Bom Dia LGPD

DPO e equipes multidisciplinares

#bomdialgpd


Os modelos de gestão são essencialmente hierárquicos e entendo que a cabeça das pessoas que estão em uma organização funcione mais ou menos de forma hierárquica. Nas últimas décadas a gestão por processos, os modelos hierárquico-matriciais e os métodos ágeis e lean ajudaram a mexer um pouco no modelo convencional, mas a maior parte deles se restringem aos projetos e às iniciativas de inovação. Não conheço formações profissionais que ensinem liderança que não seja hierárquica e, quando ensinam, são para times homogêneos.


conformidade com a LGPD é um desafio multidisciplinar


A conformidade com a LGPD é um desafio multidisciplinar, o encarregado (DPO) precisa contar com o apoio de diversas áreas, as que atuam tecnicamente no mérito da proteção de dados pessoais (jurídico, TI, segurança, ...), e também as áreas que realizam as operações de tratamento de dados pessoais (RH, comercial, operações, call center, marketing, ...).

Não é fácil para o DPO a tarefa de conviver com as equipes multidisciplinares, não existem modelos, qual forma adotar? Hierárquico? Matricial? Ágil? Lean? Além do modelo de gestão do escritório do DPO, é necessário ainda atender aos requisitos da lei e aos objetivos do negócio.


Para começar a discutir o assunto sugiro alguns pontos para reflexão que podem ajudar na tarefa do DPO de lidar com as equipes multidisciplinares:

  • Conforme a estrutura, descrever o job description do DPO e as funções do escritório do DPO;
  • Manter um canal de comunicação único com o DPO (pode ser um email) para garantir a boa gestão de atividades como direito do titular, privacy by design, ocorrências e incidentes, dúvidas, demandas, requisições internas, de clientes e parceiros, e outros assuntos;
  • O assunto proteção de dados e privacidade é multidisciplinar, amplo, está em mudança constante e vai crescer e mudar ainda mais, humildade e colaboração são essenciais;
  • O maior desafio do DPO é a comunicação com titulares, áreas internas, subsidiárias, colaboradores, agentes de tratamento e reguladores, muitas vezes haverá conflito de competência com outras áreas, além disso, tarefas com nome semelhantes, por exemplo a gestão de incidentes, são diferentes na LGPD;
  • Sempre que possível deixar claro as tarefas sob responsabilidade das áreas especializadas (jurídico, TI, banco de dados, segurança, ...) com cuidado de evitar bolas divididas ou tarefas sem dono;
  • A área de RH, além de realizar um grande número de operações de tratamento de dados pessoais, também pode ajudar no engajamento dos colaboradores;
  • A área de comunicação e marketing, além de realizar um grande número de operações de tratamento de dados pessoais, também pode ajudar na comunicação da LGPD;
  • Inventarie todo o ambiente e classifique as principais áreas, processos, sistemas e agentes de tratamento, há grande probabilidade de concentração, já vi casos que 10% dos ativos correspondiam a 90% do escopo do contexto da conformidade com a LGPD;
  • Deve tratar com carinho as bases legadas, em especial aquelas que tratam de prospecção de clientes. Inventarie estas operações de tratamento de dados pessoais, entenda, desenhe o contexto, busque alinhamento, classifique e reclassifique as hipóteses de tratamento;

Cada assunto destes tem conteúdo para um ou mais artigos, em breve conversaremos sobre estes temas.


Saiu a gravação da live da semana passada: 'Governança em Privacidade e o Escritório do DPO'.


Boa semana.


Obrigado,


Abraço,


FNery

(Art 41) Encarregado pelo Tratamento de Dados Pessoais (DPO)
Comentários
Cybersecurity e Boas PráticasLGPD e Publicações da ANPDContato