Onde fica o DPO dentro das empresas?
Quais os prós e contras de o DPO estar em diferentes posições e seus impactos dentro das organizações, segundo Alex Amorim
Estamos numa fase onde várias empresas realizaram projetos de Assessment de LGPD em 2019. Contudo, alguns pontos no plano de ação ficaram a ser definidos no primeiro trimestre como: quem será o DPO? Será um funcionário ou iremos terceirizar o serviço? Iremos usar alguém interno ou contratar alguém de mercado que não conhece a empresa? E afinal onde deverá ser posicionado o DPO?
O objetivo deste artigo é fazer algumas reflexões e mostrar alguns prós e contras em relação ao posicionamento do DPO, tema que abordei numa palestra em dezembro de 2019.
Para contextualizar, gostaria de trazer o conceito do COSO que fala sobre as três linhas de defesa:
Fonte: https://www.legiscompliance.com.br/artigos-e-noticias/674-as-tres-linhas-de-defesa-uma-visao-pratica-para-as-corporacoesA
- A primeira linha de defesa é responsável pela gestão (alta e média gestão; e outros tomadores de decisão), como executores do processo de gerenciamento de riscos e dos sistemas de controles internos da organização.
- A segunda linha são os órgãos e profissionais de staff que têm como objetivo apoiar a gestão para que cumpram as responsabilidades de primeira linha, fornecendo conhecimento e ferramentas adequadas para este processo. Nesta linha, se encontram os especialistas em controles internos, gestores de riscos, processos, compliance e outros profissionais de apoio.
- A terceira linha se resume na atividade de auditoria interna com objetivo de realizar uma avaliação assertiva e independente da gestão dos riscos, controles e governança da organização. O resultado é a comunicação e efetivação das oportunidades de melhoria identificadas.
Já o DPO tem pelo menos as seguintes tarefas:
- (a) informar e aconselhar o controlador ou o processador e os empregados que efetuam o processamento das suas obrigações nos termos do presente regulamento e de outras disposições em matéria de proteção de dados da União ou dos Estados-Membros;
- (b) monitorar a conformidade com o presente regulamento, com outras disposições em matéria de proteção de dados da União ou dos Estados-Membros e com as políticas do controlador ou dos processadores no tocante à proteção dos dados pessoais, incluindo a atribuição de responsabilidades, a sensibilização e a formação do pessoal; envolvidos em operações de processamento e as auditorias relacionadas;
- (c) prestar aconselhamento, se tal for solicitado, no que diz respeito à avaliação de impacto sobre a proteção de dados, e acompanhar o seu desempenho nos termos do Artigo 35 (*);
- (d) cooperar com a autoridade supervisora;
- (e) servir de ponto de contato para a autoridade supervisora em questões relacionadas com o processamento, incluindo a consulta prévia referida no Artigo 36 (*), e a consultar, se for caso, qualquer outra questão.
(*) Fonte: Regulamento Geral de Proteção de Dados (UE) 2016/679; Artigo 39(1)
Ou seja, fazendo uma referência no modelo das três linhas de defesa do COSO sobre o pressuposto do DPO estar na segunda linha de defesa, onde basicamente terá a atribuições de direcionar o público da primeira linha para atuar conforme as melhores práticas de privacidade. Tendo assim, a terceira linha como auditoria interna para avaliar de forma objetiva e independente com o objetivo de validar a eficiência dos controles e processos.
Partindo dos pontos apresentados acima existem vários questionamentos do posicionamento hierárquico dentro das empresas. Desta forma, gostaria de expor algumas possibilidades.
DPO abaixo de Auditoria Interna?
Baseado nas três linhas de defesa foi clarificado que o time de auditoria interna tem a grande missão de apoiar os controles e processos que podem ter passado despercebido ou até mesmo negligenciados pela primeira e segunda linha. Desta forma, entendo que não é recomendado o DPO estar abaixo de auditoria interna mesmo tendo muitas vezes uma independência com report direto ao conselho de administração para as empresas de capital aberto, por exemplo.
DPO abaixo do time de Governança, Riscos e Compliance?
Prós: terá força para materializar os pontos apresentados pelo DPO baseado no modelo de riscos corporativos.
Contra: Em todas as recomendações do DPO terá um caráter de cobrança e muitas vezes com viés punitivo. Assim, áreas poderão deixar de procurar o DPO para não relatar possíveis problemas com receio de punições.
DPO Abaixo do CIO?
Prós: Estará muito próximo dos times de tecnologia podendo ter tração para tomada de ações e iterações rápidas com os times.
Contra: Poderá ocorrer confusões de orçamentos de tecnologia e privacidade onde recursos de privacidade poderão ser usado para outros fins. Temas críticos de privacidade poderão não ser levados ao Board visto que os principais temas de tecnologia é transformação e disponibilidade.
DPO abaixo do jurídico?
Prós: Pontos apresentados pelo DPO poderão ser pautados com base legais.
Contra: Ausência de conhecimento técnico para a tomada de decisões e gestão do orçamento, visibilidade punitiva por outras áreas da empresa.
DPO abaixo do CEO?
Prós: Envolvimento direto com o board com acesso direto ao conselho, isonomia entre outras áreas da empresa e orçamento será discutido de forma sistema.
Contra: Disputa de agenda para tratar os temas de privacidade.
Conforme as opções apresentadas acima fica claro que não há certo ou errado. Porém, existe uma grande tendência com experiencia na GDPR das empresas estarem abaixo do CEO, garantindo e demostrando isonomia, transparência e preocupação por parte do board. Importante que cada empresa faça os estudos de prós e contras a fim de identificar o melhor posicionamento ao DPO, visto que é uma posição obrigatória para todas as empresas controladoras.
Espero que este artigo tenha auxiliado e criado algumas perspectivas para a melhor tomada de decisão em sua empresa.
Autor: Alex Amorim, CISO, DPO e Colunista