Perfil de DPO é difícil encontrar numa só pessoa

Reunir competências jurídicas, tecnológicas e ainda conhecimento do negócio e capacidade de lidar com as pessoas é o que se requer de um encarregado de protecção de dados. Há poucos no mercado. É uma oportunidade.

“A função de encarregado de protecção de dados ou Data Protection Officer  (DPO) está a surgir na nossa sociedade como uma função muito desejável e de referência em termos de liderança”, constata Manuel Melo, presidente da Associação para a Promoção da Cibersegurança e Protecção de Dados (APCiber).

De acordo com Manuel Melo, um dos poucos DPO no activo em Portugal, diz o próprio, “a função ganha dimensão à medida que se aproxima a data de aplicação”, na totalidade, do novo Regulamento Geral de Protecção de Dados (RGPD), dentro de menos de um ano. A 25 de Maio de 2018, muitas empresas terão obrigatoriamente de recorrer a um DPO para trabalhar na protecção de dados.

“A função de DPO está a aparecer como oportunidade de trabalho para o universo de juristas, mas também para o universo dos responsáveis de TI que queiram reconverter a sua actividade num quadro funcional de protecção de dados”, assinala Manuel Melo.

O presidente da APCIber estuda estas matérias desde 2010 e trabalha desde essa altura como encarregado de protecção de dados. Da sua experiência, recorda que “durante muitos anos, este tema não era muito levado a sério, ao contrário de abordagens como a segurança da informação de uma perspectiva tecnológica.

A protecção de dados e a função de encarregado de protecção de dados só começou a chamar a atenção há dois anos, em particular desde 2015”, disse, à margem de uma conferência sobre o RGPD, promovida pela APCiber, durante o mês de Maio.

“Os DPO em Portugal, com anos de experiências e com este título funcional autónomo, não são mais de duas dezenas”, Manuel Melo (APCiber)

“O crescendo da importância desta problemática acentuou-se em 2015/2016”, quando as “empresas começaram finalmente a olhar para esta realidade”. As empresas estão a deixar passar o período de “vacatius legis”, que vai neste momento a meio o que “irá representar problemas de falta de recursos”, uma vez que todas vão precisar de encarregados em simultâneo.

Para “responder às necessidades de mercado vão surgir ‘n’ entidades que vão prestar este tipo de serviços, o que se atesta pelo número de eventos que se estão a realizar”, assinala Manuel Melo. “Vão surgir várias propostas, metodologias, abordagens para a implementação deste tema”.

A APCIber e outras entidades associativas a nível europeu estão a começar a promover cursos e formações para encarregados de protecção de dados. É espectável que a necessidade de profissionais formados e certificados nesta matéria venha a conduzir a um aumento da oferta de formação e certificação.

“As dúvidas que mais me colocam actualmente prendem-se por ‘O DPO deve ser a tempo inteiro ou parcial?’ e ‘Qual é o orçamento que devo destinar à privacidade?”, revela Manuel Melo. Mas antes de mais, as empresas devem informar-se, conhecer e compreender o regulamento e perceber qual é a sua realidade interna. “Só depois pensar em que modelo e se irão necessitar de um DPO”, recomenda.

Perfil recomendado para DPO

Qual o perfil ideal para um encarregado de protecção de dados? Inicialmente o mercado apontou para um perfil relacionado com a direcção de sistemas, tecnologias ou segurança de informação, segundo o presidente. No entanto, “verificou-se que o quadro jurídico vai além da protecção de dados informatizados”.

Além disso há o potencial de “haver conflitos de interesses entre o exercício das funções de encarregado de protecção de dados e director de sistemas de informação”. Deste modo, o perfil “foi riscado”, explica Manuel Melo.

“É quase como ter uma pessoa com corpo de leão, pele de ovelha e cabeça de falcão ou de águia”. Manuel Melo (APCiber)

Numa segunda fase, “pensou-se num perfil com conhecimentos jurídicos”. De acordo com Manuel Melo, “uma hipótese seria a atribuição destas funções à área da direcção jurídica, de auditoria ou conformidade, ou seja, esta auréola do universo das funções jurídicas”, o responsável sublinha que, se estas funções forem internas, não há conflitos de interesses e até há vantagens. “Coloca-se, no entanto, um problema relacionado com a falta de domínio dos conhecimentos tecnológicos, pois normalmente estas equipas não dominam estas áreas das TI”.

Sendo assim, e nas palavras de Manuel Melo, “não estando riscado, é um perfil que poderá não ser suficiente”. Além disso, o encarregado de protecção de dados terá ainda de interagir com terceiros: com os titulares dos dados, internos ou externos, numa dinâmica de atendimento e de resolução de reclamações.

Finalmente é também necessário ter conhecimentos do negócio, da gestão do negócio. “É quase como ter uma pessoa com corpo de leão, pele de ovelha e cabeça de águia”. As empresas vão ter problemas em encontrar estas pessoas.

Características básicas fundamentais de um DPO

‒ ter conhecimentos jurídicos;

‒ ter conhecimentos tecnológicos;

‒ ter conhecimento de gestão de negócio e do sector de actividade.

Tags ,

Artigos relacionados

O seu comentário...

*

Top