Prévia do material em texto
Curso para Coordenador de Proteção de Dados Pessoais - DPO São Paulo 2021 Fenabrave – Federação Nacional da Distribuição de Veículos Automotores Professor Alexandre Rodrigues Atheniense Curso 5 – DPO na prática Alexandre Rodrigues Atheniense é advogado formado pela Universidade Federal de Minas Gerais (UFMG), especialista em Internet Law pelo Berkman Center – Harvard Law School – e sócio fundador do escritório de advocacia Alexandre Atheniense Advogados. Com experiência profissional de 32 anos, é um dos precursores do Direito Digital no Brasil. Possui vasta experiência acadêmica e institucional, tendo exercido por oito anos (2002-2010) a presidência da Comissão de Tecnologia da Informação da OAB Federal, representando a entidade na discussão de projetos de lei no Congresso Nacional sobre temas relacionados à tecnologia da informação. É coordenador da Comissão de Direito Digital do Centro de Estudos das Sociedade de Advogados (CESA); árbitro em questões relacionadas à propriedade intelectual e tecnologia da informação na Competição Brasileira de Arbitragem (CAMARB), Câmara Mineira de Arbitragem (CAMINAS) e Associação Brasileira da Propriedade Intelectual (ABPI). É autor de diversas obras sobre Direito Digital no Brasil e no exterior. Colaboradores: Lorenzzo Antonini Itabaiana e Adriana Bessone Sadi Sumário Apresentação 1. DPO e órgãos fiscalizadores 2. DPO e incidentes de segurança da informação 3. DPO e Política de Privacidade 4. DPO e cyber insurance Bibliografia Apresentação O curso DPO na prática compõe o módulo 5 do curso Coordenador de proteção de dados pessoais (DPO), oferecido pela Fenabrave em cinco partes distintas e independentes. O objetivo geral é capacitar os envolvidos no processo de tratamento desses dados, por meio de conteúdo teórico e prático, preparando-os para o desafio da jornada de governança corporativa. Neste curso, capacita-se o DPO para atuar de forma eficaz na proteção de dados pessoais, considerando-se aspectos relevantes tais como incidentes de segurança da informação, cyber insurance, entre outros. Os participantes devem assistir às aulas gravadas em vídeo, ler o conteúdo explicitado na apostila e ouvir o podcast disponível. Sugerimos, ainda, que consultem fontes indicadas na bibliografia constante no final deste material. Na sequência, devem responder ao questionário de avaliação, que permite a revisão dos principais pontos abordados. DPO e órgãos fiscalizadores 1. DPO e órgãos fiscalizadores Ao contrário do que se pressupõe, a Lei Geral de Proteção de Dados (LGPD) não é a única a tratar da privacidade e proteção de dados no Brasil. Antes da sua entrada em vigor, existiam mais de 40 normas esparsas que regulamentavam o tema, algumas delas demonstradas a seguir: Fonte: Privacy Hub Assim, apesar de as instituições considerarem o mês de agosto de 2021 como limite para adequação à LGPD – quando as penalidades da Lei estarão vigentes para aplicação pela Autoridade Nacional de Proteção de Dados (ANPD) –, os riscos de condenação por violação de privacidade já existiam, sendo aplicados por outros órgãos como o Programa de Proteção e Defesa do Consumidor (PROCON), a Secretaria Nacional do Consumidor (SENACON) e o Ministério Público. As competências da ANPD são muitas e estão previstas, especificamente, no Artigo 55-J da Lei 13.709/18, compreendendo, entre outras: ● o zelo pela proteção de dados pessoais, nos termos da legislação; ● a elaboração das diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade; ● a fiscalização e aplicação de sanções em caso de tratamento de dados realizado em descumprimento à legislação; ● a promoção do conhecimento de normas e políticas públicas sobre proteção de dados pessoais e de medidas de segurança; ● a promoção e elaboração de estudos sobre as práticas nacionais e internacionais de proteção de dados pessoais e privacidade. O Artigo 5 da LGPD é que define a Autoridade como responsável por zelar, implementar e fiscalizar o cumprimento da Lei em todo o território nacional. Trata-se de um órgão com autonomia técnica e decisória, integrante da Presidência da República, que se junta aos demais órgãos fiscalizadores, como o Instituto Nacional do Seguro Social (INSS), a Receita Federal, a Vigilância Sanitária, a Secretaria da Fazenda do Estado, a Secretaria da Fazenda do Município etc. Podem ocorrer situações em que essas entidades precisem atuar de forma conjunta, coordenando atividades nas respectivas esferas de atuação, para assegurar o cumprimento de suas atribuições com mais eficiência e promover o adequado funcionamento dos setores regulados. Para alcançar o objetivo de governança pretendido, o encarregado pelo tratamento de dados pessoais (DPO) deve exercer um papel fundamental na interlocução com a ANPD e com os demais órgãos fiscalizadores atuantes. Aliás, a definição desse profissional na LGPD evidencia sua importância como comunicador: ele é o “canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)”. A fiscalização e a regulação da Lei pela ANPD devem garantir a proteção do cidadão, sendo a Autoridade um elo entre sociedade e governo, o que torna o DPO um ponto focal. A LGPD, em seu Artigo 41, parágrafo 2, inciso II, estabelece que esse profissional deve “receber comunicações da Autoridade Nacional e adotar providências. No parágrafo 3, observa: a Autoridade Nacional poderá estabelecer normas complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados. Nas comunicações com a ANPD e os demais órgãos fiscalizadores, o DPO deve apresentar soft skills, que consistem em habilidades sociocomportamentais, associadas à capacidade de lidar com emoções. As hard skills – relativas a habilidades que podem ser aprendidas e quantificadas – não equivalem exatamente a um diferencial. Mas esse profissional não deve atuar de forma isolada, especialmente em caso de incidentes e situações de crise. Ele deve apoiar-se em uma equipe técnica multidisciplinar, em um plano de contingenciamento e também em um plano de resposta a incidentes, garantindo uma reação rápida e ordenada no cumprimento de suas obrigações. Ainda sobre a interlocução com a ANPD, o DPO pode comprovar que sua organização adotou medidas preventivas no tratamento de informações, por meio de registros atualizados dos fluxos de tratamento, elaboração do Relatório de Impacto à Proteção de Dados Pessoais (RIPD), verificações periódicas (auditoria) e elaboração de Testes de Legítimo Interesse (Legitimate Interest Assessment – LIA). O órgão máximo da Autoridade é o Conselho Diretor e é ele que estabelece as atribuições do DPO, como define o Decreto 10.474/2020. Contudo, não há ainda a regulamentação de suas funções. Em 27 de janeiro de 2021, foi divulgada, na Portaria nº 11/2021, a agenda regulatória da ANPD para o biênio 2021-2022, a qual se divide em três fases: ● fase 1 – iniciativas da agenda cujo início do processo regulatório acontecerá em até um ano; ● fase 2 – iniciativas da agenda cujo início do processo regulatório acontecerá em até um ano e seis meses; ● fase 3 – iniciativas da agenda cujo início do processo regulatório acontecerá em até dois anos. De acordo com a referida Portaria, a agenda tem um conteúdo extremamente relevante, já que “é uminstrumento de planejamento que agrega as ações regulatórias consideradas prioritárias e que serão objeto de estudo ou tratamento pela Autoridade durante sua vigência”. Nessa perspectiva, é de suma importância para as atividades do DPO, que deve conhecer as fases e os respectivos temas em pauta para regulamentação: Item Tema Priorização Previsão de início do processo de regulamentação 1º/20 21 2º/20 21 1º/20 22 2º/20 22 1 Regimento Interno da ANPD Fase 1 X 2 Planejamento Estratégico da ANPD Fase 1 X 3 Proteção de dados e da privacidade para pequenas e médias empresas, startups e pessoas físicas que tratam dados pessoais com fins econômicos Fase 1 X 4 Direitos dos titulares de dados pessoais Fase 3 X 5 Estabelecimento de normativos para aplicação do Art. 52 e seguintes da LGPD Fase 1 X 6 Comunicação de incidentes e especificação do prazo de notificação Fase 1 X 7 Relatório de Impacto à Proteção de Dados Pessoais (RIPD) Fase 1 X 8 Encarregado pelo tratamento de dados pessoais Fase 2 X 9 Transferência internacional de dados pessoais Fase 2 X 10 Hipóteses legais de tratamento de dados pessoais Fase 3 X Fonte: Portaria n° 11/2021 (adaptado) No item 8 (grifo nosso), observamos que a regulamentação referente às atividades do encarregado pelo tratamento de dados será normatizada, por meio de Resolução, durante a fase 2, prevista para o primeiro semestre de 2022. Na interlocução com a ANPD, o DPO deverá, ainda, inteirar-se dos procedimentos a serem adotados na aplicação de sanções administrativas. O Artigo 52, parágrafo 1, da LGPD preceitua que as sanções serão aplicadas após procedimento administrativo que possibilite a oportunidade da ampla defesa, de forma gradativa, isolada ou cumulativa, com base nas peculiaridades do caso concreto, considerando-se os critérios e os parâmetros enumerados no parágrafo mencionado. Ainda há muito a ser regulamentado, mas, em princípio, deve ser observada a Lei de Processo Administrativo (nº 9.784/99), que dispõe sobre normas básicas para o processo administrativo no âmbito da Administração Federal direta e indireta. Não é necessário que o encarregado domine todas as legislações, entretanto ele deve ter conhecimento mínimo generalista para tomar decisões estratégicas de forma mais segura e consciente. DPO e incidentes de segurança da informação 2. DPO e incidentes de segurança da informação Antes de tratarmos de incidentes propriamente ditos, delimitaremos os conceitos de tecnologia da informação e segurança da informação. A tecnologia da informação (TI) é o conjunto de todas as atividades e soluções providas por recursos de computação que visam a produção, o armazenamento, a transmissão, o acesso, a segurança e o uso das informações, relacionando-se a aspectos operacionais internos. A segurança da informação, por sua vez, é a proteção de um conjunto de informações corporativas ou pessoais, preservando o valor que possuem para a instituição. Suas propriedades básicas são: confidencialidade, integridade, disponibilidade, autenticidade e legalidade. As duas atividades são aglutinadas em um profissional do setor de TI, o que prejudica o trato com incidentes de segurança, que exige um profissional especializado, com funções específicas. A LPGD não explica claramente em que consiste esse tipo de incidente, mas dispõe, em seu Artigo 46, que medidas técnicas e administrativas devem ser adotadas para proteger informações de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito. Os itens apontados pela Lei brasileira são justamente os mencionados na General Data Protection Regulation (GPDR), que apresenta o incidente como uma violação de segurança que conduz à destruição, perda, alteração, divulgação ou acesso não autorizado, de maneira acidental ou ilícita, de dados pessoais transmitidos. A noção de incidente evidenciada aqui se aplica ao conjunto de ativos digitais que a organização deseja preservar e que não se encaixam no conceito de dados pessoais, tais como planilhas de faturamento, estratégias comerciais, segredos industriais etc. Na doutrina, incidentes de segurança classificam-se de acordo com as três principais propriedades básicas da segurança da informação – confidencialidade, integridade e disponibilidade, conforme demonstrado abaixo: Incidentes de confidencialidade Há divulgação ou acesso, acidental ou não autorizado, de dados pessoais. Incidentes de integridade Há alteração, acidental ou não autorizada, de dados pessoais. Incidentes de disponibilidade Há perda de acesso ou destruição, acidental ou não autorizada, de dados pessoais. Fonte: Autor Os cenários não são rígidos e podem mesclar-se entre si, com base no nível de sofisticação do ataque ou do incidente. Na sociedade contemporânea, em que informações pessoais circulam massivamente (mas nem sempre contam com proteção adequada), a maior parte das empresas está sujeita a ataques cibernéticos. É essencial, então, que o encarregado pelo tratamento desses dados adote as medidas necessárias para evitar e aplacar riscos. A LGPD, em seu Artigo 48, exige que o DPO comunique a ANPD e o titular dos dados, em prazo razoável, sobre a ocorrência de incidentes de segurança que possam acarretar riscos potenciais ou danos relevantes. Ele deve mencionar, no mínimo: ● a natureza dos dados pessoais (comuns ou sensíveis); ● a identificação dos titulares afetados; ● as medidas de segurança e de contingenciamento utilizadas para a proteção dos dados. Reiteramos que o enfrentamento de incidentes de segurança da informação não se resume a quesitos técnicos de TI e realiza-se, pelo menos, em três fases: ● investigativa: envolve a atuação de profissionais de tecnologia da informação logo após ou durante o incidente para identificação do problema (ex.: técnicas/ferramentas de análise de segurança e comportamentos anômalos); contenção do incidente (ex.: retirada de um serviço afetado) e implementação do plano de recuperação do ambiente (ex.: restabelecimento de alguma informação comprometida por meio de backups, instalação/ativação de equipamentos reserva); ● jurídica: contempla a atuação de profissionais da área jurídica, tais como advogados, trainees, estagiários, e compreende medidas judiciais ou extrajudiciais, comunicação formal com a ANPD sobre a existência do incidente e acompanhamento dos respectivos desdobramentos jurídicos; ● comunicativa: abrange profissionais de jornalismo, publicidade, relações públicas, linguística, etc., responsáveis por comunicar ao público externo a existência do incidente. O intuito é minimizar os efeitos do ataque à reputação institucional. Na condução de ações diante de imprevistos que impactem negativamente a organização, o Plano de Resposta a Incidentes é um documento importante para manter a continuidade operacional. Na área de tecnologia, o documento é imprescindível, como veremos logo abaixo, e nas demais áreas é fundamental para que a produtividade do negócio se mantenha uniforme. O Plano de Resposta a Incidentes de segurança auxilia o DPO na identificação, mensuração e correção rápida de erros oriundos de eventos adversos, que possam comprometer as propriedades básicas da segurança da informação: confidencialidade, integridade, disponibilidade, autenticidade e legalidade. Para tanto, ele deve conhecer a infraestrutura de TI, bem como classificar e avaliar corretamente os riscos operacionais existentes. Vale dizer, porém, que a contençãode um incidente cibernético pode ser um desafio para muitas instituições e uma tarefa bastante complexa para o encarregado de proteção de dados: medidas imediatas são exigidas para atenuar as ameaças às propriedades básicas da segurança da informação e seus ativos, especialmente quando se trata de pessoas físicas identificadas ou identificáveis. As ameaças hoje são inúmeras e podem ser internas, externas ou naturais como, por exemplo, uma tempestade ou o rompimento de uma barragem. Até ações inocentes como o simples ato de abrir um documento infectado recebido por e-mail tem o potencial de causar perdas financeiras significativas, arruinar uma reputação e tornar negócios inviáveis. Por isso, incidentes de segurança cibernética devem ser constantemente gerenciados. Entre os objetivos desse gerenciamento, destacam-se: ● prevenção de incidentes dessa natureza antes de sua concretização; ● diminuição do impacto dos incidentes para a confidencialidade, disponibilidade e integridade dos serviços ativos de informação; ● redução de vulnerabilidades; ● diminuição de custos diretos ou indiretos; ● identificação e correção eficaz do problema; ● tratamento de falhas com padrão unificado de qualidade; ● manutenção de um bom padrão de desempenho; ● emprego de medidas que melhorem a confiabilidade da infraestrutura. A ilustração a seguir elucida as etapas presentes na cadeia de um incidente de segurança cibernética: Fonte: Autor O time de resposta a incidentes deve ser muito bem preparado e pode ser estruturado em forma de um comitê, cuja designação deve ser revista anualmente, mantendo-se a adequação de sua composição. O grupo deve contar com, pelo menos, um integrante da liderança de cada área e, no mínimo, dois diretores, os quais podem ser os mediadores, além de um gerente de segurança da informação. Um comitê de crises pode contar, também, com a presença de outros membros, de acordo com as particularidades do cenário de crise. Segundo a Information Commissioner’s Office (ICO) – órgão de proteção de dados do Reino Unido similar à ANPD –, a notificação de um incidente só deve ocorrer se resultar em alto risco para os direitos e a liberdade dos titulares. Em outras palavras, nem todos devem ser notificados, a menos que haja dúvida sobre seus impactos – situação em que, no Brasil, a ANPD deve ser comunicada. A Autoridade deve avaliar a natureza, a gravidade e as consequências do incidente; o número de titulares afetados; as jurisdições impactadas e os efeitos adversos. Poderá determinar, ainda, que o controlador adote medidas adicionais como, por exemplo, a ampla divulgação do episódio em canais de comunicação. Alguns procedimentos são avaliados positivamente pela ANPD no momento de aplicar eventual sansão: a adoção de medidas técnicas preventivas e de procedimentos internos capazes de minimizar o dano; o estabelecimento de política de boas práticas e de governança; a adoção de medidas corretivas, com especial atenção do DPO. DPO e Política de Privacidade 3. DPO e Política de Privacidade A LGPD tem como uma de suas principais premissas a transparência na jornada da conformidade, no que diz respeito ao tratamento dos dados pessoais. Nesse viés, distinguimos, de modo geral, a Política de Segurança da Informação (PSI) – delineada no tópico anterior – da Política de Privacidade (PDP) no que se refere à sua aplicação e, obviamente, à apresentação de seus conteúdos. Enquanto a PSI se volta para o ambiente interno, direcionando-se para clientes e prestadores de serviços de forma sigilosa, a PDP dirige-se ao ambiente externo, devendo ser publicizada para que todos tenham ciência sobre como é realizado o tratamento de dados pessoais, em obediência ao princípio da transparência. Ao validar a Política de Privacidade, o DPO deve constatar a presença mínima obrigatória de determinados itens, tais como: ● identificação do controlador e, se houver, identificação do operador dos dados; ● descrição das informações pessoais tratadas; ● descrição das finalidades do tratamento, sem omissão ou possibilidade de interpretação por analogia; ● modo de armazenamento dos dados; ● medidas de segurança adotadas; ● direitos dos titulares; ● canais de comunicação entre público externo e instituição; ● data de atualização da versão mais recente. A PDP deve ser um documento completo e transparente, elaborado com linguagem simples, clara e objetiva, refletindo a cultura organizacional sobre a proteção de dados, para gerar uma relação de confiança com o usuário. Não se trata de um produto estático, pois exige customização e constante atualização. Conforme explica Maldonado (2019, p. 149), uma declaração (Disclaimer) deve ser disponibilizada e esclarecida na política a fim de que o usuário/cliente tenha ciência dos itens que eles estão coletando dos visitantes. [...] Nesse caso, a empresa opta por coletar dados pessoais quando você se cadastra nos sites, solicita informações, adquire produtos ou serviços, fornece produtos ou serviços, envia um currículo, comenta ou participa de alguma promoção, pesquisa ou outro recurso dos sites, ou ao se comunicar ou interagir com a empresa. Os sites também podem pedir para que você forneça outros dados pessoais a seu respeito, como dados demográficos (sexo, CEP, idade etc.) ou determinadas informações sobre as suas preferências, uso do produto e interesses. A Política de Privacidade pode apresentar itens com base nas categorias de titulares envolvidos, maximizando a compreensão dos termos específicos e das atividades rotineiras que tratam dados pessoais. Como exemplo, vejamos como se configura a Política do grupo Fiat Chrysler Automóveis Brasil Ltda.: Fonte: https://www.fiat.com.br/politica-de-privacidade.html/ Acesso em 01.02.21 Embora não faça parte do conjunto, a Política de Cookies poderia ser contemplada na PDP. Cookies, como sabemos, são pequenos arquivos de computador ou pacotes de dados enviados por um site para o navegador do usuário em sua visita a uma página específica. Eles têm múltiplas funções, mas geralmente são usados para prestar determinados serviços ou enviar ofertas, podendo coletar informações anônimas sobre como o indivíduo acessou os sites, qual foi o seu tempo de permanência, que áreas foram acessadas etc. Os principais players do mercado – em especial os que têm negócios na União Europeia, e, portanto, estão há mais de dois anos sujeitos à GDPR – isolam a Política de Cookies da Política de Privacidade, para possibilitar a customização de quais cookies são autorizados pelo usuário ao navegar nos sites. Vejamos, a seguir, o exemplo da Volvo Car Group: Fonte: https://www.volvocars.com/br/footer/privacidade Acesso em 01.02.21 Ao clicarmos em Definições dos cookies, o site permite-nos visualizar e ativar/inativar todos eles por categoria (estritamente necessários, de desempenho, funcionais, dirigidos para publicidade, entre outros) e exibe-os também em linguagem técnica: Fonte: https://www.volvocars.com/br/footer/privacidade Os exemplos acima representam disclaimers sobre cookies de empresas do setor automotivo e demonstram como têm enfrentado as obrigações da LGPD. No entanto, ainda que tais ilustrações sirvam como lição e direcionamento, não podem jamais ser reproduzidas aleatoriamente, para que não se configure uma violação à propriedade intelectual. Afinal, tais cookies foram produzidos para um contexto específico, tanto de tratamento de informações pessoais quanto de tecnologias utilizadas. Destacamos, por fim, que as entidades mencionadas, de renome mundial, têm a obrigação de observar várias legislações sobre proteçãode dados, em especial a GDPR. Isso quer dizer que a elaboração de uma Política de Privacidade por uma instituição brasileira deve considerar não somente a LGPD, mas todas as outras legislações dos países com os quais pretende realizar negócios. Apesar de existir há anos, a PDP tem sido negligenciada. Agora, porém, assume papel relevante com a vigência da Lei, ao que deve estar atento o DPO. DPO e cyber insurance 4. DPO e cyber insurance A LGPD não proporcionou apenas o aquecimento do mercado de seguros cibernéticos (cyber insurances), mas também potencializou a procura pelo seguro D&O (Directors and Officers Liability Insurance). Trata-se de um seguro de responsabilidade civil que protege o patrimônio de altos executivos, preocupados com possíveis processos abertos por pessoas físicas, relacionados ao vazamento de dados pessoais nas empresas em que atuam como gestores. Por mais que a entidade adote todas as medidas de precaução, reduzindo lacunas operacionais e adotando uma Política de Segurança da Informação eficaz, incidentes têm sido cada vez mais recorrentes. Logo, é altamente recomendável que a instituição se resguarde, utilizando todos os meios disponíveis para minimizar riscos e perdas oriundos de eventuais incidentes de segurança da informação e proteção de dados. Ilustremos a importância de proteção com o episódio da National Security Agency (NSA), órgão norte-americano que contrata vários profissionais de segurança da informação e que foi vítima de incidente de segurança no caso Edward Snowden. Nessa situação, uma única apólice pode apresentar múltiplas coberturas, dirigidas para públicos distintos: um voltado para a própria empresa em relação a Erros e Omissões (E&O) e o outro voltado para a proteção do patrimônio pessoal de diretores, membros do conselho, entre outros (D&O), como mencionado anteriormente. Independentemente do seguro escolhido, salientamos que ele não basta como medida protetiva, pois outras providências referentes à governança devem ser adotadas para garantir a segurança de dados. Em relação às concessionárias de veículos, apresentamos a seguir algumas coberturas a serem contempladas: ● responsabilidade por perda ou eliminação de dados pessoais ou corporativos; ● responsabilidade perante organizações terceirizadas; ● ressarcimento das medidas emergenciais a serem adotadas logo após os incidentes; ● ressarcimento de custos de restituição da imagem empresarial; ● ressarcimento de custos de investigação forense; ● ressarcimento de custos imediatos de melhoria de softwares e hardwares em decorrência do incidente; ● cobertura de custos relativos à indisponibilidade de sistemas, como os gerados por ataques de ransomwares; ● cobertura de honorários advocatícios. Quanto à cobertura de aplicação de multas e penalidades pelos órgãos fiscalizadores – que deve ser avaliada com base no valor da apólice –, devemos considerar que, entre as sanções previstas na LGPD, está a suspensão parcial do funcionamento do banco de dados ou a suspensão do exercício da atividade de tratamento de informações pessoais pelo período máximo de seis meses, prorrogável por igual período, bem como a proibição parcial ou total do exercício de atividades relacionadas ao tratamento. Os lucros cessantes decorrentes dessa paralisação devem constar na apólice, já que, mais do que uma multa pecuniária, a suspensão das atividades pode ultrapassar o teto de R$ 50.000.000,00 de multa por infração. Pinto (2020) observa que o DPO deve estar atento aos parceiros com acesso a dados pessoais sensíveis e salienta que seu compartilhamento deve ser precedido por uma Política de Compartilhamento: o documento pode exigir, entre outras garantias, que os parceiros contratem um seguro cuja apólice contemple o vazamento de dados. Como um incidente de segurança da informação pode estar relacionado a fraudes cibernéticas, valendo-se de técnicas de engenharia social ou de extorsão, o seguro também pode realizar essa cobertura. Contudo, por não ser uma modalidade muito difundida no Brasil, as seguradoras apresentam suas propostas apenas mediante processo anterior de auditoria interna e externa. Pinto (2020) também ressalta que a taxa média de custo dos seguros cibernéticos está entre 1% e 2% do Limite Máximo de Garantia (LMG), o que significa que uma apólice com LMG de R$ 5 milhões pode custar em torno de R$ 50 mil por ano. Esse valor varia de acordo com o porte da empresa, seu ramo de atuação, seus sistemas de segurança da informação, os tipos de coberturas contratadas etc. Se comparada às cifras que as multas administrativas podem atingir, a quantia não é significativa e deve ser considerada pelo encarregado de proteção de dados na jornada de adequação à LGPD. A adoção dessas medidas demonstra o compromisso institucional com a proteção dos dados pessoais, o que, como já dissemos, é extremamente bem visto pela ANPD, devendo ser objeto de análise cuidadosa do DPO. Conclusão Apesar de a função do DPO exigir características técnicas multidisciplinares e sólida formação teórica, a nova profissão apresenta um leque de possibilidades em um mercado extremamente competitivo e promissor, mas carente de bons profissionais. Se você pretende ser um bom encarregado de proteção de dados, deve manter-se atualizado, em razão da dinamicidade exigida na realização de atividades e da falta de regulamentação em diversos aspectos deste tema. Bibliografia LUCIANO, Maria. Vazamentos de dados na LGPD: em busca do significado de “incidentes de segurança”. Revista do Advogado, v. 39, n. 144, p. 163-167, 2019. MALDONALDO, Viviane Nóbrega. Lei Geral de Proteção de Dados Pessoais: manual de implementação. São Paulo: Thomson Reuters Brasil, 2020. PINTO, Claudio Macedo. Cyber insurance e seguro para DPO. In: Opice Blum, Renato; Vainzof, Rony; Moraes, Henrique Fabretti (coords.). Data Protection Officer (Encarregado). Teoria e prática de acordo com a LGPD e o GDPR. São Paulo: Thomson Reuters Brasil, p. 331-361, 2020. SOMBRA, Thiago Luís; CASTELLANO, Ana Carolina Heringer. Plano de respostas a incidentes de segurança: reagindo rápido e de forma efetiva. Revista do Advogado, v. 39, n. 144, p. 168-173, 2019. Conteúdo complementar CANAL DR. STARTUP. Política de privacidade e LGPD. 23.05.20. Disponível em: https://www.youtube.com/watch?v=etcZyLBrcEg Acesso em: 01.02.21. CANAL FALA BRASIL. Nova política de privacidade do WhatsApp obriga usuários ao compartilhamento de dados. 19.01.21. Disponível em: https://www.youtube.com/watch?v=v9IZTK8vUwc Acesso em: 01.02.21. CANAL TI. O que é tecnologia da informação – TI? S/d. Disponível em: https://www.youtube.com/watch?v=PuwydNmz5QQ Acesso em: 01.02.21. DONDA, Daniel. Por onde começar em segurança da informação? Canal Daniel Donda. S/d. Disponível em: https://www.youtube.com/watch?v=3MVrwuf0XO8 Acesso em: 01.02.21. Nota: os conteúdos complementares aqui indicados são demonstrações práticas de cursos, certificações e softwares mencionados e não configuram indicação de aquisição ou compra. O autor não possui quaisquer relações comerciais com as marcas que porventura sejam replicadas nos vídeos postados publicamente na plataforma Youtube.