"Diante da nova cultura trazida pela LGPD evidenciou-se que a formação do DPO não poderia estar focada somente em tecnologia ou no jurídico. Apesar do pouco tempo para assimilar a nova cultura, ele tem a missão de incluir pessoas e tarefas sem inibir inovações, com a velocidade e segurança necessárias, com total transparência. O DPO é aquele que se ocupa das pessoas, tem um perfil "People Person", pois esse encarregado de dados, é o responsável pela orquestração mais delicada nos processos de negócios que envolvem dados pessoais ou de clientes", conceituou Paula Miller Starling, Data Protection Officer da Ânima Educação, que participou do painel sobre o desafios da atividade do Data Protection Officer, no 3º Data Protection Forum, que aconteceu na última quarta-feira,4.
"Essa cultura de preservação da privacidade não é comum aqui no Brasil e o Data Protection Officer, passa a ser a figura que de imediato vai ter uma série de desafios, seja na comunicação interna, nas resistências culturais e diante ainda de um quadro em evolução da regulamentação da legislação. É nesse indivíduo ou indivíduos que recai a orientação do negócio e a necessidade de orientação das pessoas que estão ali para realizar suas tarefas", argumentou Mariana Thomé Soares, DPO Enel.
Para Gustavo Godinho, PMO projeto LGPD Whirlpool, a principal função desse encarregado dos dados sensíveis dos clientes e das empresas passa por sua habilidade em conquistar corações e mentes para a execução de um processo. "Ele é quem lida em primeira instância com toda a privacidade dos dados coletados, é dele que se espera as diretrizes dos processos e sistemas e esses skills necessários passam pelo conhecimento de outras áreas e seu perfeito entendimento, não importando que ele seja uma única pessoa ou um comitê multidisciplinar nomeado para a função", disse.
Para os executivos o suporte interno dos níveis diretivos das empresas é fundamental para que toda a organização assimile o conhecimento e a cultura da privacidade e cuidado com os dados. Conforme apontaram as habilidades podem ser de um ou mais indivíduos que compõe ou suportam este cargo.
"O olhar do DPO é por essência multidisciplinar, ele deve ser suportado para isso seja por colaboradores internos ou consultores externos, é dele que depende toda a propagação cultural e o início dos processos", diz Mariana.
"Normalmente, o DPO é aquele que deve ter presente quais são as dores orçamentárias e restritivas das empresa, ele é o responsável por manter o nível de conscientização das companhias quanto a importância da legislação, assim como é dele que se espera o suporte técnico para as diferentes áreas da empresa e a expertise para adequar as normas à sua companhia e suas especificidades", resumiu Paula Starling.
Embora as virtudes e habilidades sejam tão específicas e amplas em conceito, o papel do DPO como descrito na própria LGPD diz respeito a uma responsabilidade solidária entre o controlador e o operador de dados, entre quem cede e quem cuida e usa das informações.
Desafios da Identidade Digital
Considerando a natureza aberta da Internet, um dos maiores desafios em privacidade é identificar o titular dos dados, seja para fins de realização de transações, seja para fins de tutela de direitos. Nesta apresentação, Samantha Oliveira, DPO na Acesso Digital falou sobreas dificuldades e soluções associadas à Identidade Digital, na 3 edição do Data Protection Forum.
"A Acesso Digital é a primeira IDTech brasileira e desde 2007, procura fornecer ao mercado, uma maneira segura para a relação das pessoas com as empresas por meio da identidade digital", conceituou a DPO da Acesso. Segundo ela, a empresa construiu um ecossistema de produtos com o objetivo de desburocratizar a relação das pessoas com as empresas, com uso de tecnologia de reconhecimento facial para proteção da identidade das pessoas, digitalização de documentos e acompanhamento de processos via aplicativos, tudo visando automatizar processos, sem a interferência humana.
"As tecnologias de id digital, via biometria facial, inibem fraudes de identidade de forma bastante incisiva. Cerca de 7,5 milhões de pessoas no Brasil foram vítimas de fraudes de terceiros utilizando sua identidade. Mas apesar dos números grandiosos, a legislação ainda é nova e inibe também o uso dos recursos de identificação facial com risco de violação da privacidade", disse.
Entretanto a tecnologia da Acesso, dentro do escopo sugerido pela LGPD e aderente a ela, possibilita que seja utilizada em outros processos, com os devidos consentimentos dos usuários para prova de vida, análise comparativa de documentos, score biométrico, tipificação de documentos e face match.
"Essa tecnologia possibilita a autenticação e validação com acuracidade de 99% permitindo que o dado biométrico evite fraudes em várias instâncias da vida das pessoas", finalizou.
Privacy by Design
Luís Fernando Prado Chaves, sócio de Prado & Vidigal, trouxe para discussão durante a realização da terceira edição do Data Protection Digital Forum, um tema que não é novo, mas que ganhou um impulso dado o alcance da LGPD diante da privacidade das informações pessoais: o Privacy by Design.
O Privacy by Design começou a ter relevância em escala mundial nos anos 2010, mas seu conceito foi concebido na década de 90 pela especialista em privacidade de dados Dra. Ann Cavoukian.
São sete os princípios fundamentais que devem guiar a implementação do processo nas empresas. " O primeiro desses princípios é ser proativo, e não reativo; preventivo, e não corretivo, a fim de antecipar e prevenir situações de invasão de privacidade antes de elas acontecerem. As empresas devem ter a Privacidade como padrão, objetivando entregar os maiores níveis de privacidade quanto possível e assegurar que dados privados sejam automaticamente protegidos em qualquer sistema de TI ou prática de negócios", explica Chaves.
Continuando, o advogado aponta que a especificação do propósito por trás da coleta, uso, retenção e compartilhamento de informações pessoais devem ser comunicados com clareza ao indivíduo detentor dos dados antes do ou imediatamente no momento em que as informações são coletadas, bem como a limitação dessa coleta, pois devem ser coletadas somente aquelas informações pessoais realmente necessárias para os propósitos especificados e relacionados ao serviço/produto sendo utilizado pelo usuário.
"É preciso que as empresas estejam cientes que a coleta de informações que possam identificar individualmente o usuário deve ser mantida no mínimo possível. Seja qual for o design de programas, sistemas de informação e comunicação, o padrão é sempre começar com interações e transações não-identificáveis", afirma.
Conforme aponta Chaves, o uso, a retenção e a divulgação de informações pessoais precisa ser limitada aos propósitos relevantes informados ao indivíduo e àquilo a que ele tenha devidamente consentido.
Assim, conforme explicou, o Privacy by Design deve ser incorporado ao design e na arquitetura de sistemas de TI, práticas de negócios e quaisquer produtos e serviços desenhados pela empresa. Ao incorporar privacidade a qualquer determinada tecnologia, processo ou sistema, isso deve ser feito de uma forma que não comprometa a plena funcionalidade e que permita que todas as exigências sejam otimizadas tanto quanto possível.
"A segurança de ponta a ponta e proteção durante todo o ciclo de vida dos dados, é fundamental para que as políticas e procedimentos relacionados à privacidade possam ser documentadas e comunicadas conforme for apropriado e, então, designados a um indivíduo específico. E, ao transferir informações pessoais para terceiros, medidas equivalentes de proteção à privacidade devem ser asseguradas.", explica Chaves.
"Acima de tudo, o Privacy by Design exige que as empresas prezem ao máximo pelos interesses do indivíduo. Isso é feito por meio de medidas como padrões fortes de privacidade, avisos apropriados e opções", concluiu Chaves.
