Então você decidiu atuar na área de proteção de dados como um Data Protection Officer e está se perguntando quais são as primeiras ações práticas como DPO?
Bom, se você acabou de ser nomeado como DPO e se sente meio “perdido”, provavelmente você fará as seguintes perguntas: Quais devem ser suas primeiras ações? Por onde você deve começar?
Segundo a CNIL (Autoridade de Proteção de Dados da França), são três os grandes conjuntos de ações que um DPO deve fazer quando uma pessoa é nomeada como DPO:
- Para começar, o DPO deve se informar e ser conhecido na organização. É necessário elencar todas as obrigações jurídicas da empresa (ou seja, identificar a que a organização está submetida) e fazer uma avaliação própria dos temas relacionados à proteção de dados e à segurança dos sistemas de informação. Ao mesmo tempo, o DPO deve ser fácil de ser encontrado, deve ter um plano de comunicação interna para informar a todos os funcionários sobre sua função como DPO, e precisa conhecer os contatos internos e os departamentos com os quais trabalhará no contexto de sua atuação profissional.
- Em seguida, é mão na massa: o DPO deve começar a monitorar a conformidade da organização com as exigências legais de proteção de dados. A CNIL sugere os seguintes itens como elementos essenciais para este monitoramento: ter um mapeamento (próprio) das atividades de tratamento; priorizar as ações a serem tomadas; gerenciar riscos; organizar procedimentos internos; e documentar o nível de conformidade. A CNIL reforça que a conformidade de uma organização com as legislações de proteção de dados é um processo permanente e dinâmico que não deve se limitar aos primeiros dias da nomeação do DPO.
- O terceiro grande conjunto de ações refere-se à disseminação da cultura de privacidade dentro da organização. O DPO deve estruturar e movimentar a sua rede de contatos, tanto internos (uma pessoa em uma unidade do negócio, por exemplo) quanto externos (por exemplo, entrando em contato com DPOs do mesmo setor de atividade ou participando de associações de DPOs). Por outro lado, o aumento da conscientização interna é fundamental, especialmente por meio da sugestão de políticas e procedimentos pró-privacidade, além de identificar públicos-alvo específicos que precisem de atenção especial. A conscientização geral pode ser feita também por meio de documentos, imagens, vídeos, games, etc.
Você identifica mais alguma ação que o DPO tem de fazer logo após ser nomeado para esta função? Quais seriam, na sua visão, as primeiras ações práticas como DPO?
Vamos que vamos e #colanopapai!
Prof. Matheus Passos