Entrevista
Precisa de ajuda? Chama o DPO!
O "encarregado" deve entender o ciclo de vida dos dados pessoais na instituição, deixando-a em conformidade com a LGPD. A seguir, André Sucupira, do Serpro, compartilha como será sua atuação como DPO de uma empresa pública
Por vezes nem lembramos, mas quando vamos à praia, geralmente há por lá um ou mais salva-vidas a postos para ajudar, caso alguém se afogue no mar. Se na praia tem salva-vidas, no “mar virtual” há o DPO: o profissional que ajuda a proteger as pessoas e seus dados particulares principalmente nos meios digitais, como a internet. Nesta nova entrevista, o portal dialoga com André Sucupira, o encarregado pelo tratamento de dados no Serpro, empresa pública de TI do governo federal.
André Sucupira é advogado, pós-graduado em Direito Constitucional e em Direito Digital. Atua desde 2013 em lideranças no Jurídico do Serpro e possui diferentes formações ligadas à proteção de dados, como certificações da Exin em Privacy and Data Protection Practitioner, Privacy and Data Protection Foundation e Data Protection Officer, e cursos como o sobre proteção de dados pessoais no setor público. Em outubro de 2020, foi nomeado encarregado – ou DPO, sigla de Data Protection Officer – do Serpro.
Confira logo a seguir o bate-papo no qual ele aborda a trajetória da empresa em busca da adaptação à LGPD e como ele, no papel de DPO, poderá ajudar a organização a se adequar, cada vez mais e melhor, à lei que já entrou em vigor.
Portal LGPD – Qual a sua relação com o tema LGPD?
André Sucupira – Sou um estudioso e entusiasta do tema privacidade e proteção de dados. Esse assunto é muito importante e atual, pois permeia toda a sociedade e vem suprir uma necessidade mundial de regular o tratamento de dados pessoais, que hoje, como sabemos, são considerados o “novo petróleo”.
Como é sua atuação no projeto de adequação à lei que vem sendo desenvolvido no Serpro?
Em outubro de 2019 comecei a trabalhar, como representando do Jurídico, com a Rede LGDP, o grupo responsável por aprimorar a adequação do Serpro à lei. Entre outras atividades, colaborei para a adaptação dos contratos de despesas e receitas, para a construção de material didático como cartilhas sobre a lei, e para a elaboração de um diagnóstico multidisciplinar de privacidade, um documento que ajuda a demonstrar a conformidade das soluções da empresa com a LGPD. Em outubro de 2020, fui escolhido para ser o encarregado pelo tratamento dos dados pessoais. No Serpro, o DPO ocupa, oficialmente, o cargo de superintendente de Privacidade e Proteção de Dados, e possui, é claro, a característica principal de atuar de forma transversal em toda a empresa.
“O encarregado, como o guardião da privacidade, tem a responsabilidade de preservar os princípios da segurança da informação e da privacidade no âmbito interno e na relação com controladores e ANPD. Pelo ineditismo desse relacionamento, é um grande desafio”
Que perfis profissionais irão compor a sua equipe?
Empregados que tenham afinidade com o tema de privacidade, preferencialmente com cursos ou certificações relacionadas a esse tema.
Já existe um plano de mudanças para as práticas da empresa?
O trabalho relativo à privacidade foi iniciado em 2019, com a criação do grupo de trabalho do projeto LGPD. Desde aquela época têm sido praticados treinamentos, workshops, palestras sobre o assunto. E, a partir de setembro de 2020, foi disponibilizado aos empregados do Serpro um curso sobre os fundamentos da nova lei. A partir de ações como essa pretendemos aprimorar a cultura e a conscientização sobre privacidade e proteção de dados, uma vez que isso é fundamental para a construção de novas práticas na empresa.
Já existe um plano de mudanças para os produtos comercializados pela empresa?
Sim. Inicialmente criamos o Escritório de Governança de Dados e o Diagnóstico Multidisciplinar de Privacidade, ambos para apontar melhorias em todos os produtos comercializados pelo Serpro. Também estamos avaliando, em conjunto com a Diretoria Executiva, se é possível que a empresa obtenha certificações de segurança e privacidade que promovam a internacionalização da empresa.
E algum produto ou linha de negócio precisa de maior atenção?
A linha de produto de "Informação e Análise" é a que carece de mais cuidados, uma vez que tratamos bases de dados que contêm dados pessoais que são resguardados pela Lei Geral de Proteção de Dados Pessoais.
Já é possível garantir que o Serpro está adequado à LGPD? Se ainda não, quando estará?
Podemos dizer que todas as ações consideradas como obrigatórias ou foram concluídas ou estão na "última milha" de conclusão. Portanto, de forma geral, entendo que o Serpro se encontra adequado à LGPD, faltando apenas alguns ajustes pontuais.
Quais os principais desafios que você, como encarregado do Serpro, enfrentará?
O encarregado, como o guardião da privacidade, tem a responsabilidade de preservar os princípios da segurança da informação e da privacidade dos dados pessoais, tanto no âmbito interno quanto na relação com os controladores, bem como a tarefa de executar a interação entre esses agentes de tratamento e a recém-criada Autoridade Nacional de Proteção de Dados. Pelo ineditismo desse relacionamento, e as questões envolvidas, é um grande desafio.
Algo mais que gostaria de acrescentar?
Vale destacar que a LGPD estabelece que o encarregado é o canal de comunicação entre os agentes de tratamento, os titulares de dados pessoais, e a ANPD. Ou seja, por se tratar de um papel relevante, previsto no artigo 41 da lei, a identificação do DPO e o meio de contato com ele devem ser divulgados pelas organizações, publicamente de forma clara e objetiva, para que empregados, colaboradores, clientes e titulares de dados pessoais saibam quem é o profissional que os ajudará nessa importante e constante jornada de tratamento de dados pessoais no país.
Atividades do DPO, segundo a LGPD:
- Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências
- Receber comunicações da autoridade nacional e adotar providências
- Orientar os funcionários e os contratados da entidade sobre as práticas a serem tomadas em relação à proteção dos dados pessoais
- Executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares
Vale lembrar que a ANPD poderá estabelecer normas complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da organização e o volume de operações de tratamento de dados que realiza.