Débora Sirotheau Siqueira Rodrigues, superintendent of Personal Data Protection and Cyber Fraud at Serpro, has been appointed as the company's Data Protection Officer (DPO). This appointment fulfills a requirement of Brazil's General Data Protection Law (LGPD), particularly relevant as Serpro operates critical government systems handling vast amounts of citizen data in areas like taxation and civil identification.
In this structure, Serpro primarily acts as a data processor for government agencies, which remain the data controllers. The DPO's role is focused on internal governance, promoting a privacy culture, and ensuring data protection is integrated into processes, without assuming the legal responsibilities of the controlling agencies.
The article outlines that inquiries about data processing should be directed to the controller agency when Serpro is a processor, while the DPO becomes the contact point when Serpro acts as a controller. Débora Sirotheau's extensive qualifications in IT, law, and data privacy are also highlighted.
Main Topics: Appointment of a Data Protection Officer at Serpro; Compliance with Brazil's LGPD; Roles and responsibilities of data processor vs. controller; Serpro's function in operating government systems; The DPO's specific duties and contact information.
A superintendente de Proteção de Dados Pessoais e Antifraude Cibernética do Serpro, Débora Sirotheau Siqueira Rodrigues, passa a acumular o cargo com a função de encarregada pelo tratamento de dados pessoais da empresa. A nomeação atende às exigências da Lei Geral de Proteção de Dados Pessoais (LGPD), que determina a existência desse responsável ( DPO) em organizações que realizam tratamento de informações pessoais, sobretudo quando lidam com grandes bases de dados e serviços digitais de grande escala.
No caso do Serpro, a função ganha relevância adicional porque a estatal é responsável pela operação de diversos sistemas estruturantes do Estado brasileiro. Essas plataformas sustentam serviços públicos digitais em áreas como arrecadação tributária, administração fiscal, identificação civil, mobilidade e gestão de folha de pagamento de servidores. Embora o processamento tecnológico seja realizado pela empresa, os dados tratados pertencem aos órgãos governamentais que contratam esses serviços e que, de acordo com a LGPD, assumem o papel de controladores das informações.
Nesse arranjo institucional, cabe ao Serpro garantir a infraestrutura tecnológica necessária para o funcionamento dos sistemas e assegurar a proteção das informações processadas, seguindo as diretrizes estabelecidas pelos órgãos responsáveis pelos serviços públicos. Assim, o papel da encarregada se insere principalmente na orientação interna sobre boas práticas de governança de dados e no fortalecimento da cultura de privacidade dentro da organização.
Débora Sirotheau destaca que a função do encarregado não substitui as responsabilidades legais do controlador nem interfere diretamente nas decisões sobre o uso dos dados. Segundo ela, a legislação estabelece que a responsabilidade pelas escolhas relacionadas ao tratamento das informações permanece com o órgão controlador. No ambiente do Serpro, onde há múltiplos clientes públicos e operações tecnológicas complexas, o principal desafio é garantir que a proteção de dados esteja integrada aos processos institucionais e às decisões operacionais da empresa.
Quando o Serpro atua apenas como operador, isto é, processando dados sob orientação de outros órgãos públicos, eventuais solicitações relacionadas ao tratamento dessas informações devem ser encaminhadas diretamente ao controlador responsável pelo serviço. Já nas situações em que a estatal assume a posição de controladora, a encarregada passa a atuar como ponto de contato entre a empresa, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD), além de orientar as áreas internas sobre conformidade com a LGPD.
Cidadãos que desejarem esclarecer dúvidas sobre tratamento de dados realizado pelo Serpro podem entrar em contato com a encarregada por meio do endereço eletrônico encarregado@serpro.gov.br ou utilizar o canal digital de privacidade disponibilizado pela empresa.
Com carreira de quase três décadas na estatal, Débora Sirotheau ingressou no Serpro em 1997. Analista de Tecnologia da Informação e advogada, possui especializações em redes de computadores e em privacidade e proteção de dados pessoais. Em 2024, passou a liderar o então Departamento de Antifraude Cibernética, estrutura que evoluiu para a atual Superintendência de Proteção de Dados Pessoais e Antifraude Cibernética, área que hoje dirige.
A executiva também acumula certificações internacionais voltadas à governança de segurança cibernética e privacidade, incluindo qualificações relacionadas aos frameworks do Instituto Nacional de Padrões e Tecnologia dos Estados Unidos (NIST) e à gestão de programas de privacidade concedida pela International Association of Privacy Professionals (IAPP). Além disso, integra o Conselho Nacional de Proteção de Dados Pessoais e da Privacidade, órgão consultivo vinculado à Autoridade Nacional de Proteção de Dados.
Meridiano