Fui nomeado encarregado de proteção de dados. E agora?

Desde 2018, com a implementação do Regulamento Geral sobre a Proteção de Dados (RGPD), que ouvimos falar de uma nova figura nas organizações: o Encarregado de Proteção de Dados (EPD) ou Data Protection Officer (DPO), na sua designação inglesa. E se fosse nomeado para esta função, saberia que funções lhe correspondiam?

Começando pelo princípio, ao abrigo do artigo 37º do RGPD, entidades públicas e privadas necessitam de um responsável que garanta o cumprimento das obrigações relativas ao tratamento dos dados pessoais dos titulares dos dados. Neste contexto, a função de Data Protection Officer nas organizações assume ampla importância na viabilização do cumprimento das obrigações que provêm das normas do RGPD, bem como da respetiva lei de execução nacional – Lei Nº 58/2019 de 8 de agosto.

A função de um Data Protection Officer tem como linhas de ação as previstas na legislação em vigor, informar e aconselhar a organização, enquanto responsável pelo tratamento ou subcontratante, e outros stakeholders, no respeito pelas normas de privacidade e pelo RGPD; Controlar a conformidade, distribuindo responsabilidades, sensibilização, formação e realizando auditorias na organização; e constituir o ponto de contacto para as Autoridades de Controlo e representar a organização no caso de violação de dados acidental ou ilícita.

Para além das funções supra previstas no RGPD, a lei execução nacional atribui ao DPO tarefas adicionais, como assegurar a realização de auditorias, quer periódicas, quer não programadas; sensibilizar os utilizadores para a importância da deteção atempada de incidentes de segurança e para a necessidade de informar imediatamente o responsável pela segurança; e assegurar as relações com os titulares dos dados nas matérias abrangidas pelo RGPD e pela legislação nacional em matéria de proteção de dados.

Passados cinco anos da obrigatoriedade de designação de um Data Protection Officer nas organizações, e no que toca à atribuição deste cargo, detetamos em Portugal a tendência para a chamada “operação de acumulação”. Isto é, uma parte dos Data Protection Officers nomeados para o cargo são, do que nos foi dado a conhecer, pessoas que trabalham há vários anos nas respetivas organizações e vêm agora acumular mais esta função. Com todo o respeito e salvo melhor opinião, os perfis mais procurados para a função são os Diretores de IT ou equivalentes, Diretores Jurídicos ou Advogados, ou também Diretores de Qualidade ou Auditoria. As organizações tendem a escolher pessoas da sua confiança para o desempenho desta função, que hoje reconhecem como sendo de enorme responsabilidade.

Sendo esta uma função de enorme responsabilidade, verifica-se uma vontade por parte dos profissionais de recorrer a formações, como o pioneiro DPO PRO, que mantêm estes profissionais a par das últimas tendências e decisões, seja ao nível europeu, como as decisões do Tribunal de Justiça da União Europeia (TJUE), ou a nível nacional, como as recomendações atualizadas da Comissão Nacional de Proteção de Dados (CNPD).

A ideia é que estes profissionais tenham uma consciência do long life learning, e a aposta em programas de formação com uma pluralidade de formadores, de preferência executivos, permite a estes profissionais um acesso mais imediato a conteúdos atualizados, num contexto real do que são os desafios das organizações. Por outro lado, também por parte das organizações é notória a consciência crescente da importância de atuação em conformidade por parte dos DPOs das empresas, pelo que existem já várias empresas a incentivar os colaboradores para este tipo de formações.

Voltando ao estatuto do Data Protection Officer, pela definição do RGPD, este profissional é uma entidade livre e autónoma, pelo que deve defender este estatuto, manifestando-se sempre que considere que não tem os meios para o exercício da sua função. Também por este motivo é inegável a mais-valia de um DPO Externo para algumas organizações, que permite às empresas acautelar o risco regulatório, reputacional e financeiro sem a necessidade de expor alguém da sua organização a esta função, que pode não ser bem entendida a princípio pelo profissional nomeado para tal função.

Certo é que ainda é uma profissão com muitos riscos, nomeadamente ao nível de reputação, e também com alguns desafios por ultrapassar, sendo talvez o principal o incremento do reconhecimento público da profissão. É necessário existir um esforço por parte destes profissionais, não só na sua individualidade, mas no coletivo, para o reconhecimento efetivo da profissão dentro das organizações. Verdade é que já se fizeram avanços e hoje existe uma consciência cada vez maior da importância dos DPO’s para as organizações, mas ainda existe um longo caminho a percorrer neste sentido.

Para este reconhecimento acontecer verdadeiramente, é necessário que as organizações olhem de forma cada vez mais atenta e ampla para a privacidade, da proteção de dados e da segurança da informação na sua organização. O reconhecimento só acontece verdadeiramente quando estes princípios e preocupações passam a estar integrados nas cadeias de valor das organizações, o que já acontece em algumas empresas, quer públicas quer privadas. A capacidade de selecionar fornecedores para integrar a cadeia de valor que tenham os mesmos princípios e preocupações, e pelo contrário descartar os restantes, será o maior instrumento das organizações que queiram continuar a ser bem-sucedidas. Este já está a ser o desafio, e será, sem dúvida, o fator de diferenciação das organizações no futuro!