Um ano depois das novas regras de proteção de dados, como é ser DPO nas empresas portuguesas?

O tema da proteção de dados está, cada vez mais, na ordem do dia e, com ele, a consciência da importância do trabalho dos DPO. Mas, sem regras, a vida dos DPO tem sido complicada.

O novo Regulamento Geral de Proteção de Dados (RGPD) entrou em vigor há precisamente um ano. Ainda que a lei portuguesa continue por aprovar, ao longo do último ano, os data protection officer (DPO) começaram a surgir em algumas empresas nacionais.

Se, no início, pouco se sabia sobre o trabalho e a importância dos encarregados de proteção de dados, passado um ano, o tema está cada vez mais na ordem do dia. “A questão da proteção de dados pessoais está cada vez mais no dia-a-dia das empresas e, por isso, muitos boards, mais sensíveis ao tema, formalizaram já a nomeação do seu DPO e alocaram o orçamento considerado adequado”, diz Miguel Jacinto, DPO no Eurobic, ao ECO.

Domingos Felício, DPO na Geostar, concorda com este balanço. “Existe uma maior compreensão das temáticas associadas à proteção de dados, as próprias organizações já começam a encarar a proteção de dados e o cumprimento do disposto no RGPD como parte integrante da sua atividade”, afirma.

Também a maior quantidade de informação e ferramentas de apoio disponíveis “tornam mais fácil, dentro da complexidade do tema, as necessárias adequações ou tratamentos necessários”, acrescenta Domingos Felício. O DPO no Eurobic prefere salientar a criação da Associação dos Encarregados de Proteção de Dados (AEPD), que, diz, “permitiu dar algum ênfase à profissão de DPO, promovendo alguns fóruns de debate sobre o tema”.

Quando existe o necessário empowerment à função, o DPO é visto como uma mais-valia e a sua opinião é levada em conta na criação de novos processos de negócio onde haja tratamento de dados pessoais.

Miguel Jacinto

DPO no Eurobic

“O trabalho de um DPO corresponde a alguém que faz auditoria interna, a um ROC [revisor oficial de contas] ou a um advogado que trabalha dentro da empresa”, começa por explicar Elsa Veloso, DPO e CEO da DPO Consulting. Mas a visibilidade dentro das organizações varia consoante a importância que a empresa dá ao tema da proteção de dados.

“Quando existe o necessário empowerment à função, o DPO é visto como uma mais-valia e a sua opinião é levada em conta na criação de novos processos de negócio onde haja tratamento de dados pessoais. Quando o DPO é só mais uma função, a sua visibilidade é menor e, por consequência, os riscos em que a organização incorre no curto prazo são exponencialmente maiores”, refere Miguel Jacinto.

O trabalho ao nível da consciencialização está a ser feito, já com alguns resultados, mas, para Elsa Veloso, ainda há um longo caminho a percorrer. E começando logo pela aprovação da lei nacional, que virá para clarificar a aplicação do regulamento na jurisdição portuguesa.

Enquanto a lei nacional não chega, “trabalhamos com o que temos”

O grupo de trabalho responsável pelas leis que vão aplicar o Regulamento Geral da Proteção de Dados em Portugal está prestes a concluir o processo legislativo. De acordo com Andreia Neto, coordenadora do grupo de trabalho de RGPD, ficam assim reunidas as condições para que a votação final global dos diplomas seja levada a cabo “no início de junho”. A 28 de maio, o grupo de trabalho deverá reunir-se para discutir o que ainda está em falta.

"Se não acontecer nada, se não houver fiscalização, penas, multas e tribunais a funcionar, as empresas julgam que não é preciso fazer nada.”

Elsa Veloso

DPO e CEO da DPO Consulting

O mercado está a aguardar a lei nacional. É decisivo que saia a lei portuguesa para se perceber que existem mecanismos de controlo nesta matéria”, afirma Elsa Veloso. “[Só assim] toda a gente terá consciência plena de que o RGPD está em vigor. Se não acontecer nada, se não houver fiscalização, penas, multas e tribunais a funcionar, as empresas julgam que não é preciso fazer nada”, continua a encarregada de proteção de dados, acrescentando que “as entidades, em Portugal, não estão ainda a funcionar conforme a lei”.

Miguel Jacinto também entende que as coimas são fundamentais para que as empresas percebam que a lei é aplicável. Contudo, o profissional afirma que a visibilidade que foi dada a multas aplicadas, nomeadamente a nível europeu, tem contribuído bastante para a sensibilização das empresas nacionais.

O novo Regulamento Geral de Proteção de Dados entrou em vigor no dia 25 de maio de 2018.Pixabay

Recorde-se que a maior multa por causa do RGPD foi aplicada em França e teve como alvo a norte-americana Google. Em janeiro, as autoridades francesas obrigaram a multinacional a pagar 50 milhões de euros por usar, indevidamente, dados pessoais dos cidadãos para segmentar publicidade sem consentimento expresso dos titulares. Também a nível nacional, ainda que numa escala muito menor, já houve quatro multas.

“Os regulamentos, as diretivas, as resoluções, as matérias produzidas pelos grupos de trabalho e as informações das autoridades de controlo portuguesa e de outros países acabam por ser o suporte para tudo o que se relaciona com a proteção de dados”, explica Domingos Felício.

Até que a lei nacional entre em vigor — e durante o ano que passou — ter “formações e trocar experiência com outros DPO tem sido de extrema importância para o esclarecimento de dúvidas”, diz. “Trabalhamos com o que temos”, refere Miguel Jacinto, salientando que “a verdade é já há bastante matéria-prima para trabalhar”. “Quando finalmente for possível esclarecer o que falta, penso que será relativamente fácil fazer os ajustes necessários aos processos já implementados”, acrescenta o DPO no Eurobic.

RGPD: “instrumento positivo” ou “entrave”?

Elsa Veloso diz que o regulamento tem de ser entendido como “um instrumento positivo, que cria valor para as empresas” e não como “um entrave ao funcionamento das empresa”. É precisamente neste sentido que a DPO diz que os profissionais trabalham. “A nossa postura é sempre de construção em cima dos ativos existentes”, continua a encarregada de proteção de dados.

"Há organizações que lutam contra a falta de meios humanos e até financeiros. Outras acham que isto é mais uma moda.”

Miguel Jacinto

DPO no Eurobic

Ainda assim, nem todas as empresas estão preparadas para o regulamento. “Há organizações que lutam contra a falta de meios humanos e até financeiros, outras acham que isto é mais uma moda e, por isso, não se vai aplicar como se falava ao início”, diz Miguel Jacinto.

Mas “também há quem tenha uma ideia errada do que é necessário implementar e, por isso, esteja a incorrer em esforços desnecessários”, continua o DPO do Eurobic. “Há de tudo um pouco”, remata.

Comentários ({{ total }})

Um ano depois das novas regras de proteção de dados, como é ser DPO nas empresas portuguesas?

Respostas a {{ screenParentAuthor }} ({{ totalReplies }})

{{ noCommentsLabel }}

Ainda ninguém comentou este artigo.

Promova a discussão dando a sua opinião