23/11/2020 Desconstruindo a função de DPO (ampliado)

Desconstruindo a função de DPO (ampliado)

Marcos Sêmola Follow 158 20 0
EY Partner ◦ Cybersecurity Consul…

A Lei Geral de Proteção de Dados criou um novo acrônimo, DPO de Data Privacy Officer, localmente chamado de Encarregado de
Dados. Com a lei em vigor muitas empresas convivem com dúvidas sobre a função. O que são? Onde vivem? O que fazem?
Privacidade e proteção de dados, por definição, é assunto de segurança da informação, mesmo que a LGPD tenha trazido uma
forte carga jurídica e a função requeira interação regular com autoridades públicas.

Divido com vocês minhas convicções:

1) É importante definir um ponto focal de privacidade na empresa para atuar como interface entre os líderes da empresa, os cidadãos e as
autoridades públicas.
2) É esperado que seja publicamente comunicado o meio de contato com a função de DPO, bem como registra o ponto focal junto a
ANPD.  
3) Pequenas e médias empresas ainda estarão sujeitas a condições e requerimentos customizados, potencialmente mais flexíveis e minimizados,
pela ANPD, mas que ainda precisam ser definidos e anunciados.
4) O DPO tem a função de orquestrar as relações entre os deveres da empresa, os direitos dos titulares de dados e os questionamentos
da autoridade nacional.
5) Entende-se por orquestração, a capacidade de identificar os riscos de conformidade/privacidade; avaliar os impactos no
negócio; desenhar proposições de controles mitigatórios; submeter à apreciação e deliberação da liderança empresarial;
comunicar as partes interessadas e operacionalizar continuamente o framework de gestão de privacidade com a capacidade tempestiva de identificar
riscos, proteger, detectar, responder e recuperar ativos de informação que tratem dados pessoais.
6) Convém que o DPO tenha intimidade com os processos de negócio e tenha trânsito com a liderança e com as áreas para interpretar as
relações de causa e efeito entre riscos de privacidade e proposições de mitigação, sendo capaz de aconselhar a liderança.
7) Convém que o DPO se posicione no organograma em área o mais independente possível para não sofrer os efeitos de conflitos de interesse, por
exemplo, onde decisões de mitigação ou priorização não impacte seus indicadores pessoais ou departamentais, influenciando

https://pt.linkedin.com/pulse/descontruindo-função-de-dpo-marcos-sêmola 1/14
23/11/2020 Desconstruindo a função de DPO (ampliado)

portanto, suas decisões e recomendações. Contudo, há uma hiato entre a teoria e a prática e talvez seja preciso ponderar e
flexibilizar seu posicionamento considerando o estágio ainda imatudo e de construção da função.
8) O tema é multidisciplicar por envolver aspectos físicos, tecnológicos, humanos, jurídicos e processuais. Por isso, o melhor perfil de
um DPO é o de gestor, precisando ser polivalente com uma visão holística nos silos temáticos sem perder de vista os interesses de

negócio, seus deveres perante a lei, e os direitos dos cidadãos sem, necessariamente, ter que dominar com profundidade todos
os domínios.
9) Pelas razões descritas no item anterior, o DPO não pode trabalhar só. Como gestor possuidor de visão integrada, ele precisará contar
com uma equipe multidisciplinar dimensionada para a volumetria e natureza de cada negócio e capaz de cobrir e operacionalizar a
atividades relacionadas à cada domínio do conhecimento.
10) A equipe que operacionalizará o escritório de privacidade, liderado pelo DPO, poderá ser montada com recursos de outras
áreas da própria empresa como o jurídico, arquitetura, tecnologia e segurança da informação, e mesmo assim, deverá, ao menos
nos primeiros anos da LGPD, contar com serviços terceirizados que entregam suporte à operacionalização da privacidade como serviço
(DPO Support as a Service).
11) O serviços terceirizados a que me referi, são oferecidos com transparência e entregues por um pool de profissionais invisíveis e sob demanda,
com multiplas especializações e capazes de realizar serviços de um catálogo pré-determinado dentro de um prazo de entrega acordado

(SLA). Com isso, as empresas conseguem atender demandas de natureza e volumetria ainda desconhecidas, dentro do prazo
legal, sem tomar o risco de montar equipes próprias no escuro enquanto a operacionalização do modelo de governança de
privacidade de estabiliza.
12) Terceirizar o papel do DPO me parece inadequado, especialmente para empresas que não sejam PMEs. Digo isso por acreditar que ninguém de
fora do contexto do negócio será capaz de tomar decisões ou mesmo desenhar proposicões de mitigação de
conformidade/privacidade com acurácia por conhecer as particularidades do negócio e suas relações de causa e feito.
13) Algumas empresas insistem na ideia de terceirizar o DPO, não o escritório, mas a função de Encarregado, acreditando que
assim estariam transferindo os riscos para terceiros. Riscos associados à negligência, imprudência ou imperícia cometidos pelo terceiro
enquanto representante da empresa junto às autoridades. Mesmo não sendo advogado, arrisco dizer que é improvável que
empresas que venham a oferecer tal serviço, já não tenham encontrado 'blindagens' jurídicas suficientes para mitigar o risco solidário, produzindo
assim exposição ainda maior ao contratante por não contar com transferência real do risco e ainda não contar com um DPO que
tenha conhecimento do negócio à frente das deliberações que terá de tomar no dia-a-dia.
14) Não há qualquer exigência legal para que o profissional que se disponha a exercer a função de DPO tenha que se certificar
ou mesmo ter formação em uma área específica do conhecimento, contudo, em se tratando de uma função orquestradora que
https://pt.linkedin.com/pulse/descontruindo-função-de-dpo-marcos-sêmola 2/14
23/11/2020 Desconstruindo a função de DPO (ampliado)

se relacionará com autoridades, executivos, funcionários de diversos níveis e cidadãos, que este tenha uma experiência acadêmica e prática
diversificada e abrangente, preferencialmente como gestor, e se dedique a construir ou ampliar uma visão holística que o permita extrair o melhor da

equipe que o apoia.

15) Data Privacy Officer ou Encarregado de Dados não é uma profissão. É uma função atrelada a uma nova lei que trata
especificamente de privacidade de dados pessoas, ou melhor, de conformidade com uma lei de privacidade, o que, a propósito,
é parte do escopo de todo Chief Security Officer, só que agora mais especificado técnico e processualmente pela LGPD. Quero
dizer com isso que há uma tendência dos CSOs ampliarem sua especialização para darem cobertura às especificidades da lei, vindo a exercer o papel de
DPO acumulativamente. A grande diferença, é que a atual equipe de apoio ao CSO e à operação do framework de gestão de riscos de

segurança da informação, terá de ampliar o alcance de conhecimento técnico-processual e também ser ampliada em
contingente com especialistas que dominem os aspectos legais específicos.
16) A visão compartilhada no item anterior não irá funcionar em todas as circunstância, pois o posicionamento mais executivo
que a função de DPO requer por ter interface com autoridades, titulares de dados e com a liderança da empresa, nem sempre
corresponde à maturidade do atual CSO (empresas menores podem nem contar com um) em virtude da estrutura e maturidade
da própria empresa na gestão de riscos de segurança da informação. Nesses casos, a alternativa será compor uma dupla integrada, complementar e
formada pelo CSO e o DPO, ou até mesmo deixar que o DPO reporte ao CSO, mas alinhados e contando com uma equipe única e

amplicada, como citei acima, que agora será capaz de cobrir todo o novo escopo corporativo.
Sendo prático, a visão é de esvaziar o escopo da função do DPO, deixando com o CSO a operação dos controles: tecnologias; políticas gerais; controles

de acesso; indicadores de governança, risco e conformidade; anonimizações e pseudonimizações; relatórios de impacto de

privacidade, repositórios e registros de tratamento, por exemplo, enquanto ao DPO restará: tratamento de solicitações de titulares; revisões contratuais;
elaboração de termos de uso e cláusulas de consentimento; especificação das bases legais que legitimizam o tratamento; definição de período de retenção de dados; análise de riscos de novas
propostas de tratamento e fluxo de dados; regras de transferência internacional de dados; comunicação interna e externa com os titulares e a autoridade nacional; facilitação diante de denúncias e
fiscalizações, representação diante de ações judiciais individuais e coletivas, entre outras.

17) Se por qualquer razão você já tenha apontado um DPO ligado a uma das áreas previsíveis para esta fase inicial da lei, como
tecnologia da informação, recursos humanos ou a área jurídica, não se sinta culpado. Isso ainda não é um grande problema, afinal, o mercado todo
ainda engatinha e a ANPD respira acéfala. Contudo, é importante compreender desde já que, inevitavelmente, para conseguir eficiência,

sustentabilidade e a manutenção continuada da conformidade com a LGPD, mudanças e convergências deverão ocorrer para
garantir a cobertura multidisciplinar prevista pela lei.

https://pt.linkedin.com/pulse/descontruindo-função-de-dpo-marcos-sêmola 3/14
23/11/2020 Desconstruindo a função de DPO (ampliado)

https://pt.linkedin.com/pulse/descontruindo-função-de-dpo-marcos-sêmola 4/14
23/11/2020 Desconstruindo a função de DPO (ampliado)

O caminho natural é a função de DPO ser incorporada pelo cargo de CSO.

Privacidade de dados, por definição, é assunto de segurança da informação, mesmo que a LGPD tenha trazido uma forte carga
jurídica e a função requeira interação regular com autoridades públicas. 
Governança, Risco e Conformidade (GRC) é o playground dos profissionais de gestão de riscos da informação, que a 'comem com farinha'. O que a LGPD trouxe, de fato, foi um

tempero jurídico novo que demandará do Chief Security Officer (CSO), posicionamento estratégico, caso já não o tenha, além de

https://pt.linkedin.com/pulse/descontruindo-função-de-dpo-marcos-sêmola 5/14
23/11/2020 Desconstruindo a função de DPO (ampliado)

assessoria jurídica que ampliará as competências e funções de sua equipe atuação.  

Minha visão mais otimista é a de que o CSO absorva a função de DPO e isso o faça sentar ainda mais empoderado no C-Level,
reportando diretamente ao CEO.

Minha visão realista é a de que o CSO absorva parte da função de DPO por compatibilidade com escopo existente de
governança, risco e conformidade, enquanto ao DPO restará o escopo jurídico específico como uma camada sobre o framework.
Alternativamente, as empresas que optarem pela figura específica do DPO em função das especificidades do seu negócio, por
exemplo, pela relevância, volumetria e complexidades dos temas jurídicos e pela intensividade das relações com as autoridades
públicas, devem considerar esvaziar o escopo desta função de DPO para deixa-lo tratar exclusivamente da camada jurídica, mas em conexão e sinergia com as
atribuições do CSO, onde um suportará e complementará o outro.   

https://pt.linkedin.com/pulse/descontruindo-função-de-dpo-marcos-sêmola 6/14
23/11/2020 Desconstruindo a função de DPO (ampliado)

Independência do DPO é relativa.

A LGPD prega a importância da independência da função do DPO baseando no fato de que terá de tomar decisões e fazer
recomendações de risco que poderiam conflitar com determinadas áreas, como a TI, se a ela estivesse subordinado.
Teoricamente justificável, mas convém sermos mais realistas e práticos, e considerarmos alguns aspectos que fazem parte da real estrutura
empresarial, com suas especificidades setorias e limitações típicas de quem está apenas no início de uma longa jornada de
conformidade e de gestão de riscos de privacidade.
1) O DPO, uma vez remunerado pela empresa, já recebe certa influência da área para a qual reporta, mesmo que esta seja o CEO
ou o Conselho de Administração;
2) O CISO, que tem a missão da gestão dos riscos de segurança da informação, enfrenta desafios similares com a jornada de
conformidade baseada em regulamentações governamentais e setoriais como a SoX, PCI-DSS, HIPAA, Marco Civil e a Resolução
4658, apenas para citar algumas.
3) Nem por isso, mesmo depois de décadas existindo e muitos ainda reportando para CIOs, os CISOs tiveram sua suposta falta
de independência inviabilizando ou comprometendo sua missão.
DESEJO: CISO conectados DPO e no C-Level

REALIDADE: CISO e DPO onde for possível estar agora

Estado de conformidade permanente.

, como uma fotografia que captura um momento em limitada janela de tempo. Ser capaz
Estar 'em conformidade' é uma espécie de estado temporal

de realizar múltiplas fotografias, a qualquer tempo, e demonstrar consistência, é fruto somente da operação contínua de processos íntegros de gestão de
controles.

É se manter operacional e apto a demonstrar diligência e responsabilidade na gestão de controles e riscos de privacidade e
proteção de dados pessoais. É ser capaz de evidenciar consistentemente e intempestivamente respeito e cuidado para com os
direitos dos cidadãos, e cumprimento aos deveres na condição de controlador e/ou operador.

https://pt.linkedin.com/pulse/descontruindo-função-de-dpo-marcos-sêmola 7/14
23/11/2020 Desconstruindo a função de DPO (ampliado)

As empresas precisam demonstrar a capacidade de atender os direitos dos cidadãos à garantia fundamental da inviolabilidade
da intimidade e da vida privada.
Operar um negócio mantendo contínuo estado de conformidade requer mudanças profundas que envolvem aspectos jurídicos,
físicos, tecnológicos, humanos e processuais. Requer mudança cultural na forma como a empresa e suas pessoas se relacionam com os dados. Requer
funcionamento sistêmico e ininterrupto. Manutenção e adaptabilidade constante diante das variáveis que mudarão de estado ao
longo da jornada.
Contudo, a construção de um escritório de gestão de conformidade é gradual. As políticas, os processos e os controles vão
sendo desenvolvidos como se contruíssemos um castelo, tijolo a tijolo. Eles vão sendo empilhados e ganham maturidade à medida que são operados e recebem
influências internas e externas como regulamentações da autoridade, interpretações e decisões judiciais. Precisamos dar tempo ao tempo, mas começar apontando

para a direção certa.

Como reduzir a exposição aos riscos de privacidade

Senso de urgência equilibrando risco, apetite e capacidade de implementação.
Diante de uma longa e complexa jornada de conformidade, e ainda sob a forte pressão do tempo, o melhor a fazer é compreender o
risco específico do negócio mapeando os fluxos de dados pessoais que oferecem maior exposição, montar um plano de ação priorizado

e iniciar a implementação de ações estruturantes o quanto antes para então seguir implementando os demais controles gradualmente, ao
mesmo tempo que se resguarda de incidentes de segurança e de abuso de uso de dados pessoais para não ser vítima de ataques cibernéticos
ou denúncias e ações judiciais antes de ser capaz de demonstrar minimamente o funcionamento de um modelo integrado de
governança de privacidade e segurança da informação.
Risk-based fast track:

https://pt.linkedin.com/pulse/descontruindo-função-de-dpo-marcos-sêmola 8/14
23/11/2020 Desconstruindo a função de DPO (ampliado)
nomeie e anuncie a função de DPO (orquestrador + equipe)
crie canal de atendimento aos titulares (email, SAC)
mapeie os maiores riscos (volumetria x fluxos x finalidades)
monte uma primeira versão do roadmap priorizado (risco x impacto)
revise os contratos-chave (terceiros, empregados, fornecedores e cláusulas Pareto-first)
crie e publique uma primeira versão da política de privacidade (evolução gradual)
reforce cybersecurity (processos, políticas e controles)
documente a jornada (planos, decisões, evidências, ROPAs e DPIAs)
crie uma primeira versão do processo Privacy by Design e by Default (filtro de novas iniciativas de negócio)
use uma consultoria que aporte aceleradores como DPOfficer Support as a Service (operação de backoffice para volumetria e multi-especialização)
eduque as pessoas (promova mudança de cultura)

 Compartilho o serviço
Sair da inércia e imprimir velocidade, demonstrando mobilização e diligência, é positivo aos olhos dos magistrados e da autoridade, e reduz a exposição ao risco.

gratuito de auto-diagnóstico de conformidade LGPD da ABES para que possam ter uma primeira visão da jornada de
privacidade.

, sem coleta de dados pessoais e comercias, calcula o seu índice de conformidade com a LGPD e
>>> free LGPD SELF-ASSESSMENT da ABES e EY

produz um roadmap personalizado com base em nosso método de maturidade.

https://pt.linkedin.com/pulse/descontruindo-função-de-dpo-marcos-sêmola 9/14
23/11/2020 Desconstruindo a função de DPO (ampliado)

O que construir no curto prazo diante da iminência de

conformidade.
 A jornada de LGPD precisa ser
Priorize 'pontes rústicas' que funcionem minimamente percorrendo de ponta-a-ponta o processo de atendimento dos direitos dos titulares.

conduzida com realismo e priorizando as atividades de acordo com a avaliação de risco de cada negócio e suas limitações
intrínsecas.

https://pt.linkedin.com/pulse/descontruindo-função-de-dpo-marcos-sêmola 10/14
23/11/2020 Desconstruindo a função de DPO (ampliado)

O principal e legitimo objetivo é o de atender direitos e cumprir deveres especificados pela lei, sendo capaz de percorrer o
processo do início ao fim, quando uma solicitação do titular ou da autoridada nacional é atendida tempestivamente.
Analogamente à construção de uma ponte, melhor será construir totalmente uma ponte rústica com os recursos básicos
disponíveis, mas que transponha o rio, do que construir parcialmente uma super ponte que não os leve à outra margem tão
cedo.
Menos é mais. A maturidade e aprimoramento da 'ponte' vem com o tempo, com o giro continuado dos processos do escritório de

privacidade; com erros e acertos; e a gradual claridade proporcionada pela autoridade e pelas jurisprudências.

https://pt.linkedin.com/pulse/descontruindo-função-de-dpo-marcos-sêmola 11/14
23/11/2020 Desconstruindo a função de DPO (ampliado)

Tudo começa pela educação.

. Produzi esse
Entender o propósito da lei e como seu cumprimento afeta a cultura organizacional e a forma como os negócios são operados é determinante para reduzir a exposição ao risco

treinamento probono em vídeo, gratuito e com curta duração que oferece uma visão holística dos impactos da nova legislação.
Ninguém sabe tudo sobre a LGPD e sua aplicabilidade. Veremos movimentos pendulares por um bom tempo até que encontremos um equilíbrio

social amparado pelo bom senso e pela atuação da ANPD e dos magistrados estabelecendo as primeiras decisões.
Entender os princípios da lei de privacidade tornam:
cidadãos mais conscientes e fiscalizadores ativos dos seus direitos
empresários mais sensibilizados dos seus deveres e do valor da governança
governantes mais cientes das suas atribuições públicas
empregados mais capazes de zelar pela custódia dos dados pessoais
consultores mais preparados para projetos de conformidade eficientes

 
>>> free Udemy Course LGPD EXECUTIVO : conhecimentos aceleradores de conformidade para cidadãos, executivos, startups, consultores e
governantes.

https://pt.linkedin.com/pulse/descontruindo-função-de-dpo-marcos-sêmola 12/14
23/11/2020 Desconstruindo a função de DPO (ampliado)

 esse artigo é um veículo vivo e sujeito a evoluções regulares. Poderá sofrer melhorias à partir de novas experiências de
Obs:

projeto, por colaboração dos leitores, clientes e colegas de profissão, mas principalmente por estarmos diante de uma lei nova,
ainda não regulamentada e fiscalizada pela ANPD, e sem jurisprudência local que ajude a consolidr interpretações em cada
ajuizamento público.

Marcos Sêmola é Sócio de cybersecurity da EY, especialista em governança, risco e conformidade, professor da Fundação Getúlio Vargas e da Fundação Dom Cabral, palestrante, mentor, escritor com sete livros
nas áreas de segurança informação e inteligência competitiva, conselheiro da ISACA® - Associação de Controles de Auditoria e Sistemas de Informação, da ABINC® - Associação de Internet das Coisas, do
CEBDS® - Conselho Empresarial para o Desenvolvimento Sustentável, vice-presidente do Instituto SmartCity, membro da IAPP® - Associação Internacional de Profissionais de Privacidade de Dados, membro de
honra da ANPPD®, membro fundador do Conselho Empresarial Brasileiro para Segurança Cibernética, diretor da aceleradora de startups Founder Institute, mentor de startups Endeavor e investidor membro da
Anjos do Brasil. 
Formado em Ciências da Computação pela Universidade Católica de Petrópolis com especialização em Estratégias Disruptivas pela Harvard Business School, em Negociação pela London Business School, MBA
em Tecnologia Aplicada pela FGV e mestrando em Inovação e Empreendedorismo pela HEC Paris. Premiado SECMASTER® Profissional de Segurança da Informação do Ano em 2003, 2004 e 2008, Profissional
https://pt.linkedin.com/pulse/descontruindo-função-de-dpo-marcos-sêmola 13/14
23/11/2020 Desconstruindo a função de DPO (ampliado)

NATA® Top 50 em 2007, com certificações profissionais nacionais e internacionais nas áreas de segurança da informação e privacidade de dados: CISM®, CDPSE®, PCI-DSS®, EXIN PDPP® e ISO27K®.
www.marcossemola.com

Publicado por
Marcos Sêmola Seguir
EY Partner ◦ Cybersec…
DPO: O QUE SÃO? ONDE VIVEM? O QUE FAZEM? O DPO vai ganhar desenvoltura e maturidade gradual à medida
que o escritório de conformidade se tornar operacional e receber influências internas e externas. O CSO tenderá a
incorporar a função de DPO se já estiver em nível executivo, caso contrário, trabalhará lado a dado com um DPO
de alto nivel focado exclusivamente nos aspectos legais, onde ambos estarão alinhados e serão suportados pela
mesma equipe de operação, agora ampliada em suas funções e
competências. #lgpd #dpo #compliance #privcy#cso #anpd #risk

https://pt.linkedin.com/pulse/descontruindo-função-de-dpo-marcos-sêmola 14/14