Encontrar um EPD qualificado é muito importante porque eles estão envolvidos em todos os aspectos da estrutura de proteção de dados de uma organização e exigem uma ampla variedade de habilidades além daquelas exigidas pelo GDPR, como experiência em proteção de dados e gerenciamento de riscos de informações.
Geralmente, há duas opções a serem consideradas ao escolher um EPD. Você pode contratar alguém em tempo integral dentro de sua organização ou pode terceirizar um contratado. De qualquer forma, é importante analisar o EPD, pois ele será responsável por uma ampla gama de atividades.
É por isso que fizemos esta checklist para ajudar você a saber o que procurar ao contratar um responsável pela proteção de dados para seus negócios.
🚀 Vá diretamente para O que procurar ao escolher seu EPD (com base nos requisitos do GDPR) →
De acordo com o GDPR, o Encarregado de Proteção de Dados (EPD) ajuda o controlador ou processador de dados a configurar, aplicar e monitorar uma estratégia de proteção de dados de acordo com os requisitos legais.
O EPD também deve ter conhecimento sobre gerenciamento de processos de TI, segurança de dados e outras preocupações essenciais relacionadas ao manuseio de dados pessoais e confidenciais.
O trabalho do EPD envolve muitas responsabilidades, incluindo atuar como ponto de contato da organização com agências de supervisão, educar os trabalhadores sobre as obrigações de conformidade e treinar o pessoal encarregado do processamento de dados.
Além disso, o EPD realiza auditorias de segurança de rotina e oferece recomendações para incentivar a adesão às leis e aos padrões do setor.
A obrigação de designar um EPD está prevista no artigo 37.º do Regulamento Geral de Proteção de Dados (GDPR). Em geral, este é um requisito que deve ser cumprido por todas as empresas para as quais o GDPR se aplica e que processam uma quantidade significativa de dados pessoais, independentemente de ser feito na qualidade de Controlador de Dados ou Processador de Dados.
O GDPR exige a *designação de um EPD* nos seguintes casos:
👉 Onde há monitoramento regular e sistemático de usuários em larga escala (por exemplo, processamento com sistemas de videovigilância);A nomeação de um EPD depende não apenas do número real de funcionários, mas também da natureza da atividade de processamento de dados. Se sua organização não se encaixa em uma dessas categorias, você não precisa nomear um EPD.
Credibilidade
Conhecimentos Jurídicos
Conhecimento em TI
Habilidade de se comunicar com clareza
Proatividade
Habilidades de liderança
Experiência Global
De acordo com o GDPR, seu EPD é obrigado a:
✅ ser imparcial e evitar conflitos de interesse.
Os EPDs não devem agir com base em comissões de prestadores de serviços, ou a natureza dessa relação se enquadrará no princípio do conflito de interesses.
Isso é importante porque garante que você receba os melhores conselhos de acordo com suas necessidades de negócios ao invés de interesses pessoais.
✅ ser dedicado, estejam eles em sua organização em tempo integral ou como um contratado terceirizado.
O EPD só tem permissão para uma função em sua organização. Por exemplo, um EPD que supervisiona a segurança da informação entrará em conflito se suas avaliações de risco de segurança e estratégias de mitigação forem avaliadas no contexto de sua função de EPD. Se você terceirizou seu EPD, certifique-se de que ele tenha tempo para se dedicar à sua organização.
🗣 O GDPR especifica que os EPDs têm permissão para cumprir outras tarefas, desde que:
quaisquer dessas tarefas e deveres não resultam em conflito de interesses.
De acordo com o GDPR, seus EPDs são obrigados a:
✅ possuir um nível de habilidade em lei de proteção de dados, dependendo do tipo de processamento realizado.
Isso significa que os EPDs devem ser advogados certificados e informados sobre todas as leis de privacidade e associadas em todos os países onde sua organização realiza negócios ou terceiriza atividades.
🗣 O GDPR especifica:
“uma pessoa com conhecimento especializado das leis e práticas de proteção de dados” para auxiliar o controlador ou processador, e estar “vinculado ao sigilo ou confidencialidade”, além de “executar os seus deveres e tarefas de maneira independente”.
De acordo com o GDPR, seu EPD é obrigado a:
✅ fornecer orientação sobre avaliações de risco, contramedidas e análises de efeitos de proteção de dados;
✅ ter experiência prática substancial em avaliações de privacidade, certificações/selos de privacidade;
✅ possuir certificações de padrões de segurança da informação; e
✅ ter conhecimento substancial de privacidade, avaliação de riscos de segurança e mitigação de melhores práticas.
Essas habilidades devem ser baseadas em amplas auditorias de IS, infraestrutura de TI e experiência em programação.
De acordo com o GDPR, seu EPD é obrigado a:
✅ possuir habilidades de liderança e gerenciamento de projetos para poder solicitar, organizar e direcionar os recursos necessários para suas responsabilidades;
✅ avaliar criticamente seus conhecimentos para identificar eventuais lacunas e, em seguida, solicitar treinamento nessas áreas; e
✅ possuir uma ampla gama de conhecimento de negócios e estar suficientemente familiarizado com os setores de controlador e processador de dados para compreender como a privacidade deve ser tratada de modo a se adequar perfeitamente ao modo como cada empresa desenvolve, comercializa e gera dinheiro com seus produtos e serviços.
🗣 O GDPR especifica:
O controlador e o processador devem apoiar o EPD… fornecendo os recursos necessários para realizar essas tarefas e acesso a dados pessoais e operações de processamento, e para manter seu conhecimento especializado.
De acordo com o GDPR, seu EPD é obrigado a:
✅ ser proativos que tenham e busquem o conhecimento e as habilidades para desempenhar as funções que lhes são atribuídas sem supervisão e a capacidade de localizar as informações de que precisam;
✅ possuir presença em nível de diretoria e a capacidade de se comunicar com profissionais corporativos experientes que podem não estar familiarizados com os deveres do EPD.
🗣 O GDPR especifica:
O responsável pelo tratamento e o subcontratante devem assegurar que o EPD não recebe quaisquer instruções relativas ao exercício dessas tarefas… O EPD deve reportar diretamente ao mais alto nível de gestão do responsável pelo tratamento ou subcontratante.
De acordo com o GDPR, seu EPD é obrigado a:
✅ lidar com solicitações e reclamações de titulares de dados em termos claros, não em termos jurídicos ou técnicos.
✅ ter habilidades em treinamento jurídico e conscientização para garantir que todos os titulares de dados estejam cientes de seus direitos e obrigações e para ajudar no treinamento de outras pessoas para ajudar os titulares de dados com solicitações específicas
🗣 O GDPR especifica que os titulares dos dados podem entrar em contato com o EPD:
no que diz respeito a todas as questões relacionadas com o tratamento dos seus dados pessoais e com o exercício dos seus direitos.
Seu EPD é obrigado a:
✅ envolver-se com processadores e controladores de muitas culturas e países;
✅ gerenciar várias maneiras de pensar e fazer negócios e possuir a adaptabilidade para direcionar essas variações para uma boa conclusão.
Em última análise, a decisão de escolher um EPD qualificado com essas habilidades necessárias cabe a cada organização.
Confira os outros passos aqui 👉
5 coisas que você precisa fazer agora para cumprir o GDPR (em inglês)