas da LGPD.
Esta lista tende a aumentar nos próximos anos, pois as atividades do DPO ainda estão sendo definidas pela ANPD.
Quanto ganha um DPO
É bastante responsabilidade, não é mesmo? Por isso que o Encarregado de Dados de uma empresa é um profissional bastante valorizado e com uma boa remuneração.
Segundo o site Vagas.com.br, um DPO em início de carreira recebe R$ 16.605,00 de salário, que pode chegar a R$ 21.494,00. A média salarial do cargo no Brasil é de R$ 19.689,00.
O site Glassdoor apresenta uma média semelhante: R$ 18 mil por mês.
Quem pode ser um Data Protection Officer
Para atuar como DPO, não é exigida uma formação específica ou uma certificação obrigatória. Mas, como vimos no início deste artigo, a maioria dos profissionais que ocupam o cargo são da área jurídica, compliance, cibersegurança e TI.
A pessoa encarregada pela segurança dos dados domine os seguintes pontos:
- LGPD;
- Leis setoriais do segmento de atuação da organização;
- Legislação de outros países sobre proteção de dados, como a GDPR;
- Modelo de negócios da empresa;
- Boas práticas de governança corporativa, processos e segurança da informação.
Por isso, se você quiser seguir carreira como DPO, o ideal é buscar cursos e especializações sobre LGPD, Direito Digital e segurança da informação.
O curso Direito 4.0: Direito Digital, Proteção de Dados e Cibersegurança da Pós PUCPR Digital oferece uma disciplina totalmente voltada ao trabalho do Data Protection Officer.
As aulas são ministradas pela desembargadora do Tribunal de Justiça de Santa Catarina (TJSC) e integrante da 5ª Câmara de Direito Público, Denise Francoski. Ela vai compartilhar sua experiência como Encarregada pelo Tratamento de Dados Pessoais do Poder Judiciário de Santa Catarina.
Denise Francoski, desembargadora do TJSC e professora convidada da Pós PUCPR Digital. Créditos: Assessoria de Imprensa/NCI.
As características de um bom DPO
Mesmo que não haja uma formação específica, quem deseja atuar como DPO deve desenvolver algumas soft skills essenciais para o trabalho.
- Boa comunicação interna e externa;
- Capacidade de trabalhar em equipe;
- Disposição para aprender coisas novas ao longo da carreira, o lifelong learning.
Como sempre falamos aqui no blog da Pós PUCPR Digital, as soft skills não são inatas. Elas podem ser desenvolvidas com o tempo, a partir do autoconhecimento e de novas experiências. Neste artigo, separamos algumas orientações sobre como aprimorar suas soft skills.
As certificações necessárias para se destacar como DPO
Aliadas a uma pós-graduação, certificações com reconhecimento internacional farão com que você fique mais preparado para chamar a atenção de recrutadores e assumir um cargo de DPO.
As principais certificações do mercado são da EXIN e da International Association of Privacy Professionals (IAPP).
Certificação EXIN Data Protection Officer
A EXIN é um instituto independente de certificação em tecnologia da informação que está presente em mais de 165 países.
A certificação em Data Protection Officer é voltada para quem sonha em ocupar o cargo ou já atua como DPO. Ela atesta o domínio sobre a GDPR e sobre demais competências relacionadas à segurança da informação, privacidade e proteção de dados.
Para obtê-la, é necessário fazer uma prova, que está disponível em português. Também é necessário já ter o certificado de especialista em ISO/IEC 27001 da EXIN.
Saiba mais sobre a Certificação EXIN Data Protection Officer clicando aqui.
Certificação CDPO/BR da IAPP
A IAPP é uma associação sem fins lucrativos criada para compartilhar boas práticas, tendências e oportunidades de carreira entre os profissionais que trabalham com privacidade.
A entidade oferece uma certificação em proteção de dados voltada para quem atua como DPO no Brasil. Ela comprova o domínio da LGPD e de princípios gerais da privacidade e segurança da informação.
Para receber a certificação da IAPP, é preciso fazer dois exames. O primeiro é o CIPM, do American National Standards Institute (ANSI/ISO). Ele tem 90 questões de múltipla escolha e duas horas e meia de duração.
O segundo exame é o de LGPD, composto por 60 questões de múltipla escolha e com duas horas de duração. Ambos os testes estão disponíveis em português.
Saiba mais sobre a Certificação CDPO/BR da IAPP clicando aqui.
Seja para quem é do Direito ou da Tecnologia da Informação, a carreira de DPO é bastante atrativa, não é?
Aqui você aprendeu mais sobre o significado e as funções do Data Protection Officer (DPO). Também viu o que é necessário para trabalhar como DPO e as certificações internacionais que podem ser agregadas ao seu currículo.
Esperamos que essa leitura ajude você a construir uma trajetória profissional incrível!
Se quiser se aprofundar mais sobre segurança da informação e privacidade, confira os artigos sobre tecnologia do Blog da Pós PUCPR Digital.
