Produto
Demo
Blog

Entrevista com Jörg Herman, Data Protection Officer na Alemanha


Com a Lei Geral de Proteção de Dados Pessoais (LGPD) recentemente em vigor, um dos principais tópicos de discussão é a definição e o papel do Encarregado de Dados, previsto no artigo 41, ou, como é comumente identificado pelo brasileiro que importou o nome do exterior, o Data Protection Officer (“DPO”). A  LGPD é sucinta ao tratar do DPO e deixa espaço para posterior regulamentação pela Autoridade Nacional de Proteção de Dados (ANPD). Enquanto aguardamos eventuais regulamentações adicionais, ou mesmo o desenvolvimento da atividade de forma natural pelo mercado, ECOMPLY.io, cumprindo sua promessa de cada vez mais trazer informações do exterior que podem auxiliar os brasileiros nesse processo de adequação com a nova lei, bateu um papo com Jörg Herrman, DPO na Alemanha, que compartilhou um pouco da sua experiência. Confira abaixo. 

Profilfoto für Jörg Hermann
Jôrg Herman


  1. Conte-nos um pouco sobre a sua trajetória profissional e como se tornou um DPO?


Eu me tornei um DPO de forma bastante aleatória. Fui editor-chefe de várias revistas de IT por 18 anos. Perdi meu emprego há 3 anos, momento em que a GDPR estava sendo implementada na Alemanha. Eu apenas agarrei a oportunidade. 

  

  1. Quais são os principais papéis e responsabilidades de um DPO na União Europeia?


Os deveres e responsabilidades do DPO estão listados no artigo 9 da GDPR. Entre elas, (i) informar e aconselhar seu cliente de acordo com os termos das leis; (ii) monitorar o cumprimento da GDPR pelo cliente, bem como de eventuais outras regulamentações que se apliquem, o que inclui a atribuição de responsabilidades, conscientização e treinamento das pessoas envolvidas no processo de tratamento de dados; (iii) realização de auditorias; (iv) aconselhar, caso solicitado, no processo de avaliação de impacto de proteção de dados; (v) cooperar e atuar como intermediário da empresa com a autoridade supervisora, entre outros. 

O DPO, ao desempenhar suas tarefas, deve considerar o risco de cada atividade de tratamento, levando em conta a natureza, o escopo, contexto e finalidades de tal atividade. 


  1. No Brasil importamos o DPO da legislação europeia, quais dicas você poderia dar aos brasileiros que querem atuar nessa profissão?


Para os brasileiros que querem iniciar  uma carreira como DPO, minhas dicas são:

  1. iniciar com a aquisição de um bom software, tal como ECOMPLY. E não estou brincando, o uso de um software faz toda a diferença! Você se perde muito fácil com Word ou Excel, por exemplo.
  2. Estabelecer uma rede de conexão com outros DPOs. É uma profissão que envolve muitas áreas cinzentas, muito mais do que respostas objetivas. É importante ter sempre um feedback de outro profissional. 
  3. Exponha-se! Poste conteúdos no LinkedIn, por exemplo, mas mais importante, compareça a eventos de networking, dê palestras, e assim por diante. É lá que você conhecerá seus clientes. 
  4. Use contratos de longa duração, com renovação automática. Torna a vida mais fácil.


  1. Há empresas brasileiras nomeando funcionários, contratando terceiros ou até mesmo indicando um comitê (grupo de pessoas) como DPO. Na europa o cenário é parecido?


Sim, o mesmo ocorre aqui. Mas lembre-se que mesmo que uma empresa conte com um DPO interno, ainda há espaço para DPOs externos oferecerem serviços tais como treinamentos. 


  1. No Brasil também há a possibilidade de se contratar uma empresa externa como DPO as a service. Na sua visão, há algum conflito em ser uma empresa e não um profissional dedicado? 


Isso é uma questão jurídica. Na Alemanha, não estava claro por muito tempo se era possível ou não essa contratação, o que fez com que as grandes empresas de DPO incluíssem seu CEO como DPO externo em todos os contratos. Agora não mais, e as próprias empresas são os DPOs externos. Vocês terão que ver como essa situação vai ser tratada no Brasil.

  1. O DPO precisa ter autonomia, imparcialidade e acesso à alta direção dos Controladores. Isso vem sendo uma realidade na Europa?


Como DPO externo e considerando minha experiência até o momento, posso dizer que sim. Mas imagino que isso deva ser muito mais difícil para o DPO interno. 


  1. A não indicação de um DPO pode gerar multas aos Controladores. Qual é o momento ideal para a nomeação de um DPO? 


O mais rápido possível. Especialmente para startups, no momento em que elas começam a processar os dados de clientes. Não esperem as autoridades requererem algo, pode ser que seja muito tarde para evitar multas. 


  1. Ainda dependemos de uma regulamentação por parte da ANPD para detalhar melhor o papel e as funções do DPO, mas já há uma Instrução Normativa do Governo Federal do Brasil vedando a nomeação de funcionários da área de Tecnologia ou o próprio Gestor de Tecnologia como DPO nas entidades federais. Você concorda com essa vedação? (https://www.in.gov.br/web/dou/-/instrucao-normativa-sgd/me-n-117-de-19-de-novembro-de-2020-289515596)


SIm. Temos uma situação parecida com a GDPR. Empregados C-level são proibidos de tomar essa função, tal como o CIO. No entanto, funcionários de TI em geral podem ser nomeados como DPO. Um DPO tem que ser independente, e como chefe do departamento de TI, ele teria que lidar com a bagunça que ele mesmo produziu - o que seria incrivelmente difícil. 


  1. Geralmente os DPOs europeus são profissionais de quais áreas originalmente?


As duas áreas principais seriam TI e Jurídica.

 

  1. Analisando as principais violações ao GDPR, percebemos que a ausência de base legal para o tratamento de dados, medidas técnicas e organizacionais insuficientes para a proteção dos dados e o desrespeito aos princípios legais são as principais causas de multas pelas autoridades supervisoras europeias. Qual é a responsabilidade do DPO e o quanto ele pode ajudar a evitar essas situações?


Um DPO deve sempre começar com uma análise das lacunas, gaps. Fazendo isso, ele verificará facilmente as violações mencionadas. O trabalho do DPO é justamente fazer recomendações de como resolver esses problemas. Eu trabalho com um roteiro. Lembre-se que o DPO não é responsável pela implementação de soluções. Ele é apenas um conselheiro, e a responsabilidade fica com o controlador.