DPO: o que faz, salário e importância desse profissional

Escrito por Equipe TOTVS
Última atualização em 26 dezembro, 2022

O DPO ou Data Protection Officer é um profissional dedicado a garantir que empresas sigam seu compliance e as leis de proteção aos dados pessoais. Hoje, são muito importantes dentro de uma empresa.

Termo novo, nome diferente: o DPO é um tipo de função que atrai olhares e curiosidade de vários no mercado, especialmente empreendedores e gestores.

Veja bem: a cada ano que passa, há novos recordes quando o assunto são dados.

Mais dados gerados, compartilhados e, ao mesmo tempo, vazados em operações ilegais, ataques hackers ou sequestros de informações.

Nesse momento, podemos lembrar de casos emblemáticos, como do Facebook ou do Uber, anos atrás.

E hoje, especialmente no Brasil com a LGPD e na União Europeia com a GDPR, é mais do que essencial ter uma pessoa responsável por garantir que as organizações cumpram com sua função de proteger dados pessoais.

Neste guia, vamos nos aprofundar no assunto e entender o que é DPO, qual sua importância, o panorama brasileiro da função, salário e mais. Vamos lá?

O que é o DPO (Data Protection Officer)?

O DPO ou Data Protection Officer (responsável pela proteção de dados) trabalha para assegurar que as organizações estejam em conformidade com os regulamentos globais de privacidade de dados, estabelecendo o padrão e protegendo as informações dos usuários por meio de práticas e padrões éticos.

Ele desempenha um papel essencial em organizações modernas, mantendo-as atualizadas sobre os regulamentos internacionais que protegem informações e a privacidade dos consumidores e clientes.

Na prática, serve como conselheiro sobre como processar, armazenar e tratar informações adequadamente. Além disso, é referência em indicar caminhos para a evolução dos procedimentos de proteção de dados.

Como a tecnologia continua a crescer, cresce também a demanda por Data Protection Officers eficientes que possam manter o equilíbrio adequado de segurança e acesso para todas as partes interessadas envolvidas.

Sua supervisão também acrescenta um nível de confiança aos clientes, de que suas informações confidenciais estão seguras, o que pode ser um enorme ativo para ajudar a aumentar a lealdade e a reputação da marca.

Nova call to action

O que faz um DPO?

Um responsável pela proteção de dados é uma parte crucial do sucesso de qualquer empresa.

Entre suas responsabilidades diárias, inclui-se monitorar todos os dados pessoais e assegurar seu armazenamento seguro, bem como ajudar a manter políticas fortes de proteção de dados em todos os departamentos.

Eles também precisam estar vigilantes para responder a quaisquer reclamações ou consultas relacionadas ao manuseio e uso dos dados pessoais de um indivíduo, assegurando que os processos estejam em conformidade com as leis relevantes.

Além disso, esse profissional fornece orientação sobre quais partes dos dados pessoais podem ou não ser coletados, informando outras equipes dentro da empresa se melhorias precisarem ser feitas em seus processos.

Vale ressaltar que, no Brasil, a função do DPO é delineada pela Lei Geral de Proteção de Dados Pessoais, conhecida como LGPD ou Lei n° 13.709/18

Suas principais atribuições estão previstas na Seção II da LGPD (“Do Encarregado pelo Tratamento de Dados Pessoais”). Já no texto da GDPR, as atribuições do Encarregado (DPO) estão previstas no art. 39.

Conforme o art. 41 da LGPD, são suas atividades:

  • aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
  • receber comunicações da autoridade nacional e adotar providências;
  • orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; 
  • executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

Tipos de DPO

De acordo com o texto da LGPD, o encarregado pela proteção de dados pode ser um funcionário da própria empresa ou externo, contratado como DPO as a service (DPOaaS).

Que tal entender a diferença entre ambos?

DPO interno

O encarregado interno é um funcionário da empresa sob o regime CLT.

Ele deve possuir todas as soft e hard skills exigidas de um profissional de gestão, bem como o conhecimento técnico e legislativo necessário para assegurar o controle dos dados do negócio.

Além disso, deve ser alguém engajado com o resto da liderança, a fim de ser um agente transformador da cultura organizacional.

Afinal, ainda há várias empresas que estão em processo de transição quando o assunto é Lei Geral de Proteção de Dados.

Nesse sentido, o custo do DPO interno é maior, já que a organização precisa lidar com os custos e encargos trabalhistas.

No entanto, a proximidade com a estrutura de dados simplifica seu trabalho e achata a curva de aprendizagem.

DPO as a service

Já o DPO as a service pode ser tanto uma pessoa física (prestador de serviço) ou uma pessoa jurídica (empresa).

Na prática, desempenha as mesmas funções que citamos acima, com a diferença que é um profissional/função terceirizada.

Logo, conta com as mesmas dificuldades e obstáculos de qualquer funcionário nesse cenário.

Além disso, suas responsabilidades são delimitadas em contrato de prestação, o que evita por exemplo o acúmulo de funções.

Qual a importância desse profissional?

Um responsável pela proteção de dados é importante para qualquer empresa, pois assegura o cumprimento das leis e regulamentos aplicáveis relacionados ao tratamento de dados pessoais.

Ter um profissional especializado, que entende as implicações legais do processamento de dados pessoais, permite às empresas demonstrar seu compromisso com a privacidade e segurança, assim como estabelecer confiança com os clientes.

Na prática, é uma maneira de construir uma melhor relação com a privacidade na empresa, que é inestimável em indústrias altamente regulamentadas, tais como bancos, saúde ou governo.

E claro, hoje em dia, essencial para qualquer organização presente no meio digital e que está envolvida com o processamento de dados de pessoas físicas.

Além disso, ter um DPO garante que todos os processos necessários estejam em vigor para proteger as informações pessoais dos clientes, prevenir qualquer potencial mau uso de dados e garantir o cumprimento das leis relevantes.

Isso reduz o risco de perdas financeiras devido a aplicação de multas, ações judiciais e danos à reputação.

Entre as possíveis consequências, a empresa pode sofrer com:

  • Multa diária;
  • Advertência, com indicação de prazo para adoção de medidas corretivas;
  • Multa simples, de até 2% do faturamento da empresa no seu último exercício, excluídos os tributos, limitada, a R$ 50.000.000,00 por infração;
  • Publicização da infração após devidamente apurada e confirmada a sua ocorrência;
  • Bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
  • Eliminação dos dados pessoais a que se refere a infração;
  • Suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;
  • Suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período; 
  • Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

Em geral, o responsável pela proteção de dados desempenha um papel importante para garantir que as organizações cumpram com os regulamentos vigentes, sirvam de base para a criação e manutenção de uma cultura transparente e segura quanto aos dados e protejam as informações pessoais de seus clientes.

Um panorama sobre a proteção de dados no Brasil e no mundo

A proteção de dados é um tópico cada vez mais importante no mundo atual.

Com quantidades crescentes de dados sendo coletados, armazenados e compartilhados o tempo todo, compreender os direitos das pessoas — e as medidas tomadas para garantir esses direitos — é essencial.

De acordo com o mapa de proteção de dados, disponibilizado pela Serpro, o Brasil está no mesmo patamar de países como o México e a Austrália.

Com a LGPD sancionada e com a criação da ANPD (Autoridade Nacional de Proteção de Dados), o país se colocou na direção de se tornar uma potência em adequação às principais normas de privacidade.

Essas regulamentações colocam foco específico em tópicos como a forma com que as informações dos usuários podem ser coletadas e usadas, além de como a segurança dentro das empresas deve ser tratada.

Embora a conformidade internacional possa ser difícil de alcançar além das fronteiras nacionais, compreender como os dados estão sendo armazenados e protegidos em todo o mundo fornece um nível de segurança muito necessário para todos.

Como um agente em crescimento, o Brasil passou da 70ª para a 20ª posição no ranking mundial de cibersegurança entre 2018 e 2020, de acordo com dados da International Telecommunication Union (ITU), como divulgado pela TrendsCE.

Essa é uma notícia boa tendo em vista que, com o aumento do uso de dispositivos móveis e da descentralização do trabalho graças aos efeitos da pandemia, os números de ciberataques apenas cresceram.

Agora, leve em conta o seguinte:

De acordo com o estudo Cost of Cybercrime da Accenture, 43% dos ataques cibernéticos são direcionados a pequenas empresas, mas apenas 14% estão preparados para se defender.

Isso, claro, levando em conta empresas americanas, que foram o foco do estudo. No Brasil, é de se entender que as porcentagens são ainda mais díspares.

Porém, esse é um cenário em transformação.

De acordo com dados divulgados pela Folha de SP, 57% das empresas brasileiras possuem até 2 funcionários dedicados à cibersegurança.

Há uma questão financeira a ser levada em conta.

Para empresas do setor financeiro, que necessariamente colocam a cibersegurança como parte de suas diretrizes, o orçamento anual médio no Brasil é de quase R$2 milhões.

Para o resto das empresas, nos demais setores, é de menos da metade, com cerca de R$750 mil anuais.

O mercado de trabalho para um Data Protection Officer

O mercado de trabalho para os Data Protection Officers está crescendo na medida em que as empresas percebem a importância de estar de acordo com as novas regulamentações de privacidade de dados.

No Brasil, é uma área em descobrimento, com várias empresas apenas agora notando a necessidade de incluir esse tipo de especialista em seus times.

Além disso, engana-se quem pensa que toda empresa necessita de um encarregado pela proteção de dados.

Essa determinação (ainda) não existe — o que pode mudar no futuro, visto que o texto da LGPD passa por modificações pontuais de tempos em tempos.

Recentemente, de acordo com resolução nº 2/2022 da ANPD, agentes de tratamento de dados de pequeno porte não são obrigados a apontar um DPO para tratar as informações pessoais.

Além disso, indica que, caso não exista um profissional dedicado, que ao menos haja um canal de comunicação para o titular dos dados entrar em contato, caso necessário.

Áreas de atuação de um DPO

Ser um encarregado pela proteção de dados significa que o profissional pode usar seus talentos para ajudar as empresas a proteger os dados de seus clientes — por sua vez, ajudando-os a se sentirem seguros ao confiarem suas informações a essas organizações.

Porém, esse tipo de profissional pode atuar em várias frente além do compliance em relação à LGPD, o que inclui toda a “árvore” de funções dentro da governança de dados, como:

Gestão de dados

  • Compliance;
  • Armazenamento;
  • Backups.

Disponibilidade de dados

  • Replicações;
  • Disponibilidade;
  • Recuperação de desastres;
  • Continuidade de negócios.

Além disso, na prática, o Data Protection Officer deve:

  • auditar, monitorar e desenvolver políticas internas;
  • aconselhar sobre a conformidade com as leis locais;
  • treinar o pessoal sobre questões de proteção de dados pessoais;
  • responder a solicitações individuais de acesso ou portabilidade de dados;
  • realizar avaliações regulares sobre a eficácia das medidas internas;
  • estabelecer contato com autoridades governamentais ou outras autoridades reguladoras quando necessário;
  • agir como contato principal para quaisquer consultas externas de clientes ou outros parceiros;
  • manter-se atualizado sobre todos os regulamentos locais para que eles permaneçam atualizados;
  • informar as partes interessadas sobre mudanças nas exigências legais.

Qual é o salário de um DPO?

Como esse é um mercado em crescimento, há poucos dados consolidados por indústrias e segmentos corporativos.

Em geral, é possível apontar que quanto maior a empresa, maior a responsabilidade de seu DPO. Logo, o salário tende a crescer.

De acordo com dados atuais, o salário médio atual é de pouco mais de R$10 mil, mas pode chegar até o dobro desse valor.

Quem pode ser o DPO?

Qualquer profissional pode ser um Data Protection Officer, mas saiba que é uma função cercada de questões técnicas e atuais relativas à dados, bem como à compliance e legislações.

Além disso, é importante ser familiar ao segmento em que você deseja atuar.

Afinal, um DPO de uma fintech é muito diferente de um encarregado de proteção de dados de uma empresa de engenharia de alimentos.

Em geral, exige-se um background em TI — mais especificamente, em segurança — com conhecimento em questões legais.

Como se tornar um DPO?

Atualmente, não há uma graduação específica exigida para que alguém se torne oficialmente um Data Protection Officer.

De acordo com o guia da GDPR, esse profissional deve ter um nível de expertise próximo ou alinhado à complexidade da operação de dados da empresa.

Entre as sugestões de skills e competências que as organizações buscam, inclui-se:

  • Capacidade de coordenar com várias partes e supervisores;
  • Experiência com leis de privacidade tais quais a LGPD, GDPR e CPRA/CCPA;
  • Experiência com infraestrutura de TI (incluindo certificação em padrões de segurança da informação);
  • Experiência na realização de auditorias de sistemas de informação e avaliações de risco;
  • Habilidades de comunicação para abordar públicos de vários departamentos com diferentes níveis de conhecimento.

Perfil do DPO

Como um Data Protection Officer, é preciso ser um profissional antenado nas questões referentes à profissão, bem como contar com um combo de soft skills relevantes.

A maior parte tem relação com comunicação, já que esse profissional vai se reportar à diretoria e transitar entre a liderança, sendo um agente de transformação cultural e também de cobrança, quando necessário.

Além disso, ele deve ter a habilidade de comunicar ideias complexas de uma maneira compreensível.

Ajuda se houver experiência de trabalho nas áreas digital, tecnológica e de segurança de dados.

Mas o mais importante é que um DPO deve ter uma forte bússola moral, pois eles devem proteger os valiosos dados de uma organização, evitando que caiam em mãos erradas.

TOTVS Consulting

Você conhece a TOTVS Consulting?

É a consultoria da maior empresa de tecnologia do Brasil, capaz de consolidar um plano de governança de dados em seu negócio, aliando-o à LGPD!

Ou seja, toda expertise de mais de 20 anos de mercado e mais de 70 mil clientes em nossa carteira, à disposição para guiar os próximos passos da sua empresa.

Que tal entender mais sobre como podemos ajudar sua empresa a se adequar à LGPD e organizar sua gestão de dados?

Conheça todos os diferenciais e benefícios da TOTVS Consulting!

Conclusão

A proteção de dados é um tema cada vez mais importante no Brasil e ao redor do mundo.

A sanção da LGPD forneceu uma estrutura para garantir que os direitos dos cidadãos sejam respeitados, enquanto as empresas começaram a adotar papéis específicos, tais como os Data Protection Officers, para estarem em conformidade com os regulamentos.

O que é certo é que estes esforços se tornarão cada vez mais importantes na medida em que a tecnologia continua avançando e mais informações pessoais entram na mira das empresas.

E você, gostou de aprender mais sobre o tema?Então siga de olho em nossos conteúdos e aprenda mais sobre tecnologia e gestão de dados, assine a newsletter para receber artigos como esse em seu e-mail!

Artigos Relacionados

Deixe aqui seu comentário

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *


Usamos cookies para fornecer os recursos e serviços oferecidos em nosso site para melhorar a experência do usuário. Ao continuar navegando neste site, você concorda com o uso destes cookies. Leia nossa Política de Cookies para saber mais.