visao.sapo.ptElisabete Maciel - 8 nov 08:46

Proteção de dados pessoais – Responsáveis? Acreditados?

Proteção de dados pessoais – Responsáveis? Acreditados?

A função de Encarregado de Proteção de Dados é, indubitavelmente, muito exigente e desafiadora. Com a entrada em vigor a 25 de maio deste ano do Regulamento Geral de Proteção de Dados Pessoais, é um dos perfis mais procurado pelas organizações

Passaram-se cerca de 6 meses desde a entrada em vigor do Regulamento Geral de Proteção de Dados (RGDP). O que é que verdadeiramente mudou? Quais as implicações? Será que os nossos dados pessoais estão mais seguros?

Comecemos por analisar a obrigatoriedade do pedido explícito de consentimento para a utilização dos dados pessoais: é interessante constatar que esse pedido foi feito indiscriminadamente. Será que uma organização é um indivíduo? Para não deixar dúvidas, os consentimentos foram solicitados a todo o endereço de mail que fizesse parte da base de dados da organização. Não havendo qualquer tratamento prévio dos contactos armazenados, e como era de esperar, foram enviados massivamente pedidos de consentimento não só a indivíduos, mas também a organizações. Será que o responsável não sabe o que são dados pessoais?

Falemos agora do responsável, o Encarregado de Proteção de Dados (DPO – Data Protection Officer ). De acordo com o RGPD, o DPO tem de existir obrigatoriamente em todas as organizações que processem um grande volume de dados. Ademais, a sua presença é obrigatória em qualquer entidade pública. Como se depreende, houve urgência na sua nomeação, para cumprir os prazos exigidos. E quem pode desempenhar este cargo? Alguém com o seguinte perfil:

- conhecer a regulamentação( o que implica conhecimentos especializados no domínio do direito);

- dominar as práticas de proteção de dados;

- compreender os processos tecnológicos;

- entender a estrutura organizacional.

O DPO deve ter a capacidade de garantir que a organização está em conformidade com o RGPD, de forma a evitar que esta possa ser sujeita às pesadas multas previstas no regulamento.

Porém, o que se tem verificado na prática é a nomeação acelerada de juristas para o cargo de DPO, devido à escassez de profissionais especializados em segurança da informação com uma visão abrangente da estrutura organizacional. E isto, uma vez mais, como consequência da necessidade de cumprir as exigências do RGPD.

Por outro lado, de acordo com os requisitos exigidos, facilmente se constata que uma simples formação te��rica não irá necessariamente habilitar alguém para desempenhar o cargo de DPO. É necessário portanto que o candidato tenha um background e uma prática no terreno, de modo a que possa reunir as condições para o exercício competente deste cargo.

De há 6 meses para cá, o que se tem verificado? Bem, várias empresas que providenciam formação descobriram um novo filão: colocar no terreno Encarregados de Proteção de Dados com uma formação dada em “três tempos”. Uma simples busca na Internet devolve-nos dezenas de resultados de empresas que dão formação e “certificação” para o exercício do cargo de DPO. Como é que isto é possível se não existe qualquer entidade acreditadora que valide essa certificação? Por qual motivo insistem em referir a emissão de um certificado profissional, não havendo entidade que o emita? Verdadeiramente, à data, não existe qualquer entidade acreditadora. Uma entidade que faz formação não deveria jogar com ambiguidades induzindo os destinatários dessa mesma formação em erro.

RECORDE CRÓNICAS ANTERIORES DO 'SILÊNCIO DA FRAUDE'

3
1