CISO e DPO devem trabalhar em estreita colaboração conjunta e também com toda a alta administração
Com o GDPR firmemente estabelecido e a LGPD entrando em vigor em 15 de agosto de 2020, empresas em todo o mundo estão se esforçando para contratar as pessoas certas para as funções de diretor de proteção de dados (DPO) e diretor de segurança da informação (CISO). É importante que o DPO e o CISO trabalhem bem um com o outro, e essas duas funções devem ser desempenhadas por funcionários diferentes.
Em grandes empresas, o CISO geralmente se reporta ao diretor de segurança (CSO), que supervisiona tanto a segurança física quanto a cibersegurança. Na prática, esses títulos – CSO e CISO – costumam ser usados alternadamente. No entanto, por definição, o CISO é responsável por salvaguardar as informações da empresa sem ser intrusivo para os trabalhadores.
Com relação a questões de GDPR e LGPD, o CISO ajuda a decidir quais informações são coletadas, por quanto tempo essas informações são retidas e onde são armazenadas. Por lei, as empresas precisam de motivos legítimos para coletar dados pessoais dos consumidores, e cabe em parte ao CISO decidir quais dados, se houver, são coletados.
Com algum treinamento adicional, o CISO poderia teoricamente funcionar como um DPO; no entanto, isso não é aconselhável porque os DPOs não devem ter conflitos de interesse. Parte da sua função envolve auditar a postura de segurança do CISO, o que obviamente não é possível se a mesma pessoa estiver desempenhando ambas as funções. As empresas já foram multadas por isso no passado; em 2016, uma empresa alemã foi multada pela Autoridade de Proteção de Dados da Baviera depois que uma agência reguladora descobriu que o gerente de TI da empresa também era o DPO, essencialmente fazendo auditoria em si mesmo e criando um conflito de interesses.
Para evitar conflitos de interesse, o DPO deve se reportar à pessoa mais alta possível na organização, em oposição a alguém na gerência intermediária. Dito isso, isso não é aconselhável se o desempenho de várias funções criar um conflito de interesses.
Ao contrário da função do CISO, que é essencialmente para manter a empresa o mais segura possível sem ser intrusiva, a função do DPO pode ser bastante intrusiva. É vital que essa função seja desempenhada por alguém que seja ético e acessível.
Embora algumas pessoas acreditem que os DPOs devam ser contratados de fora da organização, acredito que faz sentido contratar o DPO de dentro. Afinal, a privacidade é diferente em vários países, regiões e empresas; qualquer funcionário que trabalhou em uma organização por um longo tempo terá um conhecimento sólido da cultura dessa empresa. E, para ter certeza, qualquer DPO que se preze precisa entender a cultura de privacidade da organização.
Conforme determinado pelo GDPR, os DPOs são obrigados a realizar treinamento de conscientização sobre privacidade para todos os funcionários de suas empresas. Além disso, eles devem alertar as autoridades em caso de violação de segurança.
Apesar das responsabilidades de auditoria do DPO, ele precisa trabalhar em estreita colaboração com o CISO para proteger os dados da empresa e os dados pessoais dos clientes. Por último, o DPO também deve trabalhar em estreita colaboração com toda a alta administração, incluindo o CEO e o conselho geral. Afinal, é vital que todos os chefes de departamento estejam atentos a qualquer instância imprópria de coleta, armazenamento e uso de dados do consumidor.
*Nayla Loik é Consultora de Produto da ManageEngine
