Inicio > Colunista > RGPD – DPO, Perfil

RGPD – DPO, Perfil

Tendo abordado a nomenclatura atribuída ao responsável da protecção de dados, em primeiro artigo de opinião, e depois o regime de incompatibilidades entre o exercício desta profissão e o exercício cumulativo com outras funções, vamos abordar, desta vez, qual o Perfil que resulta do regulamento quanto a este profissional.

Obviamente, as organizações, retratadas no Regulamento Geral de Protecção de Dados, como “entidades responsáveis pelo tratamento de dados”, não são obrigadas a recorrer a profissionais externos para cumprir com as obrigações que decorrem da aplicação do regulamento, podendo, pois, no seio dos colaboradores que já possui, nomear um para o efeito.

Caso, a organização, constate, que no seio dos colaboradores que tem, nenhum deles possua o perfil adequado para o efeito, pode sempre recorrer a acções de caráter formativo, para dotar um dos seus colaboradores das valências necessárias para isso., de resto é para isso que serve a formação profissional, interna ou externa, a que as organizações estão obrigadas pelo código do trabalho.

Mostra-se, assim, pacifico que seja recorrendo a recursos endógenos, seja exógenos, é sempre possível a qualquer organização conformar-se no sentido de ir ao encontro do cumprimento da obrigação de ter de nomear um responsável do tratamento de dados.

Este profissional, tanto pode ser alguém que exerce a função a tempo inteiro, ou a tempo parcial, em regime de exclusividade ou em regime de cumulação de funções, caberá a organização (leia-se “responsável pelo tratamento de dados”) fazer as suas opções.

Quanto ao Perfil, que valências, qualidades, habitações ou credenciais, deverá ser considerada no respectivo perfil?

Da mesma forma que uma organização deve estabelecer, no âmbito de uma visão estratégica, qual a sua missão (tipicamente através de uma orientação genérica para a organização, de modo que todos os colaboradores saibam para onde vão, servindo por analogia o que sucede naquelas com sistemas de gestão da qualidade, com as suas Políticas de Qualidade), também aqui é importante perceber qual a missão deste profissional.

De onde se retira isto? Do próprio regulamento que aponta 4 objectivos vitais para a existência da função de responsável de protecção de dados, a saber:

  1. Informar e Aconselhar, os colaboradores e a organização para os principais aspetos vinculativos do regulamento;

  2. Controlo pelo respeito de cumprimento do regulamento;

  3. Aconselhamento da organização, quanto ao impacto do Regulamento, na mesma;

  4. Cooperação, com a entidade nacional, ou regulador, no âmbito dos incidentes registados.

Percebe-se assim, com facilidade, que a missão de informar e aconselhar (alínea a) supra), melhor se concretizará através de práticas de índole formativa, inserindo-se essa prática no âmbito da formação profissional que a organização deverá proporcionar aos seus colaboradores, e aqui cumprindo o 2 em 1, porque ao disponibilizar esta formação a organização, cumpre com o Regulamento Geral de Protecção de Dados, e cumpre, simultaneamente com o Código do Trabalho.

E atenção, para que este desiderato seja integralmente respeitado pelas organizações, públicas ou privadas, seja qual for a sua dimensão ou área de atividade, TODOS os seus colaboradores, incluso os CEO’s, têm forçosamente de ser envolvidos em acções formativas, pelo menos de sensibilização, ao RGPD. Pensamos, porém, que os colaboradores que trabalhem diretamente com o tratamento de dados pessoais, não será q.b. uma formação de sensibilização, será necessário, uma formação, para além desta, que é básica, complementar, de modo a desvanecer dúvidas sobre os direitos que assistem aos titulares dos dados.

As organizações que não entendam isto, e consequentemente, não cuidem de atender a esta necessidade, diria, obrigação, resultante do RGPD, estarão objectivamente a cometer uma ilegalidade grosseira.

Nesta conformidade, a valência de Formador é pertinente para o Perfil do Responsável da Protecção de Dados, obviamente credenciado com o habilitante CAP de Formador, ou como agora se designa CCP. Mas não só. Ainda neste domínio, e com as alterações havidas em sede legal, deixando os CAP/CCP de serem objecto de renovações, passando agora a vitalícios, sucede que existem hoje, formadores credenciados sem nenhuma hora de formação dada, a par de formadores com varias centenas de horas dadas. Ora é aconselhável que este formador tenha alguma experiência formativa, pois só a experiência consolida as técnicas e metodologias próprias da prática formativa.

Uma outra valência que decorre diretamente do regulamento é a missão de Controlo de conformidade da Lei, que impende sobre este profissional (alínea b) supra), o que nos direcciona para a valência de Auditor, pois só através de auditorias internas é possível ao responsável pela Protecção de Dados, poder assegurar o seu papel, e actuar nessa conformidade.

Para as organizações com sistemas de gestão de qualidade implementados, é mais fácil pois possuem já auditores internos, que podem assegurar esta valência, ainda que eventualmente necessitem de um limar de arestas nas especificidades do regulamento, por recurso a uma formação. Mas alguma experiência neste domínio das auditorias é também aconselhável.

Resulta igualmente do Regulamento, a missão de aconselhamento da organização, quanto ao impacto do regulamento na organização (alínea CP) supra) o que nos encaminha directamente para a função de Assessoria, caso se trate de um recurso interno, ou Consultoria, caso se trate de um recurso externo.

Uma vez mais, a experiência no dominio da assessoria ou consultoria afigura-se como bastante aconselhável, pelas mesmas razões aduzidas para a valência de formador e auditor – consolidação das práticas respectivas, contribuindo, substancialmente, quer a eficiência dos trabalhos respectivos (modo de concretização) e a eficácia dos mesmos (resultados finais adequados).

Por último, mas não menos importante, a missão de Interface com a autoridade nacional, ou regulador, que no nosso caso é a Comisssão Nacional da Protecção de Dados, uma entidade independente, como o são as entidades reguladoras.

Neste particular, falamos de alguém que faz a ponte entre a organização e o regulador, impondo-se valências ao nível argumentativo, discursivo, etc, mas também é da maior importância que o titular da função possua conhecimentos seguros sobre o Código do Procedimento Administrativo, essencial para se perceber como funciona a relação entre a Administração Pública e os Administrados (cidadãos e organizações), mas também sobre o papel da Provedoria de Justiça, e de uma sua muito importante semelhante entidade, no que ao acesso aos documentos da administração diz respeito – a CADA (Comissão de Acesso aos Documentos da Administração).

Portanto algum conhecimento de direito administrativo é também recomendável, a par do domínio do Regulamento Geral da Protecção de Dados, cumulativamente aos restantes pressupostos acima identificados. Tudo isto é passível de dotar qualquer colaborador que a organização tenha, através de acções adequadas.

Para além de tudo isto, é obviamente importante, para o Perfil em apreço, que o seu titular tenha um conhecimento adequado da organização, não só quanto ao “core” da sua actividade, mas também quanto ao organigrama (desenho funcional da organização) e ao organograma (desenho funcional da organização com os nomes dos titulares funcionais).

O problema é que a generalidade das organizações, sobretudo no setor privado, ignora a necessidade da existência destes documentos, significando muitas vezes que se não existem, muito provavelmente nem sequer estão definidos pela alta administração. Esta situação é verificável quando, numa organização, os colaboradores só conhecem o seu dirigente directo, desconhecendo os demais ou que funções têm.

É evidente que o Responsável da Protecção de Dados, terá, como primeira tarefa, identificar estas falhas, em sede de auditoria diagnóstica, e comunicar os seus resultados ao CEO (Gerência/Administração) da organização, para que possa suprir essas lacunas, e só então, prosseguir para a missão que lhe está incumbida no seio da organização.

Uma outra via, que não a de ter um Responsável pela Protecção de Dados cujo perfil se compagine com valências em Formação, Auditoria, Assessoria/Consultoria, Interface, algum conhecimento jurídico / administrativo, e de Novas Tecnologias, é a de constituir uma equipa, interna ou externa, com esse conjunto de valências, que assessore o Responsável interno pela Protecção de Dados, ou, em alternativa, optar por um pacote formativo que vise dotar um colaborador interno daquelas competências.

Existem soluções no mercado para tal, e será uma questão de tempo até surgir uma qualquer certificação específica neste domínio, de momento inexistente.

Não esquecer, que, se e quando vierem a existir certificações nesse domínio elas serão sempre a título voluntário, tal como sucede para outro tipo de certificações, mormente das normas da família ISO.

Mas antes de uma entidade puder vir a certificar um responsável de Protecção de Dados, é necessário que o sistema nacional assegure a existência de entidades acreditadas, isto é, só uma entidade acreditada pode certificar, e nem uma nem outra existem de momento (a acreditação é um reconhecimento de competências e a certificação é um sistema de reconhecimento de conformidade normativa).

Agora, é indesmentível que as universidades, e outras entidades formativas, podem gerar formações de competências habilitantes, ao nível de pós-graduações, cursos livres, etc, que venham a constituir uma forma de credenciar este profissional. E isso existe e recomenda-se.

Rajani Oliveira Dias

Vice-Presidente da APAPP

Associação Portuguesa de Administração e Políticas Públicas

RGPD-C-Formador


Os conteúdos publicados são da exclusiva responsabilidade dos seus Autores. As opiniões expressas em cada artigo vinculam apenas os respectivos autores e não traduzem necessariamente a opinião dos demais autores da LisboaTV nem do Diretor ou do seu proprietário. A citação, transcrição ou reprodução dos conteúdos da LisboaTV estão sujeitas ao Código de Direito de Autor e Direitos Conexos. É proibida a reprodução ou compilação de conteúdos para qualquer fim, sem a expressa e prévia autorização da LisboaTV e dos respectivos Autores.