Elisabete Maciel, Visão online
A função de Encarregado de Proteção de Dados é, indubitavelmente, muito exigente e desafiadora. Com a entrada em vigor a 25 de maio deste ano do Regulamento Geral de Proteção de Dados Pessoais, é um dos perfis mais procurado pelas organizações.
Passaram-se cerca de 6 meses desde a entrada em vigor do Regulamento Geral de Proteção de Dados (RGDP). O que é que verdadeiramente mudou? Quais as implicações? Será que os nossos dados pessoais estão mais seguros?
Comecemos por analisar a obrigatoriedade do pedido explícito de consentimento para a utilização dos dados pessoais: é interessante constatar que esse pedido foi feito indiscriminadamente. Será que uma organização é um indivíduo? Para não deixar dúvidas, os consentimentos foram solicitados a todo o endereço de mail que fizesse parte da base de dados da organização. Não havendo qualquer tratamento prévio dos contactos armazenados, e como era de esperar, foram enviados massivamente pedidos de consentimento não só a indivíduos, mas também a organizações. Será que o responsável não sabe o que são dados pessoais?
Falemos agora do responsável, o Encarregado de Proteção de Dados (DPO – Data Protection Officer ). De acordo com o RGPD, o DPO tem de existir obrigatoriamente em todas as organizações que processem um grande volume de dados. Ademais, a sua presença é obrigatória em qualquer entidade pública. Como se depreende, houve urgência na sua nomeação, para cumprir os prazos exigidos. E quem pode desempenhar este cargo? Alguém com o seguinte perfil:
- conhecer a regulamentação( o que implica conhecimentos especializados no domínio do direito);
- dominar as práticas de proteção de dados;
- compreender os processos tecnológicos;
- entender a estrutura organizacional.
O DPO deve ter a capacidade de garantir que a organização está em conformidade com o RGPD, de forma a evitar que esta possa ser sujeita às pesadas multas previstas no regulamento.
Porém, o que se tem verificado na prática é a nomeação acelerada de juristas para o cargo de DPO, devido à escassez de profissionais especializados em segurança da informação com uma visão abrangente da estrutura organizacional. E isto, uma vez mais, como consequência da necessidade de cumprir as exigências do RGPD.
Por outro lado, de acordo com os requisitos exigidos, facilmente se constata que uma simples formação teórica não irá necessariamente habilitar alguém para desempenhar o cargo de DPO. É necessário portanto que o candidato tenha um background e uma prática no terreno, de modo a que possa reunir as condições para o exercício competente deste cargo.
De há 6 meses para cá, o que se tem verificado? Bem, várias empresas que providenciam formação descobriram um novo filão: colocar no terreno Encarregados de Proteção de Dados com uma formação dada em “três tempos”. Uma simples busca na Internet devolve-nos dezenas de resultados de empresas que dão formação e “certificação” para o exercício do cargo de DPO. Como é que isto é possível se não existe qualquer entidade acreditadora que valide essa certificação? Por qual motivo insistem em referir a emissão de um certificado profissional, não havendo entidade que o emita? Verdadeiramente, à data, não existe qualquer entidade acreditadora. Uma entidade que faz formação não deveria jogar com ambiguidades induzindo os destinatários dessa mesma formação em erro.