Sou DPO, e agora?

As organizações que tratam os dados pessoais passaram a ter um conjunto significativo de obrigações. Uma delas é a designação de um Encarregado da Proteção de Dados, ou DPO.

A enorme torrente de mensagens de correio eletrónico que todos recebemos nas nossas caixas de e-mail por volta de 25 de maio fez-nos despertar para o Regulamento Geral da Proteção de Dados ou RGPD e respetivas consequências. Contudo, independentemente do impacto que este regulamento comunitário tenha nas nossas vidas, com um elenco acrescido de direitos e novas ferramentas que visam reforçar uma cultura de respeito pela nossa privacidade, as organizações que tratam os dados pessoais passaram a ter, por sua vez, um conjunto significativo de obrigações, entre as quais se poderá destacar a designação de um Encarregado da Proteção de Dados, ou DPO como é vulgarmente conhecido enquanto acrónimo de Data Protection Officer.

A nomeação de um DPO nem sempre será obrigatória mas nada impede que qualquer empresa opte por ter um DPO, até pelo que isso equivale em termos de tentativa de conformidade com o RGPD, num cenário em que o número de obrigações de privacidade e proteção de dados é bastante superior e as penalizações financeiras pelo seu incumprimento bem mais pesadas.

Contudo, pensando naquelas e naqueles sobre quem possa recair o exercício destas funções, gostaria de tentar cartografar este território ainda pouco conhecido, de modo a que, mesmo não fornecendo todas as coordenadas, o DPO saiba pelo menos o seu ponto de partida.

Posso ou não ser DPO?

A primeira pergunta a fazer será, antes de mais, a seguinte: posso ou não ser DPO? O estatuto de independência que o desempenho destas funções exige leva a que o Encarregado da Proteção de Dados não possa, simultaneamente, decidir tratar dados pessoais para um determinado fim e, posteriormente, avaliar se esse tratamento foi conforme o RGPD.
Por exemplo, um Diretor de Marketing que planeie uma campanha de publicidade, incluindo o público-alvo, o método de comunicação e os dados pessoais que permitirão uma publicidade direcionada não poderá, posteriormente, vir determinar se essa mesma campanha cumpriu ou não os requisitos aplicáveis de privacidade. Ou seja, um Diretor de Marketing não poderá ser DPO.

Por onde começar?

Ultrapassado este primeiro obstáculo, o DPO nomeado ou a nomear, liberto de potenciais conflitos de interesse, deve começar por informar-se sobre o RGPD, sobre a legislação nacional aplicável, numa altura em que o diploma regulamentador ainda se encontra em discussão na Assembleia da República, sobre as orientações emitidas ao nível da União Europeia, nomeadamente pelo Grupo de Trabalho do Artigo 29, e sobre quaisquer normas internas aplicáveis.
Organizada e lida toda esta informação, deve pesquisar os diferentes tratamentos de dados pessoais efetuados pela entidade onde desempenha funções, realizando o respetivo registo de atividades de tratamento, o qual nem sempre será obrigatório mas é, pelo menos, altamente recomendável para “conhecer os cantos à casa” e determinar assim os fluxos de entrada e saída de dados.

Por outro lado, deve dar-se a conhecer. A sua nomeação terá de ser comunicada à Comissão Nacional de Proteção de Dados, sendo que já existe um formulário próprio para o efeito no sítio web www.cnpd.pt. Os funcionários e colaboradores da organização em causa devem ser informados da sua nomeação, sobre a sua atuação futura e sobre os seus contactos.
Aliás, deve verificar se pode ser facilmente acedido, por exemplo através de um endereço de e-mail, de um número de telefone ou mesmo com base num formulário web interativo, contactos esses que devem constar da respetiva política de privacidade. Finalmente, deve reunir com os responsáveis dos diversos departamentos e apresentar um plano de trabalhos.

Qual o conteúdo do plano de trabalhos?

Ora, o que poderá conter este plano de trabalhos? Com base no registo de atividades de tratamento, deve identificar as ações a realizar, de modo a mitigar quaisquer riscos que possam resultar de operações não conformes com o RGPD. Por exemplo, há que esclarecer quais são os tratamentos de dados pessoais que necessitam de consentimento.
Também se aconselha que coloque alguns procedimentos em curso, como aqueles relativos à gestão do exercício dos direitos pelos titulares dos dados, à notificação de violações de dados pessoais e à avaliação de impacto sobre a proteção dos dados.

Finalmente, importa colocar a administração, dirigentes, funcionários e colaboradores “num mesmo barco”, sensibilizando para esta temática e distribuindo tarefas que permitirão à organização, como um todo, cumprir o RGPD, como manter uma secretária limpa, mudar regularmente as passwords ou bloquear o respetivo computador quando este não esteja a ser utilizado.

E no futuro?

Passada uma primeira fase, com atividades em curso devidamente documentadas, tenha em mente que não pode perder o controlo. Portanto, convém reunir regularmente com os diversos intervenientes e verificar como está a decorrer a implementação das ações definidas, onde aliás deverá ter sempre pontos de contacto para agilizar o seu acompanhamento.

Por outro lado, não se esqueça que não está sozinho. Existirão outros DPO’s no mesmo setor de atividade ou, pelo menos, na mesma zona geográfica com quem poderá entrar em contacto, sem prejuízo do respetivo dever de confidencialidade, e partilhar as dificuldades enfrentadas e as soluções encontradas. Aproveite essa mesma oportunidade para esclarecer eventuais dúvidas e conhecer boas práticas, a replicar na sua organização.

Uma carta aos nossos leitores

Vivemos tempos indescritíveis, sem paralelo, e isso é, em si mesmo, uma expressão do que se exige hoje aos jornalistas que têm um papel essencial a informar os leitores. Se os médicos são a primeira frente de batalha, os que recebem aqueles que são contaminados por este vírus, os jornalistas, o jornalismo é o outro lado, o que tem de contribuir para que menos pessoas precisem desses médicos. É esse um dos papéis que nos é exigido, sem quarentenas, mas à distância, com o mesmo rigor de sempre.

Aqui, no ECO, estamos a trabalhar 24 horas vezes 24 horas para garantir que os nossos leitores têm acesso a informação credível, rigorosa, tempestiva, útil à decisão. Para garantir que os milhares de novos leitores que, nas duas últimas semanas, visitaram o ECO escolham por cá ficar. Estamos em regime de teletrabalho, claro, mas com muita comunicação, talvez mais do que nunca nestes pouco mais de três anos de história.

  • Acompanhamos a cobertura da atualidade, porque tudo é economia.
  • Escrevemos Reportagens e Especiais sobre os planos económicos e as consequências desta crise para empresas e trabalhadores.
  • Abrimos um consultório de perguntas e respostas sobre as mudanças na lei, em parceria com escritórios de advogados. Contamos histórias sobre as empresas que estão a mudar de negócio para ajudar o país
  • Escrutinamos o que o Governo está a fazer, exigimos respostas, saímos da cadeira (onde quer que ele esteja) ou usamos os ecrãs das plataformas que nos permitem questionar à distância.

O que queremos fazer? O que dissemos que faríamos no nosso manifesto editorial

  • O ECO é um jornal económico online para os empresários e gestores, para investidores, para os trabalhadores que defendem as empresas como centros de criação de riqueza, para os estudantes que estão a chegar ao mercado de trabalho, para os novos líderes.

No momento em que uma pandemia se transforma numa crise económica sem precedentes, provavelmente desde a segunda guerra mundial, a função do ECO e dos seus jornalistas é ainda mais crítica. E num mundo de redes sociais e de cadeias de mensagens falsas – não são fake news, porque não são news --, a responsabilidade dos jornalistas é imensa. Não a recusaremos.

No entanto, o jornalismo não é imune à crise económica em que, na verdade, o setor já estava. A comunicação social já vive há anos afetada por várias crises – pela mudança de hábitos de consumo, pela transformação digital, também por erros próprios que importa não esconder. Agora, somar-se-ão outros fatores de pressão que põem em causa a capacidade do jornalismo de fazer o seu papel. Os leitores parecem ter redescoberto que as notícias existem nos jornais, as redes sociais são outra coisa, têm outra função, não (nos) substituem. Mas os meios vão conseguir estar à altura dessa redescoberta?

É por isso que precisamos de si, caro leitor. Que nos visite. Que partilhe as nossas notícias, que comente, que sugira, que critique quando for caso disso. O ECO tem (ainda) um modelo de acesso livre, não gratuito porque o jornalismo custa dinheiro, investimento, e alguém o paga. No nosso caso, são desde logo os acionistas que, desde o primeiro dia, acreditaram no projeto que lhes foi apresentado. E acreditaram e acreditam na função do jornalismo independente. E os parceiros anunciantes que também acreditam no ECO, na sua credibilidade. As equipas do ECO, a editorial, a comercial, os novos negócios, a de desenvolvimento digital e multimédia estão a fazer a sua parte. Mas vamos precisar também de si, caro leitor, para garantir que o ECO é económica e financeiramente sustentável e independente, condições para continuar a fazer jornalismo de qualidade.

Em breve, passaremos ao modelo ‘freemium’, isto é, com notícias de acesso livre e outras exclusivas para assinantes. Comprometemo-nos a partilhar, logo que possível, os termos e as condições desta evolução, da carta de compromisso que lhe vamos apresentar. Esta é uma carta de apresentação, o convite para ser assinante do ECO vai seguir nas próximas semanas. Precisamos de si.

António Costa

Publisher do ECO

Comentários ({{ total }})

Sou DPO, e agora?

Respostas a {{ screenParentAuthor }} ({{ totalReplies }})

{{ noCommentsLabel }}

Ainda ninguém comentou este artigo.

Promova a discussão dando a sua opinião