play_arrow

Podcast

DPO as a Service

Vinícius Perrott 5 de setembro de 2021 4727 18 3


Background
share close

Olá! Seja bem-vindo à minissérie A Jornada da Privacidade.

Esse conteúdo foi idealizado e produzido junto com o time da HSBS Soluções em Tecnologia, uma empresa do grupo Nagem.

O objetivo dessa minissérie de seis episódios é explorar, trazer dicas práticas e valiosas que vão lhe ajudar a avaliar como anda a sua jornada para a adequação à Lei Geral de Proteção de Dados, além de responder as principais duvidas sobre o tema no âmbito jurídico e tecnológico.

No site do Papo Cloud, você vai encontrar a transcrição completa de cada episódio, proporcionando mais facilidade e comodidade para você, ouvinte da minissérie A Jornada da Privacidade. É exatamente isso. Você poderá ouvir, ler e reler quantas vezes quiser.

Além da transcrição, disponibilizamos um guia prático para você conhecer mais sobre a LGPD. O download do guia prático pode ser feito através do link que está na descrição desse episódio, no seu agregador de podcast favorito ou lá no site do Papo Cloud.

Eu sou Vinicius Perrott e neste episódio eu bato um papo com Guilherme Silvestre, Gestor de Transformação Digital e Consultor de Soluções de Tecnologias.

Junte-se a nós nessa Jornada da Privacidade.

Vinicius Perrott: Guilherme, seja bem-vindo a nossa minissérie.

Guilherme Silvestre: Obrigado, Vinicius. É um prazer enorme estar aqui no Papo Cloud. Meu nome é Guilherme Silvestre, eu sou diretor comercial da HSBS. Trabalho desde 96 na área de TI, transformando várias empresas em trazer mobilidade, segurança e produtividade para o mercado local.

 

A Jornada da Privacidade - DPO as a Service - Guilherme Silvestre

Perrott: Tenho certeza que o ouvinte desse episódio vai gostar muito do nosso bate-papo porque é um assunto… nosso tema central que é o DPO as a Service. A gente já falou nas jornadas anteriores, nos episódios anteriores de diversos aspectos, aspectos jurídicos, aspectos técnicos com dicas Agora a gente vai entender exatamente como esse serviço, como essa persona pode se materializar dentro das nossas empresas. Então queria agradecer você também, a sua presença aqui, mestre, mais você, ouvinte, que acompanhou toda a nossa jornada. Mas, vamos lá, vamos começar pela primeira pergunta, mestre. Primeiro, o que é o DPO as a Service?

Guilherme: O DPO já foi falado bastante, mas o DPO significa Data Protection Officer do GDPR. No Brasil, ele foi abrasileirado como encarregado de dados. Acho um nome até estranho, mas assim foi. E é o guardião especializado na privacidade de dados, o responsável para garantir que a empresa esteja em conformidade com as regras e boas práticas. E com o serviço, como a gente entrega isso? Então, além de ele intermediar a relação entre a empresa e o titular de dados, as pessoas, ele também precisa responder à Autoridade Nacional de Proteção de Dados. Então só para entender, o DPO pode ser um funcionário da empresa, pode ser um novo contratado, pode ser um terceirizado. E a ideia do DPO as a Service é exatamente esse, entregar essa função, essas responsabilidades para uma empresa especializada em proteção e segurança de dados.

Perrott: Então o panorama que você está me trazendo aqui é o seguinte, eu tenho a função de DPO como parte obrigatória para atender a LGPD, mas existe uma alternativa de eu ter o meu DPO próprio ou contratar empresas especializadas que estão se atualizando mais rapidamente do que eu propriamente ter o recurso. Então você traz uma alternativa para o mercado. Posso ter um profissional próprio, posso contratar uma empresa especializada ou até mesmo complementar algum recurso interno. É essa a linha de raciocínio?

Guilherme: Exatamente isso. Então um DPO as a Service você consegue ter essa característica de você ter uma empresa com várias funções e várias áreas de conhecimento, como tecnologia, como segurança, como jurídico. E você abranger todo esse aspecto não só com uma pessoa, mas com vários recursos disponíveis para você ter uma base mais consolidada de informação e de artefatos para conseguir trabalhar toda essa questão do LGPD.

Perrott: Agora em um cenário mais local e também até um pouco mundial, o que a gente tem visto como padrão das empresas ou o que você tem visto também como padrão das empresas? É ter um DPO próprio ou elas já estão buscando alguma empresa mais especializada? O que o mercado está sinalizando?

Guilherme: Hoje a gente observa que logo quando a gente abre um sentido de lei, começam a existir varias opções, então o mercado começa a criar opções exatamente para procurar qual o melhor cenário que vai aderir a toda essa demanda que teremos nos próximos anos. Então nós temos empresas pequenas, empresas médias, empresas grandes e a gente vai ter que tratar isso de uma forma que seja viável tanto financeiramente como tecnologicamente. Não adianta a gente ficar pensando que a empresa A que tem mil funcionários vai ter um determinado tipo de serviço e a empresa B que tem dois, três, cinco funcionários vai ter outro determinado tipo de serviço. E vai caber às empresas com mais expertise a entregarem essas melhores soluções baseadas no grau de conhecimento e de segurança baseados na LGPD. O ponto que a gente precisa entender como uma entrega do mercado hoje é o que mercado está disponibilizando alguns serviços como em nuvem, como você tem recursos disponibilizados por robô, por inteligência artificial, ou seja, você tem DPO hoje de todos os segmentos, desde o cenário padrão que você tem auditorias e consultorias entregando os serviços, fazendo mapeamento de dados presenciais, como você tem robôs trabalhando para fazer determinadas ações. E, óbvio, as empresas vão ter que se adequar a essa realidade. E vai caber à gente entender qual é o melhor cenário de negócios para aquele tipo de atendimento. Hoje, o que a gente acompanha na grande maioria dos casos, a contratação e o DPO as a Service está sendo… vamos dizer, uma preferência. Eu, hoje, não consigo ainda identificar empresas que estejam trabalhando isso como um robô fazendo essa ação, apesar da gente saber que já existe isso disponível, mas eu não vejo ainda como m caminho. Pode ser que, no futuro, isso venha até a ser representativo, mas hoje eu entendo como DPO as a Service como uma excelente opção para o mercado local.

Perrott: Então DPO as a Service é um profissional que pode ser contratado sob demandas? Usando esse mesmo conceito de recurso como serviço. Então DPO como serviço é acionado. Então ele pode ser encaixado em empresas de pequeno, médio, grande porte. Qual o perfil de empresas mais aderentes a esse tipo de contratação de DPO as a Service?

Guilherme: Até abrangendo mais um pouco, eu diria que é uma multidisciplinaridade. Eu não diria que é uma pessoa em específico, mas, sim, um pool de recursos que vão tanto fornecer conhecimentos nas áreas jurídicas, tecnológicas e de segurança e que muitas vezes, por você contratar um recurso apenas, você não consegue abranger tanto conhecimento em apenas uma pessoa. Então quando a gente consegue entregar isso como um serviço, como você começa a ter um grau de especialização muito maior. Então, ao invés de eu ter um profissional específico para responder tecnologicamente a uma determinada solicitação, imagine que eu vou ter um profissional especificamente focado em tratamento de dados, em backups, em datacenter, em tecnologia em segurança da informação, ou seja, profissionais de diversos espectros de conhecimento para fornecer o DPO as a Service. Então eu diria que a gente consegue um nível de especialização muito maior baseado nessas características.

Perrott: Tem pelo menos um direcionamento da isenção do DPO, seja ele como serviço ou até mesmo um DPO interno. Como é que você vê essa questão da isenção do DPO?

Guilherme: Isso é muito importante. Normalmente as grandes empresas fazem auditorias… grandes, pequenas, médias. Elas fazem auditorias com empresas terceirizadas, até para você poder provocar uma isenção maior nas definições, nas auditorias realizadas. Então, acaba que o conceito da terceirização do DPO as a Service passa a ser bastante relevante, porque você isenta do comprometimento da pessoa em relação ao cargo funcional. Então o DPO como deve ser linkado diretamente com a alta direção da empresa, imagine eu como um funcionário tendo que me reportar a um diretor uma auditoria que realizou um processo. Isso pode ser uma ação que eu diria não tão isenta quanto um terceiro fazendo essa auditoria.

Perrott: Você falou do processo de reportar à diretoria ou à presidência da empresa. Como um DPO as a Service tem um plano de comunicação sabendo que, já tratado na nossa Jornada da Privacidade, falou muito do conselho, de você ter uma comissão multidisciplinar, foi tratado diversas vezes na nossa minissérie, como é o plano de comunicação do DPO as a Service para esse grupo e para a própria diretoria da empresa?

Guilherme: Então, ele precisa ser um interlocutor. Então a ideia não é que o conselho, baseado nessas diretrizes, seja reportado diretamente ao presidente, mas, sim, o responsável, o DPO vai aprofundar esse conhecimento e essas relações entre as leis, aos dados pessoais e à privacidade para reportar à alta gestão os encaminhamentos a serem realizados. Frente aos negócios, quais são as ações específicas para um determinado negócio que precisam ser tomadas em referência para proteger o dado pessoal? Ou seja, por mais desconectado que a gente pense que o serviço é do negócio, eu diria que, quanto mais conhecimento do negócio o DPO conseguir realizar, maior vai ser a segurança, a mitigação dos riscos com relação à multa ou a vazamento de dados.

Perrott: Você falou do DPO, dessa integração com as empresas e negócio, que eu acho que é uma parte muito importante aqui dessa nossa minissérie. No seu papel como gestor, como é que você monta a sua equipe como perfil da equipe que você tem para atuar com o DPO, sabendo que cada empresa tem um modelo de negócio diferente e, às vezes, empresas do mesmo segmento têm as suas particularidades? É um desafio você montar a sua equipe e conseguir ajudar os clientes?

Guilherme: Eu diria que a documentação e os procedimentos realizados são pontos-chave na adequação dos diferentes tipos de negócio. A gente, por trabalhar em TI, sabe que cada empresa tem a sua realidade e tem o seu negócio específico. Então por mais que a gente pense que um DPO vai exercer a mesma função em determinados tipos de empresa, a gente sabe que alguns negócios vão exigir determinado tipo de especialização diferente de outros negócios. Por exemplo, empresa de callcenter é totalmente diferente de uma empresa de um escritório de advocacia. Então a especialização exigida para esse tipo de DPO é diferente. Imagine quando você vai contratar uma pessoa baseada em determinado padrão e que você vai ter diversas multidisciplinaridades. Então você consegue engajar baseado exatamente nessas especializações. Acaba sendo o pool de atuação muito mais maleável do que você ter simplesmente uma pessoa.

Perrott: Um beneficio que você pudesse citar ou um conjunto de benefícios que você pudesse citar de se ter um DPO as a Service nas empresas.

Guilherme: Eu diria a especialização. A especialização eu acho que é um dos pontos fundamentais. Imagine que uma empresa vá atender determinados requisitos de um plano de continuidade de negócios. Imagine o grau de conhecimento que o DPO precise ter para avaliar e auditar esses recursos que vão desde uma criptografia, vão desde um backup, vão desde um Disaster Recovery, vão desde um encaminhamento jurídico que vai em um contrato, que vai um termo de consentimento. Ou seja, a diversidade de disciplinas envolvidas eu diria que é um dos pontos de maior relevância. Imagine uma empresa para contratar essa multidisciplinaridade, diversos funcionários. Uma grande instituição vai ser possível fazer isso, mas imagine uma instituição menor, de cinco, seis, sete, oito tipos de profissionais para adequarem uma determinada realidade. Então eu vejo também a redução de custo como algo bastante representativo. É a expertise. Como esse é um assunto novo, imagine, eu determinar um funcionário que vá ser o DPO de uma empresa, um funcionário que nunca passou por uma gestão de privacidade de dados, ele vai começar agora a trabalhar em cima disso daí. Então a expertise eu diria também que é um ponto bastante relevante.

Perrott: Você citou uma coisa bem interessante que às vezes o funcionário é colocado, é apresentado a esse desafio de se tornar um DPO, um futuro DPO da empresa e ele cai de paraquedas nesse tema. Ele nunca ouviu falar nem de segurança de informação nem de privacidade. Então não somente entender da lei que é um ponto com um aspecto superimportante, um tema também tratado aqui no episódio, mas também trazer os aspects tecnológicos e juntar isso tudo e colocar em operação.

Guilherme: Excelente. Imagine uma pessoa que não tem um conhecimento ou jurídico ou tecnológico ou de processos começar, a partir de um determinado momento, a ser um especialista nisso. Então eu vejo que o DPO as a Service parte de um nível de especialização muito mais elevado do que uma pessoa que foi contratada ou até recebeu esse chapéu de DPO.

Perrott: Mestre Guilherme, uma coisa que as pessoas confundem nesse mercado de DPO as a Service é achar que é um formulário na internet, que a pessoa preenche lá com os seus dados e, de certa forma, sai um relatório e esse relatório traz um nível de maturidade em DPO. Isso é mito ou verdade? Isso é o DPO as a Service?

Guilherme: O máximo que a gente vai conseguir com um questionário é a gente ter um balizador para avaliar um ponto… como diria? Um balizador. Então eu diria que um questionário, uma pesquisa vai trazer informações, vamos dizer, sem apurar o grau de verdade daquela informação. Então eu diria que ele é apenas um balizador, mas o DPO as a Service tem uma capacidade não só de detectar a maturidade de uma forma não tão superficial e capaz de avaliar esse resultado e gerar uma saída de dados em que a gente consiga definir um plano de ação para adequação a essa lei.

Perrott: Outro ponto que também é importante a gente entender e deixar claro para o ouvinte, uma vez que eu contrato um DPO as a Service, esse contrato é igual à computação em nuvem? Ele paga por mensalidade, paga anual? Como é esse ciclo de utilização desse serviço, desse profissional tão especializado, desse conjunto de profissionais tão especializados?

Guilherme: Hoje o serviço de DPO as a Service é um contrato mensal. É um contrato para que você consiga, durante todo o período de existência da sua empresa, você ter um acompanhamento de todas as atividades referentes a LGPD. E, além disso, você ter o recurso de reportar a todos os incidentes ou qualquer problema que tenha a ver com relação a LGPD, você já tem uma equipe pronta para te dar apoio nessa questão de privacidade de dados. Então eu diria, com um DPO as a Service, você consegue ter diversas frentes para te apoiar nessa adequação a LGPD.

Perrott: Mestre, a gente sempre tem uma palavra que define o nosso episódio aqui e eu queria que você trouxesse uma palavra para definir o nosso episódio de DPO as a Service. Que palavra é essa?

Guilherme: Multidisciplinaridade. Eu acho que essa é a palavra mais adequada.

Perrott: Bacana. E já chegando ao nosso finalzinho, uma pergunta que eu sempre faço os meus convidados, nunca tem um cunho certo nem errado, mas buscando a sua experiência, a sua vivência. Então vamos lá, para o Guilherme Silvestre, o que é computação em nuvem?

Guilherme: Computação em nuvem é uma supertransformação. Eu diria que é uma capacidade que a gente tem de alcançar objetivos, uma capacidade de crescimento inigualável, uma capacidade de segurança elevadíssima e com mobilidade que ainda estamos para ver assim que chegar o 5G. Mas eu diria que ele consegue a singularidade de colocar todos os recursos que a gente sempre pensou em ter e nunca teve a capacidade de gerar.

Perrott: Mestre Guilherme, fica aqui o meu agradecimento a sua participação da nossa minissérie A Jornada da Privacidade e até uma próxima oportunidade.

Guilherme: Vinicius, muito obrigado. Gostaria também de agradecer ao Papo Cloud, sempre firme e forte trazendo conteúdo para toda a população.

Perrott: O que achou do bate-papo? Tem alguma pergunta ou comentário? Mande lá no Instagram do time da HSBS Soluções. É @hsbssolucoes. Aproveite e faça o download do guia prático para você conhecer mais sobre a LGPD. O link você encontra na descrição desse episódio no seu agregador de podcast favorito ou no site do Papo Cloud.

Se você gostou desse episódio, compartilhe com os seus amigos nas suas redes sociais.

E aí?
Tá Na Nuvem?

Convido você a comentar lá no nosso grupo do Telegram: bit.ly/papocloudtelegram.

  • cover play_arrow

    DPO as a Service
    Vinícius Perrott

Tagueado como: .

Avaliar a postagem
Episódio anterior
Episódios relacionados
Comentários (0)

Deixe um comentário

Seu e-mail não será divulgado.