Como recrutar e seleccionar um DPO para a sua organização

Mais do que saber que requisitos deve um DPO preencher, é preciso pensar no perfil que esse DPO deve ter, diz a directora-geral da DPO Network Europe.

“One size doesn’t fit all”, disse Gonca Dhont, procurando ilustrar que o perfil do profissional que desempenha o cargo de encarregado de protecção de dados (DPO, sigla em inglês) é diferente de organização para organização.

“É necessário agora falar sobre o perfil do DPO, sobre as competências que deve ter para desenvolver bem o seu trabalho”, explicou a directora-geral da DPO Network Europe, entidade com sede em Bruxelas e especializada no recrutamento de profissionais de protecção e privacidade de dados a nível europeu.  

No último ano falou-se muito “sobre que organizações precisam de DPO, quais são os critérios, quais são os tópicos principais do regulamento sobre o papel do DPO, discutiu-se também como se deve posicionar um DPO numa organização”, mas pouco se falou sobre o perfil e competências que deve ter para desenvolver bem o seu trabalho, avança a responsável.

Gonca Dhont assinala que o próprio documento diz pouco. Tem de ser “designado com base nas suas qualidades profissionais e, em especial, nos seus conhecimentos especializados no domínio do direito e das práticas de protecção de dados, bem como na sua capacidade para desempenhar as funções” de DPO, cita a especialista, mas “não é descrito o conjunto de competências em concreto”.

Gonca explica que, como em qualquer outro processo de recrutamento e selecção, para definir quem pode desempenhar a função de DPO, antes de mais “é necessário olhar para tarefas, a quem vai reportar, se será ou não independente” para poder precisar-se o perfil que se procura. É o mesmo exercício que para qualquer outra posição”.

“Chegámos à conclusão de que uma mesma pessoa pode não ser a ideal para diferentes empresas”, diz Gonca Dhont, porque as próprias características das organizações e de contexto são diferentes.

As necessidades de uma empresa B2B ou B2C são diferentes. As “empresas B2C estão mais sujeitas a falhas de segurança de dados, terão mais pedidos de informação sobre dados provenientes de consumidores”, explica a Gonca Dhont. Também será diferente consoante a empresa trabalhe com soluções de terceiros ou não, consoante a empresa esteja centrada ou não nos dados.  Tudo isto em conjunto irá contribuir para diferentes necessidades de perfis de DPO”, sumariza.

“Além do mais, os DPO têm de conhecer não só o RGPD mas também ter um conhecimento sobre o enquadramento legal global. É necessário conhecer outras peças como a Directiva e-Privacy, mas também as leis de protecção de dados anteriores e de outros países”. Também é necessário ter conhecimento e experiência em segurança e tecnologias de informação. “Não podemos esperar que os juristas sejam especialistas em segurança de informação, mas podem procurar informar-se sobre as soluções de segurança que existem no mercado para poderem aconselhar devidamente os departamentos de segurança de informação”. Gonca conclui que “o RGPD não é uma revolução, é uma reforma”.

Em Portugal, o  estudo da IDC/Microsoft que faz o raio-x ao estado da conformidade das empresas portuguesas face ao Regulamento Geral de Protecção de Dados revela que cerca de 30% dos inquiridos diz que a sua organização está em processo de nomeação de um encarregado de protecção de dados, 28% não têm ainda este responsável e quase 20% já nomeou como DPO um recurso interno a tempo parcial.  

“Se as empresas ainda não fizeram nada em matéria de conformidade da privacidade dos dados até agora, receio que seja demasiado tarde” Gonca Dhont (DPO Network Europe)

Gonca Dhont mostrou-se preocupada com os resultados do estudo da IDC/Microsoft que revela que apenas 2,5% dos gestores portugueses sente que a sua organização está preparada para o Regulamento Geral de Protecção de Dados. O estudo foi divulgado terça-feira na mesma conferência em que Gonca Dhont foi uma das oradoras keynote.

“A designação do DPO é apenas um aspecto do regulamento, há muitas outras obrigações”. Se o conhecimento do RGPD é esse, “é muito pouco”, é um “número preocupante”. Significa que “as empresas não estão a fazer os trabalhos de casa até agora”, alertou Dhont.

“As leis de protecção da privacidade já existem há duas ou três décadas. Se as empresas ainda não fizeram nada em matéria de conformidade da privacidade dos dados até agora, receio que seja demasiado tarde. Não é possível ficar totalmente em conformidade em apenas dois meses”, sublinhou.

O número “é preocupante”. Há provavelmente muitas empresas que não estão sequer em conformidade com as leis anteriores, concluiu.




Deixe um comentário

O seu email não será publicado