O papel do encarregado de proteção de dados na preparação e gestão de violações de dados
Planejar um procedimento de violação de dados e ser capaz de gerir adequadamente uma violação de segurança que possa comprometer dados pessoais e a saúde dos sistemas de informação é crucial para evitar o que se pode chamar de "pânico organizacional". Esse pânico, se não controlado, pode levar a efeitos paralisantes e até mesmo agravar o incidente de segurança, resultando em consequências e impactos negativos tanto para a organização quanto para as partes envolvidas.
O palestrante Stefano Gazzella, que estará presente no Privacy Day Forum 2023 para discutir sobre violações de dados, sugere que devemos fazer uma reflexão sobre um fato: embora o pânico, assim como a estupidez, não possa ser medido com precisão, ele pode ser influenciado pelas medidas tomadas pela organização em resposta a um incidente.
Aqui surge a questão: até que ponto o Encarregado de Proteção de Dados (DPO) deve estar envolvido nesta atividade preventiva e de gestão? Dado a sua independência funcional, o DPO assume um papel mais de facilitador, não só oferecendo a sua opinião, mas também apoiando a organização na comunicação com os stakeholders internos (como funcionários e referências) e externos (como partes interessadas, autoridades regulatórias e a mídia).
No nível operacional, a gestão de uma violação de segurança dá uma importância particular ao aspecto da comunicação interna e externa. A eficácia dessa comunicação é mensurável com base na prontidão e na integralidade da resposta. Ambos os critérios podem ser estabelecidos por lei (por exemplo, NIS ou GDPR), ou pela vontade da própria organização (por exemplo, através de políticas e procedimentos internos), mas em ambos os casos, o DPO tem um papel crucial em suas funções de consultoria e supervisão.
A adoção de um modelo organizacional que atribui claramente papéis e responsabilidades é fundamental, assim como a implementação de um programa de formação contínua para aumentar a consciência e responsabilidade do pessoal interno. O GDPR expressamente prevê no artigo 39.1 letra b) que o DPO deve desempenhar um papel de supervisão sobre as políticas adotadas para a "atribuição de responsabilidades, conscientização e formação do pessoal envolvido no processamento de dados".
O envolvimento do DPO na comunicação externa pode assumir diferentes níveis de importância, seja para cumprir obrigações regulatórias, como notificar a autoridade de controle ou comunicar as partes interessadas, ou para coordenar a resposta dentro de um grupo de gestão de crise.
Por fim, é essencial que o próprio DPO possua habilidades eficazes de comunicação. Esta é uma soft skill que não só é facilmente dedutível do GDPR, mas também pode ser encontrada na norma de certificação voluntária UNI 11697:2017. Essa habilidade é fundamental para o sucesso de um DPO na gestão eficaz de violações de dados e na garantia de que a organização esteja ade
