RGPD: Como a Europa “pôs o mundo todo assustado”

O que é um Data Protection Officer, quais as suas funções, é possível ser-se simultaneamente DPO e advogado, e como estão as empresas a lidar com as novas regras de proteção de dados, que estarão em vigor a 25 de maio?

Estas e outras questões foram respondidas na conferência sobre o Regulamento Geral da Proteção de Dados – que decorreu no auditório do centro de formação da Ordem dos Contabilistas Certificados – e juntou ao todo, entre oradores e participantes, mais de 800 pessoas. O evento foi organizado pelo Conselho Regional de Lisboa (CRL) da Ordem dos Advogados.

A abertura da conferência esteve a cargo de António Jaime Martins, presidente do CRL. João Massano, advogado e vice-presidente do CRL, abriu o primeiro painel destinado a debater a figura do DPO (Data Protection Officer), o encarregado de proteção de dados. João Massano chamou à atenção para o facto de que está na moda “existirem cursos que dizem passar certificações, que muitas vezes não são verdadeiras, e que faz muitas pessoas ganharem dinheiro. No fundo é vender gato por lebre, porque o reconhecimento legal destes certificados é nulo, por muito que se pague para assistir a esses cursos”, explicou o advogado.

DPO: Data Protection Officer

A figura profissional do DPO foi criada pelo Regulamento 2016/679 do Parlamento Europeu. Nos artigos 37 a 39 encontra-se definido o seu perfil, as funções e as responsabilidades do DPO. “Esta figura não existia previamente, é uma novidade do RGPD. Altera-se, deste modo, o paradigma e a estrutura organizativa vai ter de ter um DPO para que se assegure que o tratamento de dados pessoais a ser feito feito é feito de acordo com a legislação. Deste modo, cria-se uma estrutura interna. Não passa a ser alguém pessoalmente responsável pelo incumprimento, quem o vai ser sempre é a administração da empresa em causa”, esclarece ainda.

Vivemos numa contradição entre proteger os nossos dados pessoais e o nosso exibicionismo, porque somos nós que tornamos públicas as nossas atividades, somos nós que nos expomos perante as redes sociais e tornamos público o que fazemos.

João Massano explica que a nossa sociedade encara uma grande contradição: “vivemos entre proteger os nossos dados pessoais e o nosso exibicionismo, porque somos nós que tornamos públicas as nossas atividades, somos nós que nos expomos perante as redes sociais e tornamos públicos o que fazemos: “ó para mim aqui a comer um gelado, ó para mim de férias”. É uma contradição”, defende.

É obrigatória a designação de um DPO:

• No tratamento de dados efetuado por autoridade ou organismo público;
• Nas atividades que consistam em operações de tratamento de dados que envolvam controlo regular e sistemático dos titulares dos dados em grande escala, que podem ser dados de um hospital, de uma companhia de seguros, bancos, operadoras telefónicas, entre outros;
• A atividade principal do responsável de tratamento de dados ou subcontratante consiste no tratamento em grande escala de categorias especiais de dados (previstas no art. 9 do RGPD) e de dados relativos a condenações penais e infrações. Aqui é obrigatória existência de um DPO de acordo com o regulamento.

Funções do DPO:

• Providenciar informação e aconselhamento ao responsável pelo tratamento ou ao subcontratante, bem como aos seus trabalhadores, relativamente às obrigações emergentes do RGPD;
• Controlo sobre o respeito pelo regime legal da proteção de dados e políticas internas de privacidade;
• Cooperação e ponto de contacto para a autoridade de controlo (Comissão Nacional de Proteção de Dados) sobre questões relacionados com tratamentos de dados;
• Ponto de contacto com os titulares dos dados para prestação de esclarecimentos sobre o tratamento dos seus dados e sobre o exercicio dos seus direitos;
• Por força das obrigações impostas pelo RGPD, o DPO tem que ter um conhecimento aprofundado da entidade que representa e tem que ter as habilitações necessárias para saber transmitir os conceitos jurídicos constantes do RGPD aos colaboradores dessa entidade.

É possível ser-se simultaneamente DPO e advogado?

“Há uma incompatibilidade entre ser-se advogado de uma empresa e DPO dessa mesma empresa”, explica o vice-presidente da CRL. “Poderá ser incompatível com o sigilo da profissão. Teria de existir uma compatibilização entre o artigo 92 (do segredo profissional) do Estatuto da Ordem dos Advogados e os arts. 39, nº 1, alíneas d) e e) e o artigo 90º do RGPD”, esclarece.

A João Massano seguiu-se Pedro Simões Dias, advogado especializado em matérias de e-Commerce e Tecnologias de Informação e em matéria de Direito de Propriedade Intelectual, professor em diversas faculdades e árbitro da Arbitrare, que apresentou a sua perspetiva como DPO e falou nos desafios que esta nova profissão enfrenta.

A Europa está a assustar o mundo e a pôr o mundo todo a falar. Porquê? Por causa do RGPD e das tão temidas multas, que podem ascender aos milhões de euros às empresas.

DPO: estrela em ascensão ou a nova profissão maldita?

“As pessoas (mais jovens) a quem isto deveria interessar, não estão verdadeiramente interessadas no RGPD“, começa por constatar o advogado, quando faz notar que, com sala cheia, a média de idade dos convidados rondava entre os 40 e os 50 anos. Pedro Simões Dias, que tem participado em conferências sobre o assunto um pouco por todo o lado, garante que até os russos estão interessados no RGPD. Mas porquê? “Porque foi desta maneira que a Europa pôs o mundo todo a falar: com o RGPD, e com as tão temidas multas às empresas, que podem ascender aos milhões de euros”, explica.

“There’s a new star in town! — The DPO“, é a frase que surge em grande no slide seguinte da apresentação, a partir da qual Pedro Simões Dias explica que esta nova figura, que já existia na Alemanha, foi implementada e mudou o paradigma da proteção, que passou a existir em 1995 com a criação de DPA (Data Protection Authorities), para uma nova fase de responsabilidade proativa, com o RGPD em 2018.

Algumas prior notes que o advogado deixa:

• “Nós DPOs não temos qualquer responsabilidade nisto. Os Data Processers e Controlers é que são os responsáveis e não os DPOs”;
• A obrigatoriedade e a conveniência de ter um DPO depende da obrigação da empresa em ter registos internos, que toca às empresas com 250 trabalhadores ou mais;
• Nas empresas que faturam mais de mil milhões de dólares: o DPO tem de existir;
• Nas grandes empresas: quase todas devem ter um DPO;
• Quanto às PMEs, só algumas é que devem ou precisam de ter um DPO.

“Este regulamento é a norma que mais vai alterar o tecido empresarial na Europa desde a implementação da reforma fiscal“, salienta o advogado. Quanto à carreira do DPO, estes podem ser externos ou internos (inhouse ou outsourced). Quanto à possibilidade de serem internos, o advogado não poupa nas palavras: “isso é uma loucura”. No caso de serem externos, é-lhes permitido constituir uma equipa para o tratamento dos dados pessoais da empresa contratante. “Podem existir várias pessoas dentro de uma organização a tratar com o DPO”, refere. Poderão trabalhar a full ou a part time. E tem, sobretudo, de haver um cuidado entre conflitos e interesses: “os diretores de uma empresa não podem ser DPOs. Está previsto no artigo 29”.

Are DPOs lawyers or technicians?

Surge a dúvida quanto à figura do DPO: do lado jurídico, nada melhor do que um advogado para o ser. Mas e do lado técnico da questão? Poderão técnicos ser DPOs? “O regulamento nao tem nenhuma referência técnica. Fala em pessoas com especiais conhecimentos na área dos dados pessoais. Eu costumo dizer que não é possivel o direito sem a técnica, nem a técnica sem o direito”, diz o advogado, que garante que a carreira do DPO vai durar durante um século e é, por isso, uma carreira com futuro. “Mas, na minha sincera opinião, é uma profissão muito chata, muito mecânica. Agora é o bom momento dos DPOs. Nós somos advogados com formação clássica e estamos a adaptar-nos para esta área tão especializada. Daqui a 50 anos vão existir escolas de direito so para isto”.

E deixa o aviso: vai ser um trabalho mal pago. “Salvo se criarmos grandes empresas de DPOs”, aponta o advogado como solução, embora frise que as empresas muitas vezes querem os dados para toda a vida e agora não podem. “O DPO tem essa dura função pela frente”.

O RGPD e as empresas

Seguiu-se Pedro Verdelho, Procurador da República e coordenador do gabinete de cibercrime da Procuradoria Geral da República, que apresentou o tema “Quem anda a chuva, molha-se? Riscos e ameaças para quem guarda dados”.

Começa por alertar a plateia: “toda a gente está online hoje em dia. Estamos todos, até mesmo os miúdos mais pequenos. Tendo em conta o tempo que passamos online corremos riscos. É natural que depois surjam situações com as da Cambridge Analytica”. Em causa o escândalo que envolveu o Facebook e a divulgação de dados pessoais de cerca de 87 milhões de utilizadores desta rede social à empresa britânica Cambridge Analytica.

O Facebook é algo que é familiar a toda a gente. As imagens que estão no Facebook e os textos que postamos são ficheiros informáticos, tal como temos fotos no telemóvel e no nosso computador.

“O Facebook é algo que é familiar a toda a gente. As imagens que estão no Facebook e os textos que postamos são ficheiros informáticos, tal como temos fotos no telemóvel e no nosso computador”, revela Pedro Verdelho, e levanta a temível pergunta: “alguém faz alguma ideia de onde estes ficheiros estão alojados?”.

A sede do Facebook é em Menlo Park, na Califórnia, nos EUA. “Mas, na verdade, é numa cidade do norte da Suécia onde estão alojados os conteúdos dos utilizadores do Facebook da Europa e outras regiões do globo”, explica o procurador. “Portanto, os dados estão na Suécia, a gestão é feita por uma empresa na Irlanda, que pertence a um grupo da Califórnia… Isto toca aqui em assuntos jurídicos sensíveis”.

O procurador dá conta de que um quarto das empresas portuguesas já tiveram problemas de informática, uma estatística assustadora, e deixa informações de vários tipos de ataques cibernéticos, deixando o alerta aos utilizadores, tanto individuais como as empresas.

Magda Cocco, sócia da VdA e advogada especialista em TMT, abriu as hostes do segundo painel subordinado ao tema “RGPD e as empresas”. A advogada destacou a importância da segurança no tratamento dos dados, com as novas obrigações do RGPD.

“Além do RGPD, de uma forma geral, ser aplicável a todos os setores de atividade, impõe-se também de uma forma mais eficaz a todos os domínios de segurança numa Europa cada vez mais digital”, explica a advogada, dizendo que esta revolução veio mudar drasticamente o mundo e a forma como vivemos e operamos.

Estamos na era dos dados, há cada vez mais informação a ser produzida e tratada. É normal que se verifique um aumento significativo de incidentes de segurança e de violação dos dados pessoais. Porque os nossos dados estão permanentemente localizados no nosso telemóvel, faz parte da nossa pegada digital, a via verde, o cartão multibanco… O RGPD tem agora como grande objetivo dar o controlo aos cidadãos dos seus dados.

“Estamos na era dos dados, há cada vez mais informação a ser produzida e tratada. É normal que se verifique um aumento significativo de incidentes de segurança e de violação dos dados pessoais. Porque os nossos dados estão permanentemente localizados no nosso telemóvel, faz parte da nossa pegada digital, a via verde, o cartão multibanco… O RGPD tem agora como grande objetivo dar o controlo aos cidadãos dos seus dados”, refere Magda Cocco para concluir.