Introdução
Muito se fala sobre as funções do Data Protection Officer, ou encarregado de proteção de dados pessoais, que é a pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD), com atividades previstas no art. 41 da LGPD.
Embora possa ter formação jurídica ou técnica, a adequação de negócios, empresas e órgãos públicos não se dá apenas pelas mãos do DPO. Há necessidade de uma sinergia entre DPO, gerentes de áreas, gerentes de projetos, equipes de tecnologia e segurança digital, dentre outros.
Engenheiro de privacidade
Neste cenário, embora seja do DPO a função de orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais, traduzir as disposições legais em ações e controles de tecnologia nem sempre se demonstra uma tarefa fácil de ser realizada por profissionais não técnicos. Deste modo, garantir que a tecnologia possa satisfazer os objetivos de privacidade e mitigar riscos é papel do tecnologista de privacidade.
Competências
O engenheiro de privacidade terá competência para gerenciais riscos de cybersegurança, permitindo o uso legal de dados pessoais em conformidade com os regulamentos. Dentre suas atribuições, estão:
a) Construir e desenvolver sistemas, processos e produtos de tecnologia com privacidade embutida nas fases de design e desenvolvimento;
b) Contribuir para implementação de Privacy Enghanced Technologies (PETs) nos sistemas que tratam dados pessoais;
c) Avaliar riscos de tecnologias emergentes ou obsoletas para os dados pessoais;
d) Adotar controles técnicos mais adequados para determinadas operações com dados pessoais, considerando a natureza dos dados e forma de comunicação, compartilhamento ou tratamento;
e) Implementar e atualizar controles tecnológicos que satisfazem objetivos de privacidade, como criptografia, tokenização, anonimização, controle de acessos, vpns, dentre outros.
Além disso, conquanto um DPO possa também ter formação técnica, não é pessoa mais adequada para conduzir auditorias técnicas de infra-estrutura e de controles de privacidade, avaliando e comunicando o identificado às áreas responsáveis, tampouco indicando soluções técnicas para corrigir possíveis vulnerabilidades, papel este que pode ser desenvolvido pelo tecnologista de privacidade, trabalhando conjuntamente com DPOs, equipe de TI e segurança. Assim, também pode conduzir auditorias técnicas sobre os controles aplicados na empresa ou agente de tratamento.
Estes profissionais são responsáveis pelo desenvolvimento, engenharia, implantação e auditoria de produtos e serviços de TI, sobretudo, para verificar se atendem orientações do DPO, práticas do mercado, regulamentos e Leis de Privacidade. Por isso, profissionais formados precisam de profundos conhecimentos de UX, inspeção de códigos fonte, design de sistemas, engenharia de software, ameaças de segurança da informação, arquiteturas de redes, criptografia, sistemas operacionais, tecnologias emergentes, bem como outros conhecimentos necessários para construir estruturas privadas na empresa, traduzindo os objetivos de compliance em ações e controles técnicos em todo o data life-cicle da empresa, assegurando o privacy by design e privacy by default.
Frameworks e modelos de privacidade
O Engenheiro de Privacidade lidará diretamente com o risco de privacidade de algumas tecnologias e poderá considerar e adotar um ou mais privacy risk model para tal tarefa, como FIPPS, PRAM (NIST), Compliance Model, Subjective ou Objective Dicotomy, ou Taxonomia dos problemas de privacidade. Definido o modelo, o profissional deve adotar um framework, que é o processo que será seguido para aplicar um modelo de privacidade, com vistas a identificar e mitigar riscos. Para isso, hoje poderá atuar com ISO 31000, Nist Privacy Framework, ISO 27701, PCI-DSS, GAPP Maturity Model, dentre outros.
Adequação LGPD e auditorias de proteção de dados
Por isso, contar com um engenheiro de privacidade na equipe ou comitê de proteção de dados assegurará profundo conhecimento e expertise, aplicadas às fases, de pesquisa, desenvolvimento e aquisição de ferramentas e controles, com o escopo de reduzir risco e traduzir em requisitos de tecnologia as obrigações legais e regulatórias. Além disso, conduzir perícias e auditorias independentes de proteção de dados ajuda o negócio a ter evidências independentes de maturidade de seus controles técnicos e organizacionais.
Como contratar um engenheiro de privacidade e auditor em proteção de dados pessoais
A CyberExperts é consultoria especializada em computação forense, inteligência cibernética, perícia e auditorias em informática e proteção de dados e peritos digitais. Atuamos preventivamente ou em processos administrativos ANPD/Procon ou judiciais, para empresas e órgãos públicos na coleta, preservação e análise de evidências digitais, por meio de um rol de peritos com notória experiência profissional. Realizamos auditorias independentes de maturidade de controles de segurança digital e de conformidade. Profissionais com as principais certificações internacionais. Fale conosco (11) 3254-7616 ou acesso www.cyberexperts.com.br. Expertise, lealdade e ética. Conheça nosso curso de Perícia em Proteção de Dados Pessoais.
Contratar um perito digital em proteção e vazamento dedados https://www.cyberexperts.com.br ou clique no botão do WhatsApp na página
Autor: José Antônio Milagre, perito forense digital, perito LGPD, perito e assistente técnico em informática, perito em proteção de dados, especialista em computação forense, analista de sistemas, técnico em processamento de dados, Pós-Graduado em Gestão de Tecnologia da Informação, Mestre e Doutor em Ciência da Informação pela UNESP. Contato: [email protected] e (11) 3513-7844. Instagram @dr.josemilagre
