A figura do DPO, no enquadramento legal nacional, está bem definida, mas ainda à espera do seu lugar em Diário da República. Muitas empresas vão ser obrigadas a entender esta figura, enquanto outras, não tendo essa obrigação, podem integrar DPO voluntariamente
Desde o Século XIX “que se fala em the right to be left alone”, ou, em tradução livre, o direito a ser deixado em paz. Quem o diz é Elsa Veloso, CEO da DPO Consulting, empresa que já formou mais de 750 potenciais Data Protection Officers (DPO), ou, como o RGPD define em português, Encarregados de Proteção de Dados. Os DPO são uma figura criada à luz do Regulamento Geral de Proteção de Dados (RGPD), que é responsável por garantir compliance com o documento no seio da organização ou organizações onde trabalha. Já existiam profissionais de C-Level responsáveis por Informação, Tecnologia Segurança e Digital, que asseguravam compliance com as normas de proteção de dados pré-RGPD, mas a Europa pediu conformidade nas práticas através do DPO. O “right to be left alone” não é uma novidade, mas o escudo que o permite materializa-se através do RGPD e, em alguns casos (ver o esquema abaixo), no DPO, elementos que já têm mais de um ano de implementação obrigatória mas que só agora, com a lei portuguesa à vista e ainda à espera da promulgação do Presidente da República, se tornam sérias no imaginário das empresas. Que responsabilidade?“Não carecendo de certificação profissional para o efeito”, como contemplado na adequação portuguesa do RGPD, à figura do DPO é aconselhada a aquisição de conhecimentos especializados, sobretudo da área jurídica e proteção de dados. Apesar de faltar moldura curricular, há soft skills que a CEO da DPO Consulting considera fundamentais: “tão importante quanto ‘dominar a matéria’ é conseguir ler a empresa para onde se vai trabalhar, perceber a dinâmica, poder pertencer”, e esta “atitude” é uma “das marcas mais distintivas e mais importantes” num DPO. Elsa Veloso explica que “há empresas com equipas multidisciplinares de projeto” onde o DPO ocupa uma função de relevo e o seu cargo é entendido dessa forma, mas crê que nas “microempresas” essa tarefa não é entendida como importante, e “só à medida que for progredindo o nível de maturidade e de consciência, a necessidade de ter relações contratuais com multinacionais que exigem aos seus fornecedores que estejam em compliance com o regulamento”, é que o cenário vai mudar. O Encarregado de Proteção de Dados pode ser um elemento do pessoal da entidade responsável pelo tratamento dos dados ou subcontratante, mas também pode ser contratado num regime de prestação de serviços. Um DPO não trabalha em regime de exclusividade, podendo estar em várias organizações, e as suas funções são realizadas com autonomia técnica em relação à entidade ou subcontratante responsável pelos dados. A responsabilidade da função é grande, mas também a moldura penal, para estes profissionais. Elsa Veloso diz que “o DPO tem culpa e tem culpa acrescida” derivada das suas funções. Em casos de violação do dever de sigilo, a sua pena de prisão pode ir até aos dois anos. “Os DPO não têm que denunciar a empresa, mas têm de reservar-se e têm obrigações acrescidas”, esclarece. Desafios de um ambiente heterogéneoElsa Veloso admite que o entendimento da importância do DPO não é igual em todas as empresas. As de maior dimensão terão tendência a adaptar-se mais rapidamente e, por outro lado, “uma grande parte do tecido empresarial português” ainda não percebeu “que é mesmo para cumprir”. Com o arrastar do processo legislativo, a jurista acredita que muitas empresas só vão endereçar o assunto quando forem preparar os seus orçamentos para 2020. Veloso prefere falar em “desconhecimento” e não em falta de reconhecimento, por considerar que a informação não chega ao mesmo ritmo a todo o lado. A contratação de serviços de DPO enfrenta, por seu lado, alguns desafios de regulação. A responsável explica que se trata de um mercado que, por estar na sua fase inicial, se encontra inteiramente desregulado e onde as remunerações e condições de trabalho oferecidas são perfeitamente díspares. Uma função “que parece que está efervescente, mas não está”, num ecossistema nacional onde ainda não foi possível padronizar comportamentos das empresas no momento da contratação de um DPO. |