Muito se fala sobre as funções do Data Protection Officer, ou encarregado de proteção de dados pessoais, que é a pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD), com atividades previstas no art. 41 da LGPD.
Não é só isso...
Embora possa ter formação jurídica ou técnica, a adequação de negócios, empresas e órgãos públicos não se dá apenas pelas mãos do DPO. Há necessidade de uma sinergia entre DPO, gerentes de áreas, gerentes de projetos, equipes de tecnologia e segurança digital dentre outros.
Tecnologista de privacidade
Neste cenário, embora seja do DPO a função de orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais, traduzir as disposições legais em ações e controles de tecnologia nem sempre se demostra uma tarefa fácil de ser realizada por profissionais não técnicos. Deste modo, garantir que a tecnologia possa satisfazer os objetivos de privacidade e mitigar riscos é papel do tecnologista de privacidade.
Função indispensável e complementar
O engenheiro de privacidade terá competência para gerenciais riscos de cybersegurança, permitindo o uso legal de dados pessoais em conformidade com os regulamentos. Dentre suas atribuições, estão: a) Construir e desenvolver sistemas, processos e produtos de tecnologia com privacidade embutida nas fases de design e desenvolvimento; b) Contribuir para implementação de Privacy Enghanced Technologies (PETs) nos sistemas que tratam dados pessoais, c) Avaliar riscos de tecnologias emergentes ou obsoletas para os dados pessoais; d) Adotar controles técnicos mais adequados para determinadas operações com dados pessoais, considerando a natureza dos dados e forma de comunicação ou tratamento; e) Implementar e atualizar controles tecnológicos que satisfazem objetivos de privacidade, como criptografia, tokenização, anonimização, controle de acessos, vpns, dentre outros
Auditoria de proteção de dados
Além disso, conquanto um DPO possa também ter formação técnica, não é pessoa mais adequada para conduzir auditorias técnicas de infra-estrutura e controles de privacidade, avaliando e comunicando o identificado às áreas responsáveis, tampouco indicando soluções técnicas para corrigir possíveis vulnerabilidades, papel este que pode ser desenvolvido pelo tecnologista de privacidade, trabalhando conjuntamente com DPOs, equipe de TI e segurança. Assim também pode conduzir auditorias técnica sobre os controles aplicados na empresa ou agente de tratamento.
Grande gateway entre leis e tecnologia
Estes profissionais são responsáveis pelo desenvolvimento, engenharia, implantação e auditoria de produtos e serviços de TI, sobretudo, para verificar se atendem orientações do DPO, práticas do mercado, regulamentos e Leis de Privacidade. Por isso, profissionais formados precisam de profundos conhecimentos de UX, inspeção de códigos fonte, design de sistemas, engenharia de software, ameaças de segurança da informação, arquiteturas de redes, criptografia, sistemas operacionais, tecnologias emergentes, bem como outros conhecimentos necessários para construir estruturas privadas na empresa, traduzindo os objetivos de compliance em ações e controles técnicos em todo o data life-cicle da empresa, assegurando o privacy by design e privacy by default.
Frameworks
O Engenheiro do Privacidade lidará diretamente com o risco de privacidade de algumas tecnologias e poderá considerar e adotar um ou mais privacy risk model para tal tarefa,como FIPPS, PRAM (NIST), Compliance Model, Subjective ou Objective Dicotomy, ou Taxonomia dos problemas de privacidade. Definido o modelo, o profissional deve adotar um framework, que é o processo que será seguido para aplicar um privacy model, com vistas a identificar e mitigar riscos. Para isso, hoje poderá atuar com ISO 31000, Nist Privacy Framework, ISO 27701, PCI-DSS, GAPP Maturity Model, dentre outros.
Adequação LGPD
Por isso, contar com um engenheiro de privacidade na equipe ou comitê de proteção de dados assegurará profundo conhecimento e expertise, aplicadas às fases, de pesquisa, desenvolvimento e aquisição de ferramentas e controles, com o escopo de reduzir risco e traduzir em requisitos de tecnologia as obrigações legais e regulatórias. No meu canal no Youtube eu continuo esse debate. Acesse: http://www.youtube.com/josemilagre e não deixe de se inscrever!