Opinião

Opinião. Em busca do DPO perfeito

Fotografia: direitos reservados
Fotografia: direitos reservados

Nesta busca pelo DPO perfeito, há uma questão que surge de imediato: de que área de formação deve vir o DPO?

Com o aproximar da data de aplicação do Regulamento Geral de Proteção de Dados (RGPD), intensifica-se a procura por profissionais responsáveis pela proteção de dados, os designados Data Protection Officer (DPO).

Na verdade, é uma busca envolta em alguma complexidade, pois o RGPD não responde a esta questão de forma clara e inequívoca. O diploma dá algumas orientações, designadamente no artigo 37.º, n.ºs 5 e 6, quando nos diz que o DPO é designado “(…) com base nas suas qualidades profissionais e, em especial, nos seus conhecimentos especializados no domínio do direito e das práticas de proteção de dados, bem como na sua capacidade para desempenhar as funções referidas no artigo 39.º”. E acrescenta, o DPO “pode ser um elemento do pessoal da entidade responsável pelo tratamento ou do subcontratante, ou exercer as suas funções com base num contrato de prestação de serviços”.

Face a estas diretrizes, parece perfeitamente admissível que o DPO possa exercer a função em regime de exclusividade ou acumulando outras funções dentro da organização, desde que não exista conflito de interesses que coloquem em causa o desempenho exímio das suas funções.

Terá o DPO que ser jurista, advogado ou informático?

Nesta busca pelo DPO perfeito, há uma questão que surge de imediato: de que área de formação deve vir o DPO? Face às orientações dadas pelo RGPD poderemos concluir que um DPO tem que ser obrigatoriamente jurista ou advogado? Terá que ser informático?

Nada nos faz crer que o DPO tenha obrigatoriamente que ser jurista ou advogado, mas é certo que deverá ter conhecimentos especializados no domínio do Direito, particularmente na área da proteção de dados. Deverá conhecer em profundidade a legislação nestas matérias, ter domínio sobre o RGPD, ser capaz de o interpretar, conhecer os direitos e obrigações daí decorrentes, avaliar situações concretas face às regras aplicáveis e encontrar soluções.

Por outro lado, o DPO também não terá necessariamente que ser um informático, mas é certo que deverá ter conhecimentos sólidos das práticas de proteção de dados, saber que operações são realizadas e seu significado, conhecer quer os conceitos quer as práticas de encriptação, cifragem, anonimização, pseudonimização de dados, servidores ou bases de dados.

Assim, facilmente se percebe que idealmente o DPO deveria ser alguém capaz de conciliar conhecimentos de ambas as áreas, o que não é tarefa fácil.

Teremos que estar particularmente atentos aos casos que possam configurar situações de conflito de interesses. A Autoridade de Controlo alemã, por exemplo, considerou que o Diretor de Sistemas de Informação não deve ser DPO por se entender que possam existir conflitos de interesses que impeçam o exercício da função de forma independente. Também existem posições contrárias ao exercício dessa função por parte do Diretor de Marketing, por razões semelhantes. Acrescentaria que também não deverá ser DPO aquele que dentro da organização desempenhe funções que lhe permitam efetuar a defesa desta no âmbito, por exemplo, de uma contraordenação aplicada pela Autoridade de Controlo nestas matérias.

Entre tantas restrições, haverá o DPO perfeito?

A avaliação de quem deve ser designado DPO deve ir além dos títulos académicos e concentrar-se na análise de cada pessoa em concreto. Também podemos afirmar que se a independência e imparcialidade não ficarem afetadas, não existirá qualquer obstáculo na coabitação de funções de DPO com outra (s).

Há, ainda, outras competências (não técnicas) que devem ser consideradas na escolha, como sejam a capacidade de criar uma forte cultura de proteção de dados e uma grande ligação com todos os departamentos da organização; capacidade de negociação com clientes/utentes/utilizadores e colaboradores em situação de conflito; integridade; respeito das obrigações de sigilo e confidencialidade; imparcialidade nas suas avaliações e impermeabilidade face a ordens ou instruções que condicionem o exercício da sua função.

Por último, é essencial que o responsável pelo tratamento ou subcontratante assegurem ao DPO condições para o exercício das suas funções, fornecendo os recursos necessários, quer em termos de infraestruturas, quer em termos de recursos humanos; além de formação contínua. Sem esquecer que deverá ainda garantir que este não recebe ordens ou instruções, nem é destituído ou penalizado por exercer as suas funções. Caso contrário, estaremos perante violação ao RGPD.

Sendo esta uma função com visibilidade interna e externa às organizações, os contactos do DPO devem ser divulgados junto dos colaboradores, clientes, parceiros, fornecedores e à Comissão Nacional de Proteção de Dados (CNPD), de forma a mostrar uma política empresarial transparente e de total respeito pelos dados dos seus Stakeholders.

Em suma, trata-se de uma função bastante exigente, mas aliciante e certamente será um dos perfis mais procurados pelas organizações nos próximos tempos.

Leandra Dias, Jurista da PRIMAVERA BSS

Comentários
Outras Notícias que lhe podem interessar
Hoje
Francisco Pedro Balsemão, CEO do grupo Impresa. Foto: DR

Impresa.Reestruturação já atingiu 20 trabalhadores. E chegou ao Expresso

PCP

Subsídios por duodécimos no privado também acabam em 2018

Turistas no novo terminal de cruzeiros de Lisboa, Santa Apolónia. Fotografia: Gustavo Bom/Global Imagens

Instituto alemão prevê boom na construção em Portugal até 2020

Outros conteúdos GMG
Conteúdo Patrocinado
Conteúdo TUI
Opinião. Em busca do DPO perfeito