Notícia
Quer ser encarregado de Protecção de Dados? Formação custa 1.350 euros
A partir de Maio, as empresas têm de nomear um responsável pela protecção de dados, criado pelo novo regulamento europeu, estimando-se que serão necessários 75 mil profissionais. Em Fevereiro arranca uma formação em Matosinhos.
Chama-se Encarregado de Protecção de Dados (DPO, na sigla inglesa) e, já a partir de 25 de Maio de 2018, vai ser uma figura obrigatória nas organizações que tratam dados sensíveis em grande escala ou que fazem o tratamento de dados pessoais que, pela sua natureza, âmbito ou finalidade, exijam um controlo regular e sistemático.
Criada no âmbito do novo Regulamento Geral de Protecção de Dados (RGPD), que vem revolucionar o enquadramento jurídico da protecção de dados pessoais, o DPO é uma das novidades deste novo quadro legal, que, por exemplo, impõe um prazo de 72 horas para comunicar incidentes com dados e limita a capacidade das empresas pedirem e usarem dados pessoais ao fim para que realmente se destinam e com uma janela temporal definida.
Só pelo facto de não designarem este encarregado de protecção de dados, que irá monitorizar o cumprimento do regulamento e ser o ponto de contacto com o regulador (a Comissão Nacional de Protecção de Dados), as empresas arriscam pagar uma multa até 10 milhões de euros ou até 2% do seu volume de negócios anual a nível mundial, consoante o montante que for mais elevado. A Associação Internacional dos Profissionais de Privacidade estimou que serão necessários, pelo menos, 75 mil DPO para os sectores público e privado em todo o mundo – 28 mil só na Europa e nos Estados Unidos.
Para "colmatar as necessidades das empresas nacionais na qualificação dos seus recursos humanos", tendo em vista a aplicação deste regulamento que vigora desde 2016 e está a poucos meses de terminar o período de transição, a AEP – Associação Empresarial de Portugal e a DPO Consulting criaram um programa de formação nesta área da privacidade e protecção de dados, visando preparar os colaboradores das empresas para exercerem esta nova função.
"O cargo do responsável da protecção de dados é particularmente exigente. Constitui o ponto de contacto para a autoridade de controlo, tendo de ter conhecimentos especializados no domínio do Direito e das práticas de protecção de dados, bem como a capacidade para desempenhar as funções de informar e aconselhar, controlar a conformidade, sensibilizar e formar, auditar e cooperar com a autoridade de controlo, entre outras", resumem as organizadoras na página de Internet criada para a formação.
Proteger privacidade e dados pessoais
Dirigida a profissionais que ocupem ou ambicionem ocupar este cargo, assim como a outros elementos na estrutura empresarial, por exemplo do marketing, envolvidos na recolha e tratamento de dados, esta formação profissional custa 1.350 euros e terá lugar nas instalações da AEP, em Leça da Palmeira (Matosinhos). entre 2 de Fevereiro e 10 de Março, ocupando as tardes de sexta-feira (16:30 - 20:30) e as manhãs de sábado (9:30 - 13:30).
A associação empresarial liderada por Paulo Nunes de Almeida e a DPO Consulting, fundada e presidida por Elsa Veloso, que se apresenta como especialista em protecção de dados, prometem que esta formação capacita para o exercício do cargo de Encarregado da Protecção de Dados, "dando-lhe competência para implementar as políticas de privacidade e protecção de dados da empresa, exigida pelo RGPD". Um ano antes da aplicação obrigatória, o tema da protecção de dados estava fora da prioridade das empresas.
"Todas as empresas, independentemente da sua dimensão, vão ter de respeitar os novos direitos das pessoas como titulares dos seus dados pessoais, sejam elas trabalhadores, fornecedores, clientes, utilizadores ou demais categorias de titulares de dados pessoais", alertam as entidades responsáveis por esta formação que surge a propósito do novo regulamento, uma tentativa de Bruxelas harmonizar a legislação de protecção de dados pessoais em todo o espaço comunitário.
Protecção de dados: os grandes desafios para as empresas
Hugo Veríssimo Oliveira, "senior manager" da PwC, e Daniel Reis, sócio da PLMJ, ajudam a elencar os principais desafios operacionais para as empresas em resultado deste novo regulamento, além da criação da figura do Encarregado de Protecção de Dados.
A partir de 25 de maio de 2018, as empresas que sofram uma violação de dados têm, obrigatoriamente, de notificar o regulador e o titular dos dados pessoais do facto. Nas situações de violações graves, a notificação ao regulador deverá ocorrer no prazo máximo de 72 horas. É expectável que as empresas queiram evitar não só as coimas associadas, mas também a publicidade negativa dessas divulgações. Para tal, devem avaliar a sua exposição aos riscos de violações de privacidade e realizar acções que melhorem a segurança da sua organização.
2. "Direito a ser esquecido"
Este requisito introduzido pelo Regulamento permite ao titular dos dados, e mediante determinadas circunstâncias, o direito de solicitar o apagamento / destruição de todos os seus dados pessoais guardados por uma empresa. Os dados guardados com o objectivo de cumprimento de obrigações legais, fiscais ou regulamentares estão, à partida, excluídos desse direito.
3. Avaliações de impacto de privacidade
As empresas são obrigadas a realizar Data Protection Impact Assessments (DPIA) sempre que existam operações de processamento de dados invasivas. Estas avaliações devem evidenciar que os riscos de violações de dados pessoais estão anulados ou amplamente mitigados e que os requisitos do Regulamento são cumpridos. Um dos factores relevantes na preparação das empresas é a formação dos colaboradores nos modelos de gestão de privacidade que vierem a ser definidos e mantê-los sensibilizados para o espírito que o legislador teve aquando da produção do regulamento: protecção dos dados pessoais dos cidadãos.
4. Privacidade por desenho e por padrão
O novo Regulamento obriga a que, por padrão, os novos bens, serviços, produtos, sistemas, dispositivos e processos sejam construídos, desde a fase de desenho, cumprindo requisitos de privacidade. As evidências desta preocupação devem abranger o modelo de governação da privacidade na organização com políticas, procedimentos e regras que enderecem a privacidade por desenho e por padrão. Adicionalmente, devem implicar o desenvolvimento de competências de "engenharia" de privacidade por toda a organização.
5. Empresas asseguram e demonstram cumprimento das regras
O sistema actual de notificações e pedidos de autorização ao regulador – a Comissão Nacional de Protecção de Dados – vai desaparecer, sendo substituído por um sistema onde são as empresas que terão de descrever, analisar e medir os riscos inerentes aos tratamentos de dados pessoais. Assim, este novo sistema obrigará as empresas a criar mecanismos que assegurem o cumprimento das regras e a demonstrar também o seu cumprimento.