Proteção de dados: “A maioria das entidades públicas precisa de um DPO”

Neste momento, existem muitas dúvidas sobre o que muda com o novo Regulamento Geral de Proteção de Dados (RGPD), que entra em vigor a 25 de maio. O ECO já tentou esclarecer muitas delas aqui. No entanto, várias empresas e organizações ainda não sabem se precisam de nomear um Encarregado de Proteção de Dados (DPO) ao abrigo da nova legislação.

Em entrevista ao ECO, o especialista holandês da consultora EY, Tony de Bos, desmistifica quais as empresas que devem ter um DPO, quem pode ser DPO e se é preciso, ou não, ter certificação profissional para desempenhar essa função. Também faz a distinção entre o bom e o mau profissional. E não encontra uma única entidade pública que não tenha de nomear esta figura, numa altura em que, como o ECO avançou em primeira mão, há dúvidas quanto à conformidade da própria transposição da lei europeia que foi feita pelo Estado português.

O que é um DPO? E quem pode ser DPO?

Um DPO é um Data Protection Officer. O RGPD, Regulamento Geral de Proteção de Dados, obriga à nomeação de um DPO nas organizações que processam grandes quantidades de dados. Existem outros detalhes legais, mas o DPO deve aconselhar a empresa sobre como lidar com a privacidade e deve monitorizar se a empresa está em conformidade com o RGPD. Se não estiver em conformidade, deve escalar o problema até à administração, dizer o que se passa e ajudar a resolvê-lo.

Quais são os requisitos para nomear um DPO?

Não há requisitos formais. O DPO é quase como uma ovelha com cinco patas, porque tem de conhecer a regulação (portanto, tem de ter conhecimentos de Direito) e precisa de compreender os processos tecnológicos (porque muita coisa tem a ver com estes processos), assim como outros processos específicos da organização. Também precisa de ter uma abordagem mais focada no risco. O DPO precisa de tomar muitas decisões com base no risco. Por isso, pessoas que já trabalhem nestas áreas ligadas à gestão de risco podem estar qualificadas para serem DPO.

"O DPO deve aconselhar a empresa sobre como lidar com a privacidade e deve monitorizar se a empresa está em conformidade com o RGPD.”

O DPO tem de estar totalmente alinhado com a estratégia da companhia?

Sim, mas nem sempre é o que acontece. Vemos que existem DPO que estão muito focados no regulamento e apenas em estar em conformidade…

E qual é a forma correta?

Se for assim, será frustrante. Porque serão vistos na empresa como estando a restringir em vez de estarem a ajudar. É preciso ter um diferente mindset. A privacidade é importante, a transparência é importante, mas também é preciso compreender o negócio e ajudá-lo a lidar com isso, em vez de estar só a restringir.

Alguns especialistas defendem que um DPO não tem de ser um profissional certificado. Qual é a sua opinião?

Primeiro, não precisam de ser profissionais certificados. Mas existem duas respostas a essa pergunta. Por um lado, a minha preocupação é que uma pessoa apenas obter certas certificações quando isto não tem só a ver com a certificação. Também tem a ver com a experiência e com o background profissional. Fazer uma certificação não faz de ninguém um bom DPO. Mas, por outro, contas feitas, também é relevante ter alguma certificação formal. Assim, mesmo que alguém não esteja familiarizado com o RGPD, se souber que tem de encontrar uma certa pessoa, saberá que o candidato pode ser qualificado por ter essa certificação. É por isso que existem essas formações. Ainda assim, neste momento não existe uma certificação forte. Não basta a formação, é preciso a prática. Se houver uma certificação que ofereça ambas as coisas, então acho que faz sentido e que é boa para o mercado. Mas não creio que já exista uma certificação assim.

Há outra dúvida no mercado, que é: todas as entidades públicas têm de ter um DPO?

Para ser honesto, a maioria das entidades públicas precisa de um DPO porque processam grandes quantidades de dados dos cidadãos.

Isso é um desafio grande para o setor público.

Sim, mas tipicamente essas entidades processam muitos dados. Estou a tentar lembrar-me de uma organização pública que não processe muitos dados, mas… mesmo que olhemos para aquelas que estão a gerir as estradas, por exemplo, também essas estão a recolher dados de matrículas, do trânsito, das câmaras, etc.

Acredita que todas as empresas, mesmo aquelas que não estão obrigadas a ter um DPO, deveriam nomear um?

Não. Acho, claramente, que deve haver sempre alguém responsável. Mas não precisa de ser formalmente um DPO.

Fazer uma certificação não faz de ninguém um bom DPO. Mas, por outro, contas feitas, também é relevante ter alguma certificação formal.

O RGPD vai estar totalmente implementado a 25 de maio?

Não, especialmente nas grandes empresas e multinacionais. Não creio que vão estar em conformidade nessa altura. Precisarão de, pelo menos, mais um ano. E acho que não é um exercício único — é uma jornada contínua, porque existem algumas áreas do regulamento que ainda não estão claras. Precisamos de guidance adicional e vão existir processos que vão gerar jurisprudência que, provavelmente, as empresas precisarão de adotar. Para as empresas mais pequenas, não será um problema estar em conformidade em maio. Mas, para as grandes, como os bancos, seguradoras e operadoras de telecomunicações, é mais difícil. No entanto, acredito que estão a levar isto a sério e que já definiram os procedimentos.

"Não creio que [as grandes empresas] vão estar em conformidade [com o RGPD a 25 de maio]. Precisarão de, pelo menos, mais um ano.”

Defende que o regulamento é mais uma oportunidade do que um problema. Porquê?

Muitas pessoas estão preocupadas por causa dos seus dados pessoais. E também foi por isso que surgiu o RGPD: porque o público e os políticos estavam preocupados com isso. Assim, quiseram aprofundar o assunto. Quiseram que houvesse mais transparência à volta dos dados. E, em vez de sermos restritivos em estar apenas em conformidade, devemos ser transparentes com o que queremos alcançar e quais os objetivos. Devemos ser transparentes com os utilizadores. Se eles derem consenso, isso só ajuda. Acredito que, contas feitas, sendo mais transparente, ainda é possível usar os dados para muita coisa e continuar a garantir a privacidade dos titulares.