Diretor de privacidade - Chief privacy officer

O Chief Privacy Officer (CPO) é um executivo de nível sênior em um número crescente de corporações globais, agências públicas e outras organizações, responsável por gerenciar riscos relacionados a leis e regulamentos de privacidade de informações . Variações na função geralmente trazem títulos como "Diretor de Privacidade", "Líder de Privacidade" e "Consultor de Privacidade". No entanto, a função de CPO difere significativamente de outra função com o mesmo título, o Data Protection Officer (DPO), uma função exigida para algumas organizações sob o GDPR , e as duas funções não devem ser confundidas ou combinadas.

O papel do CPO foi uma resposta às crescentes "(c) preocupações dos consumidores sobre o uso de informações pessoais, incluindo dados médicos e informações financeiras, juntamente com leis e regulamentos." Em particular, a expansão das Leis de Privacidade da Informação e novos regulamentos que regem a coleta e uso de informações pessoais, como o Regulamento Geral de Proteção de Dados da União Europeia (GDPR), elevou o perfil e aumentou a frequência de ter um executivo sênior como líder de esforços de conformidade relacionados à privacidade. Além disso, algumas leis e regulamentações (como a regra de segurança HIPAA ) exigem que certas organizações dentro de seu escopo regulamentar designem um líder de conformidade de privacidade.

História

Nos Estados Unidos, o cargo de diretor de privacidade foi estabelecido pela primeira vez na empresa de marketing de banco de dados do consumidor Acxiom em 1991, com a nomeação de Jennifer Barrett como CPO. A função funcionou na obscuridade até agosto de 1999, quando a empresa de tecnologia de publicidade na Internet AllAdvantage nomeou o advogado de privacidade Ray Everett para a primeira instância da era da Internet dessa função. Isso deu início a uma tendência que rapidamente se espalhou entre as grandes corporações, tanto offline quanto online. A função do Chief Privacy Officer foi solidificada no mundo corporativo dos Estados Unidos em novembro de 2000, com a nomeação de Harriet Pearson como Chief Privacy Officer para a IBM Corporation . Esse evento levou um analista influente a declarar: "o diretor de privacidade é uma tendência cuja hora chegou".

Em 2001, a organização de pesquisa sem fins lucrativos Privacy and American Business relatou que um número significativo de empresas da Fortune 500 indicou executivos seniores com o título ou função de Chief Privacy Officer. O crescimento da tendência do Chief Privacy Officer foi impulsionado ainda mais pela aprovação pela União Europeia, no final da década de 1990, de leis e regulamentos de privacidade de dados que incluíam a exigência de que todas as corporações tivessem um indivíduo designado para ser responsável pela conformidade de privacidade.

Em 2002, o cargo de Chief Privacy Officer e outros cargos de gerenciamento relacionados à privacidade estavam suficientemente difundidos para apoiar a criação de sociedades profissionais e associações comerciais para promover programas de treinamento e certificação. Em 2002, a maior dessas organizações, a Privacy Officers Association e a Association of Corporate Privacy Officers, fundiram-se para formar a International Association of Privacy Officers, que mais tarde foi renomeada para International Association of Privacy Professionals (IAPP). O IAPP realiza várias conferências e seminários de treinamento a cada ano em todo o mundo, hospedando membros da associação de grandes corporações globais e agências governamentais, com executivos que buscam programas de certificação em práticas de gestão de privacidade. Em 2019, ela teria mais de 50.000 membros em todo o mundo, o que sua liderança atribuiu às respostas das empresas a novas leis como o GDPR.

Responsabilidades e Deveres

Como líder de um programa de privacidade corporativa, um CPO tem uma série de responsabilidades essenciais, incluindo:

• Gerenciar as políticas, procedimentos e governança de dados da empresa
• Promover conscientização e treinamento relacionados à privacidade entre os funcionários
• Resposta líder a incidentes, incluindo preparação para violações de dados
• Comunicar objetivos e valores de privacidade interna e externamente
• Projetar controles para gerenciar a conformidade com a privacidade
• Avaliação de riscos relacionados à privacidade decorrentes de produtos e serviços existentes
• Realização de avaliações de impacto de privacidade para identificar riscos em atividades de negócios novas ou alteradas
• Monitorar a eficácia da mitigação de riscos relacionados à privacidade e medidas de conformidade

Muitas dessas atividades e requisitos estão incluídos nas descrições de trabalho do CPO.

A função requer fortes relacionamentos de colaboração com outras partes interessadas em uma organização, incluindo engenheiros e gerentes de produto (para impactos de privacidade em produtos e serviços), recursos humanos (para impactos de privacidade em dados de funcionários), equipes jurídicas (para monitoramento e interpretações de leis aplicáveis ​​e medidas de conformidade), aquisição e gerenciamento de fornecedores e equipes de tecnologia da informação e segurança da informação.

Interações com outras funções seniores

À medida que as organizações identificam a necessidade de um CPO, surge um desafio frequente em relação à colocação da função dentro da estrutura da organização e a questão da sobreposição entre funções de "nível C" semelhantes, mais notavelmente as muitas interseções entre as funções do CPO e o Diretor de Segurança da Informação (CISO). Embora os CPOs e CISOs tenham alguma sobreposição de responsabilidades em torno da proteção e governança de dados, em última análise, privacidade e segurança têm funções diferentes a desempenhar. Por exemplo, enquanto os CPOs e CISOs podem estar preocupados com a prevenção de violações de dados, a responsabilidade pelo gerenciamento de medidas de prevenção técnica tenderá a ser do CISO, enquanto as preocupações de um CPO olharão mais amplamente para saber se os dados protegidos de outra forma estão sendo usados ​​de maneiras isso pode colocar a empresa em risco legal, regulatório ou de reputação.

Outra área de potencial sobreposição, e às vezes confusão, é a interação entre um CPO e o papel cada vez mais comum de Data Protection Officer (DPO). A função de DPO é especificamente necessária para certas organizações que estão sob a jurisdição do GDPR da UE . Os DPOs têm funções, requisitos e expectativas muito específicos delineados no Artigo 39 do GDPR e nas orientações regulamentares associadas, e incluem um nível de independência necessária e separação organizacional que o torna muito diferente de um CPO.

Qualificações e histórico

Embora vários CPOs tenham formação jurídica e tenham diplomas de Juris Doctor (ou equivalente), a função do CPO é multidisciplinar. A função requer um executivo com uma compreensão de como a coleta e uso de dados, e os riscos associados, influenciam as operações de negócios do dia-a-dia de uma organização. Os CPOs também precisam estar cientes de uma série de fatores legais, regulatórios, contratuais e outros que afetam a estratégia de risco de privacidade de uma organização. Por essas razões, muitos acreditam que um histórico jurídico é um requisito para um CPO bem-sucedido. Outros acreditam que um histórico jurídico pode resultar em um foco muito restrito e os CPOs devem ter mais do que apenas um histórico jurídico.

Entre outras qualificações que são vistas como valiosas em CPOs estão fortes habilidades de comunicação, particularmente na área de relações públicas, porque a função não é apenas parcialmente responsável pelo desenvolvimento e execução de estratégias de alcance público em caso de violação de dados ou outros dados relacionados incidente de segurança, o CPO freqüentemente funciona como o rosto de relações públicas da organização. Os CPOs também são frequentemente chamados para atuar como lobistas que representam os interesses da organização perante os legisladores. Cada vez mais, os CPOs precisam ter um conhecimento profundo das práticas e tecnologias operacionais relacionadas a dados da organização, bem como a interação entre as medidas de conformidade que abrangem os domínios da privacidade e segurança.

Certificação Profissional

Um número crescente de indivíduos em busca de carreiras como CPOs buscará treinamento em várias disciplinas relacionadas ao campo. Entre as credenciais mais comuns vistas no espaço incluem:

• Profissional certificado de privacidade de informações (CIPP) com especializações regionais, como EUA, Canadá, Europa e Ásia
• Gerente de privacidade de informações certificadas (CIPM)
• Tecnólogo certificado em privacidade de informações (CIPT)
• Certificado em Saúde e Privacidade e Segurança (CHPS)
• Certificado em Healthcare Privacy Compliance (CHPC)
• Profissional Certificado de Segurança de Sistemas de Informação (CISSP)

Salário

A complexidade da função e o desafio de encontrar pessoas com a combinação certa de habilidades, educação e experiência se refletem nos dados salariais. Em 2021, a função de CPO comandava um salário médio de $ 200.000 globalmente e mais de $ 212.000 nos Estados Unidos. Por outras contas, os salários médios em 2021 para funções de escritório de privacidade nos EUA variaram de $ 114.638 a $ 126.000.

Veja também

• Diretor de Privacidade, Departamento de Segurança Interna
• Diretor de Privacidade - Departamento de Educação dos EUA
• Diretor de Privacidade e Liberdades Civis - Departamento de Justiça dos EUA
• Escritório de Privacidade - Departamento de Estado dos EUA
• Escritório de privacidade do condado - Condado de Santa Clara, Califórnia (EUA)
• Diretor de Privacidade - US Consumer Financial Protection Bureau
• Diretor de Privacidade do Governo - Governo da Nova Zelândia
• Oficial de privacidade do campus

Referências