Ter ou não ter DPO para proteger dados da empresa?

Salvo os casos em que a lei obriga à existência de um DPO, a decisão fica ao critério de cada empresa. Independentemente da obrigatoriedade, os DPO no activo recomendam que exista pelo menos alguém que centralize essas matérias.

A Brisa, o Banco BPI e a Ageas já têm formalmente encarregados de protecção de dados (Data Protection Officer – DPO). São empresas que optaram por começar desde cedo a verificar se os seus processos em conformidade com o novo Regulamento Geral de Protecção Dados (RGPD) e por desenvolver procedimentos para que tudo esteja dentro da lei nas suas organizações.

Em comum, as três organizações trabalharam durante alguns meses no levantamento dos processos relacionados com dados pessoais, em particular os mais sensíveis, que culminou com a nomeação dos DPO, entre Setembro de 2016 e Maio de 2017, responsáveis agora pela coordenação dos trabalhos. No caso das TI, o recurso a consultoras externas foi geralmente a opção escolhida.

O RGPD entrou em vigor há um ano e terá aplicação efectiva  a partir de 25 de Maio de 2018. Cada um dos DPO – Maria Antonieta Ribeiro, da Brisa, Miguel Morais Leitão, do Banco BPI, e Pedro Machado, da seguradora Ageas – testemunharam, na primeira pessoa, o que já foi feito em cada uma das empresas e quais os caminhos que pretendem seguir daqui em diante.

Com base nos aportes dos responsáveis, Andreia Jotta, moderadora do debate, resumiu alguns tópicos que devem ser tidos em conta para quem, como uma grande percentagem dos 200 participantes nesta conferência sobre o RGPD, está agora a tomar consciência do tema. As empresas devem “identificar um ‘embaixador’ do RGPD dentro da organização” – seja ou não oficialmente um DPO – que centralize “o levantamento dos dados e dos processos”, disse a directora de marketing e comunicação da Confederação de Comércio e Indústria Portuguesa (CCIP), no evento que também contou com a presença de uma consultora da Comissão Nacional de Protecção de Dados (CNPD).

Grupo Brisa poderá ter mais que um DPO

Maria Antonieta Ribeiro é formalmente DPO da Brisa desde meados de Maio de 2017. A empresa tem estado a acompanhar o tema, mesmo antes da publicação do diploma, e pôr em marcha uma estratégia rumo à conformidade, por ocasião da publicação do diploma, em Maio de 2016.

Tendo em conta que o tema é transversal a toda a organização, não estando limitada apenas aos departamentos jurídicos ou de informática, a Brisa começou por alertar a administração para os riscos que “a empresa poderia vir a correr daí em diante”. Conquistado o apoio, foi criado um grupo de trabalho multidisciplinar, incluindo valências de marketing, informática, segurança, jurídicos.

Em seguida a empresa procurou envolver as restantes lideranças e colaboradores e deu início à fase de levantamento de procedimentos e adaptação dos sistemas de informação. A responsável recordou que há mais de 20 anos – desde a introdução da Via Verde – que a Brisa lida com “registos e autorizações” na CNPD.

A questão dos dados pessoais “faz parte da cultura das várias empresas do Grupo” que tem múltiplas bases de dados, incluindo uma registada desde 1995. “Começámos a fazer, informalmente um levantamento, chamando as áreas responsáveis por cada um dos tratamentos”, explicou Maria Antonieta Ribeiro. Entre outros objectivos pretendia-se nesta fase verificar se estava “tudo de acordo com o que foi registado na CNPD”.

Foram também afinados procedimentos internos, identificadas bases de dados comuns a todas as empresas do grupo, e quais as que podem trazer acarretar maiores riscos. “Trabalhamos de facto com dados sensíveis. A base de dados da Via Verde, a mais conhecida por todos, pode representar uma intromissão nas vidas privadas, uma vez que temos dados de percursos das pessoas”, enquadra a responsável.

A empresa está descansada em relação aos trabalhadores da Via Verde: “trabalham desde sempre com estes dados pessoais sensíveis, têm consciência dos riscos que se correm e das obrigações que têm”. A DPO recorda que os trabalhadores se regem por “cláusulas de confidencialidade e de sigilo nos contratos e têm o hábito de, em caso de dúvida, contactar o gabinete jurídico”.

“São várias empresas, temos responsáveis, temos subcontratantes e não sabemos se será compatível ter um só DPO para todas as empresas”, diz Maria Antonieta Ribeiro (DPO da Brisa, desde Maio de 2017).

Nomeada DPO há cerca de um mês, nesta fase transitória, Maria Antonieta Ribeiro não se encontra junto da administração, mas trabalha com um núcleo de protecção de dados dentro da Direcção Jurídica que vai implementar esta cultura de DPO no grupo de empresas, explica. Devido à dimensão e complexidade do grupo, “posteriormente logo veremos com mais pormenor o que vamos fazer e se vai haver um só DPO.

São várias empresas, temos responsáveis, temos subcontratantes e não sabemos se será compatível ter um só DPO para todas”. Também ao nível dos sistemas de informação “tem sido feito um levantamento muito minucioso dos activos dos dados, dos fluxos de dados, das permissões de acesso, da rastreabilidade dos acessos”.

A nível da política de dados é importante verificar se “se todos os que têm acessos os devem ou não ter acessos limitados, limitar a informação por perfil de acesso”, detalha. Para esta etapa, a empresa está a recorrer a uma consultora externa.

Os responsáveis de equipas começaram agora a participar em acções de formação para que possam, em seguida formar as suas equipas. “A formação chegará a todos, mas apenas depois de todos os procedimentos e políticas estarem definidas”, esclarece.

BPI quer identificar prioridades de investimento

O Banco BPI criou um grupo de trabalho interno, envolvendo as várias direcções responsáveis por processamento de dados, em Setembro de 2016. Miguel Morais Leitão, DPO do Banco BPI, explica que esse grupo de trabalho definiu um “roadmap com os principais passos que deviam ser dados”, incluído a nomeação de um DPO que se concretizou em Janeiro de 2017. Antes disso foi realizado um questionário interno aos colaboradores com o objectivo de “identificar quais eram os processos de tratamento de dados em que estavam envolvidos e o que faziam nessa matéria”.

Para além de permitir conhecer a realidade da organização, o “questionário chamou a atenção das pessoas” para o tema, explica Miguel Morais Leitão. A nível da Informática, o trabalho de levantamento dos processos começou em Março com recurso um consultor externo, fase que deverá estar neste momento concluída.

Não sendo em muitos casos obrigatório, um DPO “é uma boa ajuda” e “concentra competências que muitas vezes estão dispersas por várias direcções nas organizações”, explica Miguel Morais Leitão (DPO do Banco BPI, desde Janeiro de 2017).

Morais Leitão assinala que, “no caso da banca e dos seguros, o DPO é obrigatório, não é opção não ter”. Noutras organizações, não sendo obrigatório, “é uma boa ajuda em todo este processo, especialmente no que diz respeito a chamar a atenção e concentrar competências que muitas vezes estão dispersas por várias direcções nas organizações”.

De volta ao BPI, Morais Leitão assinala que a fase de levantamento é muito exigente. “Até agora tínhamos as notificações e os pedidos de autorização à CNPD. Eram processos que já estavam rotinados dentro da organização, não tinha novidade”. De repente, com o levantamento, “temos todas as direcções envolvidas, todos os processos a documentar envolvidos e por vezes até tenho de refrear os meus colegas para não alargar o levantamento a tudo o que mexe dentro da empresa”.

O próximo passo será “identificar o que temos de mudar ao nível da informática, nomeadamente dos processos para os clientes. Os bancos são grandes integradores de segurança, já gastam muito dinheiro, agora temos de ver onde é que iremos gastar esse dinheiro, tendo em conta o risco. Não podemos ambicionar ser 100% seguros, é necessário identificar as áreas em que vale a pena reforçar o investimento”.

DPO é um orquestrador

O Grupo Ageas, que opera em todos os ramos de seguros – vida, não vida e saúde – e que passou recentemente por um processo de crescimento por aquisição, tem um desafio acrescido: para além do levantamento está a passar por um processo de mudança e integração interno. Pedro Machado, DPO da Ageas Portugal. Para enquadrar, o responsável recordou que a empresa adquiriu recentemente a operação da Axa Portugal, bem como o grupo Ocidental e a Medis.

“O IT tem uma abordagem específica para esta matéria e na prática faltava um orquestrador. É uma missão que implica uma abordagem multidisciplinar”, Pedro Machado (DPO da Ageas, desde Fevereiro de 2017).

No sector dos seguros, a protecção de dados é algo tradicional e já o era em qualquer uma das entidades que integram agora o grupo. No entanto, “tipicamente era feita numa dimensão prevenção jurídica, de conformidade e de própria auditoria interna”, com o novo regulamento, passou a ser algo mais abrangente obrigando à mediação de um DPO. Pedro Machado assumiu funções a 1 de Fevereiro, com a missão de criar um programa de protecção de dados. “Deixou de haver a desassociação de competências. O IT tem uma abordagem específica para esta matéria e faltava um orquestrador. Na prática é uma missão que requer uma abordagem multidisciplinar”.

Pedro Machado reporta ao CEO europeu da Ageas que é por inerência CEO da ‘holding’ em Portugal. De acordo com o programa apresentado ao comité executivo do grupo, o responsável está desde o primeiro momento junto da administração. “É um posto muito interessante em toda organização o que me permitiu captar a atenção e a disponibilidade orçamental”. Mas “tudo começou com um programa que foi apresentado ao comité executivo. A partir daí foi feito o drill-down para todas as áreas”.

Responsável de protecção de dados deve ter poder dentro da organização

Recorde-se que, em sectores como a banca ou os seguros, a figura de DPO é obrigatória por lei. Mas nem sempre é o caso. No entanto, independentemente de existir obrigatoriedade legal, deve ser identificado, nas organizações, um responsável, próximo da administração, que centralize todos os processos relacionados com a conformidade e cumprimento do quadro legal.

Os DPO no activo, alertam também para o reverso da medalha: a designação formal de um DPO acarreta outras obrigações legais, em alguns casos complexas, oriundas do RGPD Em qualquer dos casos a opinião é comum: deve haver um responsável nas empresas que concentre o diagnóstico, a recolha, a gestão do tratamento dos dados e que seja um interlocutor único dentro da organização, independentemente de ser formalmente uma Encarregado de Protecção de Dados.

Pedro Machado (Ageas) chama a atenção para o seguinte: “se de hoje para amanhã, algum cliente se sentir ofendido por alguma forma de tratamento de dados pessoais e o cliente apresentar uma denuncia, e chegar uma inspecção à porta, quem deve ser o interlocutor”? Esta definição traz consigo “alguma consciencialização e responsabilização para serem diligenciados um conjunto de tarefas e de acções sérias, para conseguir alinhar a organização com o regulamento. Só acredito que essa missão seja bem-feita se houver a nomeação de alguém”, independentemente do “nome que lhe quisermos dar”. Deve ser um requisito das organizações, assinala o Pedro Machado, ter alguém com aquela missão e objectivos, cuja responsabilidade possa ser medida, mas, por outro lado para que seja respeitado. “É necessário nomear alguém que seja responsável, que tenha a capacidade de seguir e pressionar os colegas, de criar programas e políticas, de pôr a organização a mexer, porque no final do dia vai tornar-se em benefício da empresa, é um investimento com retorno”.

Miguel Morais Leitão (Banco BPI) alerta no entanto: se o responsável for formalmente nomeado encarregado de protecção de dados, a empresa “passará a estar sujeitos a todas as obrigações previstas no regulamento quer para o encarregado quer para a relação com as autoridades”. Sendo assim, ter “responsável pela protecção de dados deveria ser comum a todas as empresas”, no entanto, “a decisão de ter um DPO, obrigatório em alguns casos, mas opcional para outras, terá de ser avaliada caso a caso”.

Autores
Tags , , ,

Artigos relacionados

O seu comentário...

*

Top