Profissionais “relutantes” em serem DPO

O software sem conformidade com protecção de dados é problema frequente na CNPD, as certificações para empresas são bem-vindas, constituem algumas das conclusões de um debate sobre o RGPD.

Luís Galvão Neto, da SRS Advogados

Um dos maiores desafios para muitas organizações (não todas) será o de nomearem, mas também lidarem com a figura do encarregado de protecção de dados (“Data Protection Officer” – DPO), confirmou Luís Galvão Neto, da SRS Advogados, numa sessão do 27º congresso anual da APDC. Para os profissionais nomeados pode ser até mais difícil, ao ponto de manifestarem “relutância” em aceitar o cargo, revela.

“Tem de ser um comunicador e diplomata, com muita independência, porque vai ter de lidar com a administração sempre bastante focada no negócio e inovação tecnológica”, explicou. Ao constituir o “elo de ligação com a CNPD”, vincou, corre também o risco de ser denunciante.

O assunto tem levado muitos clientes a consultarem o advogado, segundo o mesmo, que considera importante haver um processo de certificação nacional para estas funções. Deverá ser fundado num trabalho com as universidades, considerou.

Na sua opinião há quatro profissionais que não devem assumir as funções:

‒ o advogado da empresa;
‒ o director de conformidade;
‒ o director de recursos humanos (“tem papel importante na estruturação dos dados”).

As situações de software sem conformidade com o actual regulamento de protecção dados são as mais frequentes em análise na CNPD, revelou a presidente do organismo Filipa Calvão, na abertura do debate. O problema identificado pode ter especial gravidade porque, em geral, envolve custos altos e muito tempo para corrigir, obrigando a intervenções nas bases dos SI, confirmou.

O assunto também coloca em evidência uma das obrigações do novo Regulamento Geral de Protecção de Dados (RGPD) pessoais, segundo o qual as regras de privacidade têm de ser integradas, de raiz e no desenho dos sistemas (“privacy by default” e “by design”). Mas nenhum dos intervenientes no debate se manifestou com grande importância sobre declaração.

“Estudos indicam que as empresas demoram três a cinco anos a recuperar a confiança dos consumidores”, assinala  Pedro Vidigal Monteiro (Telles de Abreu), para vincar a importância das sanções reputacionais.

Cláudia Martins, advogada associada da Macedo Vitorino socorreu-se de um estudo do IAPMEI para dar uma ideia sobre o número de empresas já a preparar a conformidade: já em 2017, apenas 3% das PME já tinham arrancado com projectos. A administração Pública também estará atrasada e as grandes empresas, incluindo filiais de multinacionais são as organizações mais avançadas.

Cláudia Martins, advogada da Macedo Vitorino

“Mas ainda não é tarde” disse a advogada procurando desdramatizar, depois de referir que outros países apresentam o mesmo cenário.

Apesar de as sanções serem o principal factor de alarme entre as empresas, essa componente deverá ser ainda afinada na adaptação para Portugal. Para Pedro Vidigal Monteiro, da Telles de Abreu, o regime sancionatório é a forma de a Comissão Europeia obrigar as empresas a levarem a sério o regulamento. Sem discordar, Cláudia Martins procurou desdramatizar outra vez.

Os números sobre as multas definem apenas os seus limites máximos, havendo uma série de factores atenuantes, lembrou. De qualquer forma Pedro Monteiro já tinha apontado também para dois detalhes importantes. Primeiro, os tribunais vão ter grande poder de decisão sobre a multa e depois as sanções reputacionais são as que têm maior impacto.

“Estudos indicam que as empresas demoram três a cinco anos a recuperar a confiança dos consumidores”, sustenta.

Oportunidades à vista!

Joana Agostinho, da CRTS Advogados

Na opinião de Joana Agostinho, da CRTS, faz sentido haver a oferta de certificação de conformidade com o regulamento. Não temos uma cultura forte na privacidade e protecção de dados (pelo menos face a outros países) e ao devolver a responsabilidade e desburocratizar o processo, a certificação acaba por ser um factor de força, considerou.

Consequentemente, levará a oportunidades de negócio no fornecimento de serviços e na concepção de software que facilite a conformidade. Acabará também por ser factor de negócio, ao comprovar garantias e consolidar a relação com os consumidores.

Além disso, assumirá especial importância para os prestadores de serviços de tratamento de dados subcontratados, acrescentou, empresas que também têm de oferecer garantias no quadro do novo RGPD. Apesar de esforço que vai envolver para muitas empresas, a legislação pode ser uma oportunidade para as empresas obterem eficiências internas importantes de várias formas, referidas por Inês Antas de Barros, da Vieira de Almeida & Associados.

Uma delas será descobrir que dados têm de facto armazenados e se precisam de todos. O processo pode “envolver um ajuste de processos” também, ressalva a advogada. E ao servir para garantir a confiança dos consumidores será uma “vantagem competitiva”.

Inês Antas de Barros, da Vieira de Almeida & Associados

Abre caminho  também para o surgimento de novos produtos de seguros além de software, como já tinha referido Joana Agostinho. O novo regulamento está em consulta pública até 30 de Setembro, com o prazo para um grupo de trabalho apreciar o retorno e apresentar uma “anteproposta de lei”, a decorrer até 31 de Dezembro.

O RGPD já entrou em vigor mas só tem aplicação obrigatória a partir de 25 de Maio de 2018. Desafiada a pronunciar-se sobre o processo de consulta pública, a última advogada considerou o período “muito curto”.

Para a Joana Agostinho o conjunto das sete perguntas colocadas está muito dirigido a temas laborais e esquece a parte de consentimento de menores. Alguns assuntos técnicos do direito à portabilidade de dados e ao “esquecimento” e temas da gestão quotidiana também ficaram de fora.

Apesar de tudo a advogada tem a expectativa de o retorno da consulta ser positivo aos reflectir o facto de o regulamento abranger múltiplos sectores da economia.




Deixe um comentário

O seu email não será publicado