Um ano depois das novas regras de proteção de dados, como é ser DPO nas empresas portuguesas?
O tema da proteção de dados está, cada vez mais, na ordem do dia e, com ele, a consciência da importância do trabalho dos DPO. Mas, sem regras, a vida dos DPO tem sido complicada.
O novo Regulamento Geral de Proteção de Dados (RGPD) entrou em vigor há precisamente um ano. Ainda que a lei portuguesa continue por aprovar, ao longo do último ano, os data protection officer (DPO) começaram a surgir em algumas empresas nacionais.
Se, no início, pouco se sabia sobre o trabalho e a importância dos encarregados de proteção de dados, passado um ano, o tema está cada vez mais na ordem do dia. “A questão da proteção de dados pessoais está cada vez mais no dia-a-dia das empresas e, por isso, muitos boards, mais sensíveis ao tema, formalizaram já a nomeação do seu DPO e alocaram o orçamento considerado adequado”, diz Miguel Jacinto, DPO no Eurobic, ao ECO.
Domingos Felício, DPO na Geostar, concorda com este balanço. “Existe uma maior compreensão das temáticas associadas à proteção de dados, as próprias organizações já começam a encarar a proteção de dados e o cumprimento do disposto no RGPD como parte integrante da sua atividade”, afirma.
Também a maior quantidade de informação e ferramentas de apoio disponíveis “tornam mais fácil, dentro da complexidade do tema, as necessárias adequações ou tratamentos necessários”, acrescenta Domingos Felício. O DPO no Eurobic prefere salientar a criação da Associação dos Encarregados de Proteção de Dados (AEPD), que, diz, “permitiu dar algum ênfase à profissão de DPO, promovendo alguns fóruns de debate sobre o tema”.
Quando existe o necessário empowerment à função, o DPO é visto como uma mais-valia e a sua opinião é levada em conta na criação de novos processos de negócio onde haja tratamento de dados pessoais.
“O trabalho de um DPO corresponde a alguém que faz auditoria interna, a um ROC [revisor oficial de contas] ou a um advogado que trabalha dentro da empresa”, começa por explicar Elsa Veloso, DPO e CEO da DPO Consulting. Mas a visibilidade dentro das organizações varia consoante a importância que a empresa dá ao tema da proteção de dados.
“Quando existe o necessário empowerment à função, o DPO é visto como uma mais-valia e a sua opinião é levada em conta na criação de novos processos de negócio onde haja tratamento de dados pessoais. Quando o DPO é só mais uma função, a sua visibilidade é menor e, por consequência, os riscos em que a organização incorre no curto prazo são exponencialmente maiores”, refere Miguel Jacinto.
O trabalho ao nível da consciencialização está a ser feito, já com alguns resultados, mas, para Elsa Veloso, ainda há um longo caminho a percorrer. E começando logo pela aprovação da lei nacional, que virá para clarificar a aplicação do regulamento na jurisdição portuguesa.
Enquanto a lei nacional não chega, “trabalhamos com o que temos”
O grupo de trabalho responsável pelas leis que vão aplicar o Regulamento Geral da Proteção de Dados em Portugal está prestes a concluir o processo legislativo. De acordo com Andreia Neto, coordenadora do grupo de trabalho de RGPD, ficam assim reunidas as condições para que a votação final global dos diplomas seja levada a cabo “no início de junho”. A 28 de maio, o grupo de trabalho deverá reunir-se para discutir o que ainda está em falta.
"Se não acontecer nada, se não houver fiscalização, penas, multas e tribunais a funcionar, as empresas julgam que não é preciso fazer nada.”
“O mercado está a aguardar a lei nacional. É decisivo que saia a lei portuguesa para se perceber que existem mecanismos de controlo nesta matéria”, afirma Elsa Veloso. “[Só assim] toda a gente terá consciência plena de que o RGPD está em vigor. Se não acontecer nada, se não houver fiscalização, penas, multas e tribunais a funcionar, as empresas julgam que não é preciso fazer nada”, continua a encarregada de proteção de dados, acrescentando que “as entidades, em Portugal, não estão ainda a funcionar conforme a lei”.
Miguel Jacinto também entende que as coimas são fundamentais para que as empresas percebam que a lei é aplicável. Contudo, o profissional afirma que a visibilidade que foi dada a multas aplicadas, nomeadamente a nível europeu, tem contribuído bastante para a sensibilização das empresas nacionais.
Recorde-se que a maior multa por causa do RGPD foi aplicada em França e teve como alvo a norte-americana Google. Em janeiro, as autoridades francesas obrigaram a multinacional a pagar 50 milhões de euros por usar, indevidamente, dados pessoais dos cidadãos para segmentar publicidade sem consentimento expresso dos titulares. Também a nível nacional, ainda que numa escala muito menor, já houve quatro multas.
“Os regulamentos, as diretivas, as resoluções, as matérias produzidas pelos grupos de trabalho e as informações das autoridades de controlo portuguesa e de outros países acabam por ser o suporte para tudo o que se relaciona com a proteção de dados”, explica Domingos Felício.
Até que a lei nacional entre em vigor — e durante o ano que passou — ter “formações e trocar experiência com outros DPO tem sido de extrema importância para o esclarecimento de dúvidas”, diz. “Trabalhamos com o que temos”, refere Miguel Jacinto, salientando que “a verdade é já há bastante matéria-prima para trabalhar”. “Quando finalmente for possível esclarecer o que falta, penso que será relativamente fácil fazer os ajustes necessários aos processos já implementados”, acrescenta o DPO no Eurobic.
RGPD: “instrumento positivo” ou “entrave”?
Elsa Veloso diz que o regulamento tem de ser entendido como “um instrumento positivo, que cria valor para as empresas” e não como “um entrave ao funcionamento das empresa”. É precisamente neste sentido que a DPO diz que os profissionais trabalham. “A nossa postura é sempre de construção em cima dos ativos existentes”, continua a encarregada de proteção de dados.
"Há organizações que lutam contra a falta de meios humanos e até financeiros. Outras acham que isto é mais uma moda.”
Ainda assim, nem todas as empresas estão preparadas para o regulamento. “Há organizações que lutam contra a falta de meios humanos e até financeiros, outras acham que isto é mais uma moda e, por isso, não se vai aplicar como se falava ao início”, diz Miguel Jacinto.
Mas “também há quem tenha uma ideia errada do que é necessário implementar e, por isso, esteja a incorrer em esforços desnecessários”, continua o DPO do Eurobic. “Há de tudo um pouco”, remata.
Assine o ECO Premium
No momento em que a informação é mais importante do que nunca, apoie o jornalismo independente e rigoroso.
De que forma? Assine o ECO Premium e tenha acesso a notícias exclusivas, à opinião que conta, às reportagens e especiais que mostram o outro lado da história.
Esta assinatura é uma forma de apoiar o ECO e os seus jornalistas. A nossa contrapartida é o jornalismo independente, rigoroso e credível.
Comentários ({{ total }})
Um ano depois das novas regras de proteção de dados, como é ser DPO nas empresas portuguesas?
{{ noCommentsLabel }}