Há uma nova profissão. O DPO vai tratar da Proteção de dados

Numa altura em que entra em vigor o Regulamento Geral da Proteção de Dados (RGPD), o ECO foi perceber quem são estes "novos" DPO e o que fazem nas empresas.

Muito se tem falado acerca do Regulamento Geral da Proteção de Dados (RGPD), que promete trazer significativas alterações dentro das empresas, tornando-as propícias a elevadas multas caso não cumpram a nova regulamentação. Entre as muitas novidades, uma delas é a obrigatoriedade de as empresas (nem todas) terem um Encarregado de Proteção de Dados (DPO). Já bastante conhecido em países como Alemanha ou França, por cá ainda poucos o conhecem. Mas, afinal, quem é este DPO e quais vão ser as principais funções?

De acordo com o novo regulamento, todas as empresas públicas, ou as que tratem dados pessoais em grande escala e de forma sistemática, são obrigadas, a partir desta sexta-feira, a nomear um responsável pela proteção de dados, capaz de controlar se a empresa cumpre com a legislação. Em teoria, este profissional será uma espécie de ponte entre o regulador (Comissão Nacional de Proteção de Dados) e a empresa.

“Um maestro que orquestra o cumprimento do RGPD”

Miguel Jacinto é Data Protection Officer (DPO) no Eurobic há cerca de um ano e meio. Entrou para o banco há cerca de seis anos como responsável da Unidade de Prevenção e Segurança, onde passou por mais um cargo até chegar ao atual. Durante esse período, foram vários os cursos e certificações que foi tirando, tudo sempre na área da proteção de dados. Em conversa com o ECO, simplifica de imediato as coisas. “Um DPO é a pessoa que, numa organização, foi nomeada como responsável interno sobre a proteção de dados, no âmbito do RGPD“. Se qualquer pessoa pode ser um DPO? A resposta é afirmativa. “Pode ser qualquer pessoa, desde que formalmente nomeada pela empresa”.

“As empresas podem nomear qualquer colaborador internamente, se for essa opção, com base quer nos conhecimentos já referidos, quer noutras qualificações consideradas relevantes em função do negócio”, continua. Mas, conforme consta no Artº 137 do novo regulamento, “é necessário ter conhecimentos especializados no domínio de Direito e das práticas de proteção de dados“.

As empresas podem nomear qualquer colaborador internamente, se for essa opção, com base quer nos conhecimentos já referidos, quer noutras qualificações consideradas relevantes em função do negócio.

Miguel Jacinto

DPO no Eurobic

Na mesma posição está Pedro Miguel Machado, DPO no Grupo Ageas Portugal há um ano e quatro meses. Com um currículo maioritariamente ligado à proteção de dados, tendo mesmo lecionado sobre o tema, Pedro conta ao ECO que esta profissão “é uma figura que, não sendo nova, ganha expressão e relevância com o RGPD“. Mas, vai ainda mais longe e explica: “O DPO é como um ‘maestro’, uma vez que ele ‘orquestra’ o cumprimento do Regulamento. Promove a sensibilização e a formação relativamente à proteção de dados, posicionando-se como ponto de contacto, intermediando e facilitando as relações entre a empresa que o nomeou, a autoridade de controlo e os titulares dos dados”.

Há mais tempo nessa posição está Gonçalo Pereira, DPO no Lidl Portugal há cinco anos, uma função criada na empresa em 2009 “como resposta a uma preocupação transversal no que diz respeito à questão da proteção de dados”, conta ao ECO. “No caso do Lidl, por se tratar de uma empresa multinacional, o DPO tem uma função acrescida”, diz. “Para além da capacidade de implementar soluções e discutir alternativas que permitam às organizações gerir o risco que o RGPD representa em função do valor das coimas nele previstas, tem que implementar as políticas de proteção de dados exigidas pelo grupo a nível internacional”.

É importante estar alinhado com a estratégia da empresa?

A Associação dos Profissionais de Proteção e de Segurança de Dados (APDPO) representa os indivíduos ou as organizações que tratam da proteção e da segurança dos dados e que operam em território nacional. Juntamente com a Comissão Nacional de Proteção de Dados, a APDPO está ainda a definir as funções e competências exatas desta profissão. Mas, para já, enumeram algumas: analisar a forma de tratamentos dos dados pessoais, informar e recomendar o responsável pela proteção dos dados pessoais e controlar a repartição das responsabilidades, a sensibilização e formação do pessoal e as auditorias correspondentes.

Deverá o DPO estar alinhado com a estratégia empresarial? O leque de opiniões é variado, mas vai dar ao mesmo ponto. “Diria que o DPO deve contribuir para o alinhamento da estratégia da empresa, mas também terá de ser independente nas suas avaliações e decisões“, começa por referir Leandra Dias, jurista da tecnológica portuguesa Primavera BSS. “Apesar de toda a responsabilidade que o DPO tem na garantia da conformidade das entidades na área da proteção de dados, a verdade é que também os colaboradores, chefias e órgãos diretivos das organizações têm aqui um papel determinante”, continua. Neste ponto de vista, a eficiência de um DPO acabará por ser ofuscada se não houver um trabalho individual competente por parte dos demais colaboradores.

Respondendo à questão, Pedro Miguel Machado do Grupo Ageas concorda: “desde que a estratégia da empresa não se afaste das obrigações previstas no RGPD”. “Para bem das empresas, urge a necessidade do mercado reconhecer que as organizações procuram cumprir com o RGPD por reconhecerem o beneficio para os titulares e para o negócio, fugindo do discurso apocalíptico que se foca excentricamente na dimensão máxima prevista para as coimas”, sublinha.

Para bem das empresas, urge a necessidade do mercado reconhecer que as organizações procuram cumprir com o RGPD por reconhecerem o beneficio para os titulares e para o negócio.

Pedro Miguel Machado

DPO no Grupo Ageas Portugal

A resposta de Miguel Jacinto, o DPO do Eurobic, vai ao encontro do que referiu a jurista Leandra Dias, nomeadamente sobre o tema da independência das avaliações: “O DPO deverá desempenhar as suas funções na observância de critérios de isenção e imparcialidade, sendo que não deverá receber instruções relativamente ao exercício das suas funções em matéria de proteção de dados. Assim, deverá estar alinhado com a estratégia da empresa, garantindo ao mesmo tempo que esta está de acordo com os princípios de tratamento de dados preconizados no RGPD”.

No caso concreto do Lidl, Gonçalo Pereira explica ao ECO que “um dos requisitos exigidos ao exercício da função é o envolvimento, de forma adequada e em tempo útil, em todas as questões relacionadas com a proteção de dados pessoais. Sem esse nível de conhecimento, bem como de recursos ou acesso às operações de tratamento, não poderá exercer a sua função de forma eficaz”.

Escolha do DPO “não deve focar-se exclusivamente nos títulos académicos”

Cláudia Martins é advogada da Macedo Vitorino & Associados e faz questão de explicar que, em teoria, esta função poderá ser desempenhada por “um jurista, um consultor, um técnico informático, um colaborador ou equipa dentro da organização que até exerça outras funções, ou inclusivamente uma entidade externa“. No entanto, na prática, torna-se “necessário conhecer muito bem a organização em questão”.

Assim, e de acordo com o novo regulamento, o DPO deverá ter certo tipo de conhecimentos mas, até agora, não há necessidade de ser certificado. Atualmente, a APDPO estima que existam cerca de 200 profissionais formados no país e ainda outros que se encontram em formação. Contudo, uma boa parte conta com certificações na área da proteção de dados, como é o caso de Miguel Jacinto, que frequentou um curso na área da proteção de dados na Deloitte University, na Bélgica. Também Pedro Miguel Machado, o DPO do Grupo Ageas, manteve um percurso semelhante, destacando-se o curso em Cibersegurança, no Massachusetts Institute of Technology.

A jurista da Primavera BSS defende que a escolha da pessoa para este cargo “não deve focar-se exclusivamente nos títulos académicos, mas também na análise da pessoa, de forma a avaliar se tem o perfil necessário para desempenhar as funções”. A advogada Cláudia Martins completa ainda: “A competência técnica de um bom DPO não passa necessariamente por ter uma certificação, nem esta deve corresponder, de forma automática, a um selo de boa qualidade“.

A verdade é que o próprio RGPD não exige essa certificação mas, ainda assim, o DPO do Grupo Ageas questiona-se: “Como é que um profissional evidencia as ditas competências de uma forma isenta, senão por intermédio de uma certificação internacional em proteção de dados?! Acredito que existem excelentes profissionais não certificados, mas isso não invalida a relevância da certificação profissional nesta especialidade”. No entanto, para que não restem dúvidas, a Associação dos Profissionais de Proteção e de Segurança de Dados esclarece: “O Governo português considera que o DPO não deve ser certificado para que o mercado funcione livremente. É com esta realidade que os diversos intervenientes se deverão posicionar”.

O Governo português considera que o DPO não deve ser certificado para que o mercado funcione livremente. É com esta realidade que os diversos intervenientes se deverão posicionar.

Associação dos Profissionais de Proteção e de Segurança de Dados

Mas, agora a pergunta: há atualmente formações suficientemente capazes de preparar para este cargo? O DPO do Eurobic responde que não: “Quer a nível nacional quer a nível europeu, que eu tenha conhecimento, não existem muitas formações com estas características, quer pelo conteúdo programático, quer pela qualificação e experiência do corpo docente”. No entanto, Pedro Miguel Machado, da Ageas Portugal, não concorda: “existem boas formações que preparam devidamente DPO para iniciar esta desafiante jornada“.

Para quem esteja interessado em adquirir uma formação na área, a APDPO realiza formações “suficientemente capazes de preparar para o cargo“, uma vez que, normalmente, são realizadas em colaboração com as entidades públicas com competências na área.

Nomear ou contratar? Eis a questão

Conforme consta no Artigo 37º do RGPD, a partir de 25 de maio, o cargo de DPO torna-se obrigatório para as empresas que reúnam as seguintes condições: ser um organismo público; tratar dados pessoais em grande escala e de forma sistemática; e tratar categorias especiais de dados pessoais em grande escala, como por exemplo dados que revelem a origem racial ou étnica, opiniões políticas, convicções religiosas, etc.

Ou seja, com isto, as empresas veem-se entre duas possibilidades: nomear um profissional ou contratar no mercado. Ambas as opções são válidas, mas os custos podem ser diferentes. Conforme explica a jurista Leandra Dias ao ECO, o DPO “pode ser um dos colaboradores da organização e exercer a função em regime de exclusividade, acumulando outras funções dentro da organização, desde que esteja garantido que não existe conflito de interesses que coloquem em causa o desempenho exímio das suas funções”. Ou então, a empresa pode selecionar “o modelo de um prestador de serviços e, portanto, externo à organização”.

O DPO pode ser um dos colaboradores da organização e exercer a função em regime de exclusividade, acumulando outras funções dentro da organização, desde que esteja garantido que não existe conflito de interesses que coloquem em causa o desempenho exímio das suas funções.

Leandra Dias

Jurista, Primavera BSS

Segundo a especialista, há ainda a hipótese de “ser adotado um regime misto com um DPO interno, que possa ser apoiado por um DPO externo“. Mas, neste caso, está certa de que o “fator financeiro” poderá ser um dos pontos a ter em consideração pelas empresas, acabando por ser uma “decisão que vai depender muito da realidade e cultura” de cada organização. Da parte da APDPO, “qualquer das opções tem vantagens e inconvenientes. Colocar um trabalhador existente como DPO, tem a vantagem de que conhece bem a organização e os colaboradores, mas é mais difícil garantir que não há conflito de interesses e a completa independência e autonomia”.

Para Gonçalo Pereira, “essa escolha depende da maturidade da cultura de proteção de dados de cada empresa. Porém, neste momento, o mercado não tem capacidade para responder de forma eficaz à necessidade de DPO com experiência suficiente“. Por sua vez, Pedro Miguel Machado acredita que “a maioria acabará por nomear os seus trabalhadores“. Uma escolha que poderá ser justificada “pela familiaridade com o negócio e pela escassez de recursos no mercado com estas características”.

A advogada da Macedo Vitorino & Associados também acredita que “a maioria das organizações vai acabar por selecionar um dos seus colaboradores, mais que não seja por questões financeiras. E as que agora estão a recorrer a serviços externos irão acabar por seguir o mesmo caminho num horizonte temporal de um a dois anos, e isto sem prejuízo de continuarem a recorrer aos serviços de juristas e consultores externos nesta matéria”.

A partir de 25 de maio muita coisa muda, mas as empresas preparam-se a todo o vapor para esta nova fase. Para as empresas é sinónimo de “mais um salário”, como refere a jurista Leandra Dias, e “o facto de serem exigidas competências tão diversas numa mesma pessoa também não torna fácil a sua escolha e seleção”. Porém, acredita que existem profissionais à altura.

Comentários ({{ total }})

Há uma nova profissão. O DPO vai tratar da Proteção de dados

Respostas a {{ screenParentAuthor }} ({{ totalReplies }})

{{ noCommentsLabel }}

Ainda ninguém comentou este artigo.

Promova a discussão dando a sua opinião