A sua empresa conhece o perfil exigido para se tornar um DPO?

Elsa Veloso
Fundadora e CEO da DPO Consulting, advogada, certificada pelo IAPP com o Certified Information Privacy Professional e especialista em Privacidade e Proteção de Dados

Quem pode ser encarregado da proteção de dados (DPO – Data Protection Officer)? Sabe qual é o perfil e os requisitos exigidos para cumprir esta função vigente no Regulamento Geral sobre Proteção de Dados?

A função de encarregado da proteção de dados pode ser desempenhada por um elemento escolhido de entre os colaboradores da entidade que é responsável pelo tratamento ou do subcontratante ou exercer as suas funções com base num contrato de prestação de serviços, conforme se dispõe no artigo 37º, n.º 5, do RGPD – Regulamento Geral sobre Proteção de Dados.

Este importante artigo abre a porta ao exercício da atividade de encarregado da proteção de dados em regime externo ou de outsourcing, podendo esta ser efetuada a título individual ou coletivo, nomeadamente por uma consultora dedicada de modo especializado às matérias da privacidade e proteção de dados.

O encarregado da proteção de dados deverá ser designado com base nas suas qualidades profissionais e, “em especial”, nos seus conhecimentos especializados no domínio do direito e das práticas da proteção de dados e, ainda, com base na sua capacidade para desempenhar as funções que vêm elencadas no artigo 39º do RGPD, que constituem um leque aberto de funções do encarregado da proteção de dados, designadamente prestar aconselhamento e informar o responsável pelo tratamento ou o subcontratante, cooperar com a autoridade de controlo, entre outras.

A aparente indeterminação dos “conhecimentos especializados” acima referidos encontra (alguma) concretização prática no considerando 97º do RGPD, onde se pode ler que “o nível necessário de conhecimentos especializados deverá ser determinado, em particular em função do tratamento de dados realizado e da proteção exigida para os dados pessoais tratados pelo responsável pelo seu tratamento ou pelo subcontratante.”

Porque não é este o tema central que nos ocupa, sem prejuízo do necessário enquadramento, no que tange às qualificações que o encarregado da proteção de dados deve possuir, estão melhor concretizadas na orientação expendida pelo Grupo de Trabalho do Artigo 29º relativa aos encarregados da proteção de dados, que pode ser consultada no site da CNPD, onde igualmente outras questões de primordial relevância, como sejam a matéria da acessibilidade e localização do encarregado da proteção de Ddados, questão da maior importância para as organizações localizadas em diferentes jurisdições.

Então quais são as vantagens que existem para as empresas nomearem um encarregado da proteção de dados, em regime de outsourcing ou, numa terminologia também comum, DPO as a Service?

Por desconhecimento ou por meras contingências orçamentais, temos verificado que muitas nomeações internas têm recaído em profissionais que não cumprem as qualificações profissionais que o RGPD exige, ou porque não possuem quaisquer conhecimentos jurídicos e/ou porque não possuem qualquer conhecimento relativo às melhores práticas de proteção de dados.

A opção por um encarregado da proteção de dados externo devidamente qualificado, conhecedor do RGPD e das metodologias, inteirado das orientações europeias sobre as melhores práticas em matéria de proteção de dados traz às organizações um acervo de vantagens que são inquestionáveis. Destaco as seguintes:

• A mais imediata, a organização não precisa de iniciar um processo de recrutamento e/ou formação, com todos os custos que esses processos invariavelmente comportam.
• O encarregado da proteção de dados externo garante, desde logo, a inexistência de conflitos de interesse no seio da organização e um estatuto de independência em relação à organização que é absolutamente vital para o bom desempenho da função.
• Este estatuto de independência garante, no imediato, dois aspetos também eles essenciais: a ausência de pressões internas, ou, pelo menos, o dificultar da sua materialização, assim como assegura, numa vertente estritamente financeira, que o encarregado da proteção de dados externo está absolutamente à margem do impacto financeiro que possam ter as medidas ou recomendações que venha a efetuar.
• Acresce, ainda, que é de presumir que quando uma organização contrata um encarregado da proteção de dados se preocupou em escolher quem apresente e comprove possuir o conhecimento legal e as qualificações necessárias ao bom desempenho da função, constituindo as mesmas, desde logo, uma garantia de qualidade e de que as novas exigências europeias em matéria de proteção de dados são cumpridas, sendo a organização devidamente aconselhada, informada, apoiada e representada junto das mais diversas instâncias.

Em face do exposto, é inegável a mais-valia do encarregado da proteção de dados externo para as organizações, independentemente da sua dimensão, permitindo-lhes acautelar o risco regulatório, reputacional e financeiro em que podem incorrer nos casos em que negligenciem a matéria da proteção de dados.

O RGPD, uma exigente e complexa legislação, veio criar um novo paradigma cuja interiorização deve ser compreendida pelas estruturas de decisão como uma oportunidade de diferenciação do seu negócio em face da concorrência. Isto permitir-lhes-á uma adequação às novas tendências, que já estão a ser ditadas por consumidores cada vez mais preocupados com a sua privacidade e que querem saber que destino é dado, em cada momento, aos seus dados pessoais.

Perante este cenário de importantes alterações nas empresas, a DPO Consulting promove inúmeras sessões de formação, simples, práticas e funcionais que permitem obter um overview e principais requisitos do GDPR, para além de formar responsáveis pela proteção de dados, que são ainda um recurso escasso e uma necessidade para muitas empresas. Visando capacitar para o exercício e assunção do cargo de DPO, exigida pelo RGPD, e conferindo-lhe competências para implementar as políticas de Privacidade e Proteção de Dados, este programa tem uma forte componente prática e de desmistificação da complexidade (inicial) deste novo regulamento.

Portugal deve dar exemplo e, acima de tudo, fazer os esforços necessários para integrar a cadeia de valor de quem está em conformidade para continuar a ganhar quota de mercado, sobretudo no que toca às exportações e nas suas relações com multinacionais exigentes que só contratarão empresas e profissionais que possam demonstrar a sua responsabilidade.