Em 25 de maio de 2018, entrou em vigor o novo
Regulamento Europeu de Proteção de Dados Pessoais (doravante GDPR - Regulamento Geral de Proteção de Dados). Este regulamento é conhecido por seu efeito extraterritorial: é obrigatório para uso em todos os países da UE e, sob certas condições, se estende a empresas não europeias ou as obriga a alinhar suas atividades com os requisitos do RGPD para não perder seu parceiro europeu. Consequentemente, os negócios russos também podem ser afetados por uma nova lei, cuja análise geral está disponível
aqui . O GDPR fortalece o regime estabelecido anteriormente para a proteção de dados pessoais, além de introduzir novas obrigações para as organizações que processam esses dados.
Em particular, o regulamento modernizou a profissão já existente responsável pela proteção de dados (doravante DPO - Data Protection Officer). Este post também foi previsto na
diretiva-quadro de 1995 , que foi substituída por um novo texto. A legislação anterior regulamentava as atividades de tal especialista, mas não insistia em sua nomeação sem falhas.
Quando o DPO deve ser prescrito?
Hoje, na era do RGPD, a nomeação de um DPO tornou-se obrigatória nos seguintes casos (
artigo 37 do RGPD ):
- Nas empresas que realizam sistematicamente e regularmente o monitoramento em larga escala de indivíduos (na maioria das vezes, é o monitoramento para fins de publicidade contextual);
- Nas empresas que realizam processamento em larga escala de categorias especiais de dados pessoais, como dados de saúde, etc;
- Em qualquer autoridade pública que processe dados pessoais.
Em todos os outros casos, a nomeação do DPO permanece opcional. No entanto, os reguladores europeus pedem por unanimidade que não negligenciem esse especialista e delegam a autoridade para proteger os dados pessoais de um profissional nesse campo.
Essa inovação do legislador europeu é facilmente explicada pela filosofia do próprio regulamento: um regime aprimorado de proteção de dados; maior responsabilidade dos processadores de dados; enormes sanções em caso de violação das disposições do RGPD. Para alinhar suas atividades com os novos requisitos, as empresas precisam do apoio de especialistas altamente especializados.
Déficit no mercado de serviços de DPO
É verdade que os parlamentares não levaram em conta ou simplesmente ignoraram o fato de que o mercado atual de serviços de proteção de dados pessoais não está pronto para suportar tal fluxo de novos clientes que são forçados a recrutar DPO. Apesar de essa profissão existir há mais de um dia, o número de especialistas deixa muito a desejar, mesmo no mercado europeu. Portanto, de acordo com
pesquisa da IAPP (Associação Internacional de Profissionais de Privacidade), 28 mil especialistas devem ser contratados em 2018 apenas na UE e nos EUA. E em todo o mundo, esse número cresce para 75 mil.
Obviamente, essa demanda não pode ser satisfeita exclusivamente por profissionais internos (funcionários internos das empresas). Nesse sentido, muitas empresas recorrem a organizações de consultoria externas que fornecem serviços de DPO. Por exemplo, para pequenas e médias empresas, isso pode ser muito mais fácil do que contratar um novo funcionário. De qualquer forma, o status externo ou interno quase não afeta as atividades do próprio DPO.
DPO - advogado ou especialista em TI?
Primeiro de tudo, você precisa entender que o DPO deve ter conhecimento jurídico. Esta conclusão resulta diretamente do
artigo 39 do Regulamento Europeu, que lista as tarefas e missões do DPO. Em maior medida, é claro que isso é um advogado. Além disso, deve ser um advogado com fortes habilidades gerenciais e conhecimentos técnicos adequados, ou seja, um gerente.
Com menos frequência, o papel do DPO é desempenhado por especialistas no campo da tecnologia da informação, que têm apenas idéias básicas sobre a lei. É verdade que essa situação é característica dos países ocidentais. No mercado doméstico para a proteção de dados pessoais, são os especialistas em TI que dominam, e não os advogados. O GDPR, que já entrou em vigor, deve inclinar a balança do lado dos juristas na Rússia, mais precisamente, juristas especializados.
De uma forma ou de outra, as grandes corporações, é claro, preferem contratar alguns especialistas para garantir a segurança de TI e outros para dados pessoais. Pequenas e médias empresas estão tentando fazer uma escolha em favor de um funcionário competente em ambas as áreas.
Por que isso está acontecendo? A resposta está na superfície: o GDPR tem muitas responsabilidades para as empresas.
Por um lado, é necessário garantir a segurança dos dados pessoais, responder corretamente em caso de vazamento. Isso geralmente é feito por pessoas de TI. Por outro lado, é necessário concluir acordos que correspondam legalmente aos requisitos do regulamento, manter registros especialmente fornecidos, entrar em contato com as autoridades de supervisão e cumprir outras obrigações de "papel". E advogados, às vezes até gerentes, geralmente estão envolvidos nisso.
Como resultado, um bom especialista no campo de dados pessoais é uma espécie de mistura de todas essas profissões.
O que o DPO faz?
Quanto ao perímetro da DPO, esse funcionário fará todo o necessário para que a empresa cumpra totalmente os regulamentos europeus e outros atos no campo da proteção de dados pessoais e, assim, evite sanções importantes, bem como riscos contratuais com os parceiros.
A DPO conduzirá uma auditoria geral da atividade, identificará todas as categorias de dados pessoais processados pela empresa, proporá medidas para garantir sua segurança, bem como uma estratégia geral de desenvolvimento para o uso legítimo dos dados. Ele também negociará com o supervisor, se necessário. Também ajudará a responder adequadamente às solicitações de pessoas cujos dados são processados pela empresa. Em geral, quase tudo relacionado a dados pessoais se enquadra no perímetro do DPO.
Se esse funcionário for negligenciado na era do RGPD, bem como no meio de grandes escândalos com o vazamento de dados pessoais, cabe às próprias empresas. Mas, novamente, isso é necessário apenas para aqueles que não têm uma responsabilidade direta de nomear um DPO.
Características da prestação de serviços DPO
Quando uma organização pensa em recrutar DPO, é importante entender que existem dois tipos principais de serviços nessa área: o mencionado internamente e a consultoria. No primeiro caso, o empregado é contratado sob um contrato de trabalho; no segundo, uma empresa de consultoria externa presta serviços de DPO sob um contrato de direito civil. Independentemente da opção escolhida, a própria empresa continuará sendo a pessoa legalmente responsável. Em nenhum caso, a DPO será responsável pela falha da empresa em cumprir as disposições do GDPR.
Além disso, o regulamento europeu prevê estritamente a total independência de um especialista em proteção de dados pessoais. No caso de empresa interna, o DPO só pode ser responsável perante a pessoa que ocupa a posição mais alta na hierarquia. No caso de consultoria externa, o DPO não deve estar em uma situação de conflito de interesses, o que geralmente acontece se for, por exemplo, um advogado.
Em qualquer caso, o conflito de interesses e a independência do DPO são sempre verificados pelo supervisor no campo da proteção de dados pessoais. Este é um processo obrigatório e qualquer atribuição de DPO deve ser declarada ao regulador. Em outras palavras, toda vez que um DPO é nomeado, o supervisor deve ser notificado sobre isso.
Você pode aprender mais sobre as várias sutilezas associadas à nomeação do DPO, obrigatórias e opcionais, bem como suas funções e missões na
Diretriz do
grupo de trabalho WP29 . Essa organização existia na era da diretiva-quadro de 1995 e sua principal tarefa era interpretar a legislação no campo da proteção de dados pessoais. Com a entrada em vigor do RGPD, o grupo de trabalho foi substituído
pelo Conselho Europeu de Proteção de Dados, mas o trabalho do WP29 não perdeu seu significado.
Algumas idéias sobre a profissão de DPO
Hoje, é completamente incompreensível que tipo de histórico um candidato a emprego para um DPO na Rússia deveria ter. As instituições educacionais quase não oferecem programas especiais no campo do direito digital ou na proteção de dados pessoais. Obviamente, a demanda no mercado interno é muitas vezes menor do que no europeu, mas não o suficiente para justificar essa lacuna. Grandes faculdades de direito estão apenas começando a introduzir cursos especiais em TI.
Muitas organizações internacionais há muito tempo fornecem vários métodos de certificação. Por exemplo, o
IAPP acima mencionado oferece um curso preparatório no GDPR e certifica aqueles que são aprovados no exame. Este curso é acessível a todos os interessados e a certificação IAPP é muito apreciada em todo o mundo.
Quanto à rentabilidade da profissão, se você acredita, por exemplo, na associação francesa dos responsáveis pela proteção de dados pessoais, o DPO médio na Europa ganha de 2,5 mil a 4 mil euros. Esse plugue corresponde aproximadamente à renda média de um programador europeu. Como conclusão, podemos esperar uma igualdade aproximada entre a renda dessas duas profissões no mercado doméstico.
Em resumo, deve-se enfatizar que o Oficial de Proteção de Dados é uma profissão jovem que recebeu um impulso significativo ao desenvolvimento graças à entrada em vigor do novo regulamento europeu do RGPD. Hoje, a proteção de dados pessoais no GDPR é uma tendência científica que as empresas de todo o mundo devem prestar atenção, e não apenas na Europa. Em breve, a cooperação total com parceiros europeus só será possível se o RGPD for respeitado, o que é difícil de imaginar sem integrar a profissão de DPO no setor de serviços de consultoria, pelo menos.
