Entrevista

Precisa de ajuda? Chama o DPO!

O "encarregado" deve entender o ciclo de vida dos dados pessoais na instituição, deixando-a em conformidade com a LGPD. A seguir, André Sucupira, do Serpro, compartilha como será sua atuação como DPO de uma empresa pública

Mão masculina exibe ícones de tecnologia num ambiente simbolicamente digital

Por vezes nem lembramos, mas quando vamos à praia, geralmente há por lá um ou mais salva-vidas a postos para ajudar, caso alguém se afogue no mar. Se na praia tem salva-vidas, no “mar virtual” há o DPO: o profissional que ajuda a proteger as pessoas e seus dados particulares principalmente nos meios digitais, como a internet. Nesta nova entrevista, o portal dialoga com André Sucupira, o encarregado pelo tratamento de dados no Serpro, empresa pública de TI do governo federal.

André Sucupira foi escolhido como DPO do SerproAndré Sucupira é advogado, pós-graduado em Direito Constitucional e em Direito Digital. Atua desde 2013 em lideranças no Jurídico do Serpro e possui diferentes formações ligadas à proteção de dados, como certificações da Exin em Privacy and Data Protection Practitioner, Privacy and Data Protection Foundation e Data Protection Officer, e cursos como o sobre proteção de dados pessoais no setor público. Em outubro de 2020, foi nomeado encarregado – ou DPO, sigla de Data Protection Officer – do Serpro.

Confira logo a seguir o bate-papo no qual ele aborda a trajetória da empresa em busca da adaptação à LGPD e como ele, no papel de DPO, poderá ajudar a organização a se adequar, cada vez mais e melhor, à lei que já entrou em vigor.

 

Portal LGPD – Qual a sua relação com o tema LGPD?

André Sucupira – Sou um estudioso e entusiasta do tema privacidade e proteção de dados. Esse assunto é muito importante e atual, pois permeia toda a sociedade e vem suprir uma necessidade mundial de regular o tratamento de dados pessoais, que hoje, como sabemos, são considerados o “novo petróleo”.

Como é sua atuação no projeto de adequação à lei que vem sendo desenvolvido no Serpro?

Em outubro de 2019 comecei a trabalhar, como representando do Jurídico, com a Rede LGDP, o grupo responsável por aprimorar a adequação do Serpro à lei. Entre outras atividades, colaborei para a adaptação dos contratos de despesas e receitas, para a construção de material didático como cartilhas sobre a lei, e para a elaboração de um diagnóstico multidisciplinar de privacidade, um documento que ajuda a demonstrar a conformidade das soluções da empresa com a LGPD. Em outubro de 2020, fui escolhido para ser o encarregado pelo tratamento dos dados pessoais. No Serpro, o DPO ocupa, oficialmente, o cargo de superintendente de Privacidade e Proteção de Dados, e possui, é claro, a característica principal de atuar de forma transversal em toda a empresa.

“O encarregado, como o guardião da privacidade, tem a responsabilidade de preservar os princípios da segurança da informação e da privacidade no âmbito interno e na relação com controladores e ANPD. Pelo ineditismo desse relacionamento, é um grande desafio”

Que perfis profissionais irão compor a sua equipe?

Empregados que tenham afinidade com o tema de privacidade, preferencialmente com cursos ou certificações relacionadas a esse tema.

Já existe um plano de mudanças para as práticas da empresa?

O trabalho relativo à privacidade foi iniciado em 2019, com a criação do grupo de trabalho do projeto LGPD. Desde aquela época têm sido praticados treinamentos, workshops, palestras sobre o assunto. E, a partir de setembro de 2020, foi disponibilizado aos empregados do Serpro um curso sobre os fundamentos da nova lei. A partir de ações como essa pretendemos aprimorar a cultura e a conscientização sobre privacidade e proteção de dados, uma vez que isso é fundamental para a construção de novas práticas na empresa.

Já existe um plano de mudanças para os produtos comercializados pela empresa?

Sim. Inicialmente criamos o Escritório de Governança de Dados e o Diagnóstico Multidisciplinar de Privacidade, ambos para apontar melhorias em todos os produtos comercializados pelo Serpro. Também estamos avaliando, em conjunto com a Diretoria Executiva, se é possível que a empresa obtenha certificações de segurança e privacidade que promovam a internacionalização da empresa.

E algum produto ou linha de negócio precisa de maior atenção?

A linha de produto de "Informação e Análise" é a que carece de mais cuidados, uma vez que tratamos bases de dados que contêm dados pessoais que são resguardados pela Lei Geral de Proteção de Dados Pessoais.

Já é possível garantir que o Serpro está adequado à LGPD? Se ainda não, quando estará?

Podemos dizer que todas as ações consideradas como obrigatórias ou foram concluídas ou estão na "última milha" de conclusão. Portanto, de forma geral, entendo que o Serpro se encontra adequado à LGPD, faltando apenas alguns ajustes pontuais.

Quais os principais desafios que você, como encarregado do Serpro, enfrentará?

O encarregado, como o guardião da privacidade, tem a responsabilidade de preservar os princípios da segurança da informação e da privacidade dos dados pessoais, tanto no âmbito interno quanto na relação com os controladores, bem como a tarefa de executar a interação entre esses agentes de tratamento e a recém-criada Autoridade Nacional de Proteção de Dados. Pelo ineditismo desse relacionamento, e as questões envolvidas, é um grande desafio.

Algo mais que gostaria de acrescentar? 

Vale destacar que a LGPD estabelece que o encarregado é o canal de comunicação entre os agentes de tratamento, os titulares de dados pessoais, e a ANPD. Ou seja, por se tratar de um papel relevante, previsto no artigo 41 da lei, a identificação do DPO e o meio de contato com ele devem ser divulgados pelas organizações, publicamente de forma clara e objetiva, para que empregados, colaboradores, clientes e titulares de dados pessoais saibam quem é o profissional que os ajudará nessa importante e constante jornada de tratamento de dados pessoais no país.

Atividades do DPO, segundo a LGPD:

 - Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências
 - Receber comunicações da autoridade nacional e adotar providências
 - Orientar os funcionários e os contratados da entidade sobre as práticas a serem tomadas em relação à proteção dos dados pessoais
 - Executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares

Vale lembrar que a ANPD poderá estabelecer normas complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da organização e o volume de operações de tratamento de dados que realiza.

Serpro LGPD
Serpro e LGPD:
segurança e inovação