Surgiu uma nova profissão em Portugal e há falta de quem desempenhe
O Regulamento Geral de Proteção de Dados foi dado a conhecer há dois anos e aplica-se às empresas de todos os Estados membros da União Europeia (UE) e àquelas que tratem dados pessoais de cidadãos da UE. Até 25 de maio, as empresas são obrigadas a implementar este regime. A nova legislação vem introduzir regras sobre privacidade a serem implementadas pelas empresas de modo a dar às pessoas maior controlo sobre os seus dados pessoais. É o caso dos direitos à informação e de acesso.
A pedido do cidadão, as organizações deverão ter capacidade de atualizar, transferir ou mesmo eliminar os dados pessoais, desde que não se sobreponha a outra lei, como a fiscal. Um estudo da International Data Corporation (IDC) para a Microsoft Portugal veio mostrar que apenas 2,5% dos decisores consideram que a sua organização está preparada para aplicar o novo regulamento, enquanto 43% dizem que estará preparada depois de maio, ou não sabe. Neste período de transição, as empresas procuram organizar-se para evitar as coimas estipuladas pela Comissão Europeia em caso de incumprimento, e que podem ir até 20 milhões de euros ou 4% do volume de negócios do grupo em que estão inseridas. Ao mesmo tempo preparam a entrada em cena de profissionais de proteção de dados com competências acrescidas. A função não é nova.
A novidade é a criação da figura do data protection officer (DPO) ou encarregado de proteção de dados, que não é obrigatória para todas as empresas. A nomeação de um DPO é obrigatória no caso de autoridades ou organismos públicos, excetuando os tribunais ; sempre que a atividade principal do responsável pelo tratamento de dados exija um controlo regular e sistemático dos titulares dos dados em grande escala; ou em operações em grande escala de categorias especiais de dados (origem racial, genéticos, biométricos ou relativos à saúde). A função ganha agora redobrada importância, destaca Jorge Lopes, diretor da Rumos, empresa de formação que está atenta à mudança desde há dois anos, quando foi lançado o regulamento comunitário. Em novembro de 2017 criou um curso, que vai na quinta edição, para formar e certificar (apesar de não ser obrigatório) peritos em segurança de informação.
“O DPO é a pessoa nomeada pela administração da empresa que tem como responsabilidade supervisionar e aconselhar a respeito das obrigações legais e ajudar a implementar políticas, processos e procedimentos”, explica Jorge Lopes. Deve garantir a transparência dos dados pessoais. Ou seja, deve dar resposta aos “donos” desses dados sempre que queiram saber exatamente que informações suas existem numa determinada organização, para que fins são utilizados e durante quanto tempo serão armazenados. As PME não são obrigadas a manter registos das suas atividades de tratamento de dados.
Há, no entanto, duas exceções: no caso de fazerem do tratamento de dados pessoais uma atividade regular e quando os dados que tratam possam constituir uma ameaça à liberdade dos indivíduos, ou sejam sensíveis e relativos a registos criminais, lê-se no comunicado da Comissão. Mas estas empresas não têm de contratar alguém a tempo inteiro, podem nomear um consultor.
