O CEO de uma empresa foi surpreendido ao receber uma demanda formal de diagnóstico por parte da Autoridade de Proteção da Privacidade de Israel (PPA, na sigla em inglês). O problema não era o questionário em si, mas o fato alarmante de que a organização nunca havia realizado uma avaliação preliminar de necessidades e riscos, as lacunas nunca haviam sido mapeadas e as retificações tecnológicas e legais exigidas por lei não haviam sido implementadas a tempo. Será sequer possível fechar anos de lacunas e transformar um sistema de dados vulnerado em uma fortaleza de conformidade e privacidade quando a ampulheta da Autoridade já virou?
A Emenda 13 à Lei de Proteção da Privacidade de Israel serve atualmente como pilar central no fortalecimento das capacidades de dissuasão e aplicação da PPA. Isso representa uma mudança de paradigma: uma transição de um modelo "baseado em recomendações" para um modelo de aplicação administrativa firme, que inclui severas sanções financeiras e a emissão de diretrizes profissionais vinculantes para os controladores de bancos de dados. Nesta era, a PPA não se contenta simplesmente em investigar violações de segurança; age de maneira proativa para garantir que tanto as organizações privadas quanto as governamentais cumpram os rigorosos padrões da Lei de Proteção da Privacidade, tendo a PPA o poder de impor multas pessoais aos executivos da empresa de até 150.000 ILS.
Uma das mudanças mais significativas introduzidas pela Emenda 13 é a nomeação obrigatória de um Encarregado de Proteção de Dados (DPO, na sigla em inglês). Este requisito já não se limita a organismos públicos; agora aplica-se a contratados que trabalham em seu nome, entidades cujo negócio principal é o comércio de dados pessoais, organizações dedicadas ao monitoramento sistemático do comportamento humano e entidades que processam volumes significativos de dados sensíveis (como dados médicos, biométricos, penais, de crédito ou informações sobre orientação sexual). O DPO atua como uma função profissional independente, reportando-se diretamente ao CEO e ao Conselho de Administração, e está encarregado de supervisionar a segurança dos dados da organização.
No entanto, mesmo quando a nomeação de um DPO não é obrigatória, o Conselho de Administração tem o dever ativo de garantir a segurança dos dados. Devem aprovar definições e procedimentos, avaliar riscos e verificar a implementação de uma política de conformidade que inclua mecanismos de controle e a notificação imediata de incidentes de segurança. Portanto, mesmo na ausência de uma obrigação legal, recomenda-se fortemente nomear um DPO para assegurar a conformidade contínua e mitigar a exposição dos diretores e executivos em caso de vazamento de dados. Ignorar as recomendações do DPO ou falhar na supervisão contínua (incluindo a falta de alocação de recursos adequados) pode ser percebido como uma violação do dever de diligência (duty of care). Seja durante uma auditoria regulatória ou após um vazamento, tais falhas podem resultar em responsabilidade pessoal para os diretores e executivos, independentemente da responsabilidade corporativa da empresa.
Um erro comum dos executivos é ver a privacidade como um "projeto" temporário em preparação para uma auditoria. A Emenda 13 esclarece que a responsabilidade final recai sobre o Conselho de Administração, expondo os executivos a pesadas sanções financeiras pessoais e possíveis investigações criminais. Consequentemente, aconselha-se aos executivos que ajam sem demora para garantir a conformidade total e formular procedimentos de segurança por escrito. Dados os riscos legais e pessoais envolvidos, é aconselhável não se contentar com um prestador de serviços de DPO externo padrão (especialmente dada a recente afluência de prestadores inexperientes que "surgem como cogumelos" após a Emenda 13). Em vez disso, as organizações devem contratar um escritório de advocacia com experiência específica em proteção da privacidade para fornecer orientação profissional contínua e serviços de DPO externo.