Com o GDPR firmemente estabelecido e o LGPD do Brasil entrando em vigor em 15 de agosto de 2020, empresas em todo o mundo estão se esforçando para contratar as pessoas certas para as funções de diretor de proteção de dados (DPO) e diretor de segurança da informação (CISO). É importante que o DPO e o CISO trabalhem bem um com o outro, e essas duas funções devem ser desempenhadas por funcionários diferentes.
Em grandes empresas, o CISO geralmente se reporta ao diretor de segurança (CSO), que supervisiona tanto a segurança física quanto a cibersegurança. Na prática, esses títulos – CSO e CISO – costumam ser usados alternadamente. No entanto, por definição, o CISO é responsável por salvaguardar as informações da empresa sem ser intrusivo para os trabalhadores.
Com relação a questões de GDPR e LGPD, o CISO ajuda a decidir quais informações são coletadas, por quanto tempo essas informações são retidas e onde são armazenadas. Por lei, as empresas precisam de motivos legítimos para coletar dados pessoais dos consumidores, e cabe em parte ao CISO decidir quais dados, se houver, são coletados.
Esteja ciente de conflitos de interesse internos
Com algum treinamento adicional, o CISO poderia teoricamente funcionar como um DPO; no entanto, isso não é aconselhável porque os DPOs não devem ter conflitos de interesse. Parte da sua função envolve auditar a postura de segurança do CISO, o que obviamente não é possível se a mesma pessoa estiver desempenhando ambas as funções. As empresas já foram multadas por isso no passado; em 2016, uma empresa alemã foi multada pela Autoridade de Proteção de Dados da Baviera depois que uma agência reguladora descobriu que o gerente de TI da empresa também era o DPO, essencialmente fazendo auditoria em si mesmo e criando um conflito de interesses.
Para evitar conflitos de interesse, o DPO deve se reportar à pessoa mais alta possível na organização, em oposição a alguém na gerência intermediária. De acordo com o GDPR, os DPOs podem ter outras funções dentro da empresa; Dito isso, isso não é aconselhável se o desempenho de várias funções criar um conflito de interesses.
Considere a cultura de privacidade de sua organização
Ao contrário da função do CISO, que é essencialmente para manter a empresa o mais segura possível sem ser intrusiva, a função do DPO pode ser bastante intrusiva. É vital que essa função seja desempenhada por alguém que seja ético e acessível.
Embora algumas pessoas acreditem que os DPOs devam ser contratados de fora da organização, acredito que faz sentido contratar seu DPO de dentro. Afinal, a privacidade é diferente em vários países, regiões e empresas; qualquer funcionário que trabalhou em uma organização por um longo tempo terá um conhecimento sólido da cultura dessa empresa. E, para ter certeza, qualquer DPO que se preze precisa entender a cultura de privacidade da organização.
Conforme determinado pelo GDPR, os DPOs são obrigados a realizar treinamento de conscientização sobre privacidade para todos os funcionários de suas empresas. Além disso, eles devem alertar as autoridades em caso de violação de segurança. Dito isso, os DPOs não são denunciantes per se; eles são mais como guardiões de dados se esforçando para evitar que as violações ocorram.
Emita uma declaração de independência
É minha opinião que os indivíduos que anteriormente trabalharam em funções gerenciais envolvendo considerações econômicas podem não ter a distância necessária para ser um DPO. Além disso, se sua empresa apresentar 10-Ks, seu DPO deve incluir uma declaração de independência ou, pelo menos, divulgar quaisquer conflitos de interesse. Obviamente, uma declaração de independência fica melhor nos relatórios anuais.
Além disso, pode fazer sentido criar um comitê de proteção de dados. Se este comitê acreditar que o DPO pode ser tendencioso contra alguém na organização, é prudente contratar um DPO assistente.
É importante ter seu DPO e CISO trabalhando em conjunto,
Apesar das responsabilidades de auditoria do DPO, o DPO precisa trabalhar em estreita colaboração com o CIPO. Com o CISO e o DPO trabalhando ativamente juntos para proteger os dados da empresa e os dados pessoais dos clientes, você pode manter sua organização segura e em conformidade com as leis de privacidade de dados.
Por último, o DPO também deve trabalhar em estreita colaboração com toda a alta administração, incluindo o CEO e o conselho geral. Afinal, é vital que todos os chefes de departamento estejam atentos a qualquer instância imprópria de coleta, armazenamento e uso de dados do consumidor.