Registo das atividades de tratamento – visão espanhola

A despeito das particularidades de adoção do RGPD em cada país da União Europeia, a visão de cada região a respeito da norma será cada vez mais útil para nortear procedimentos, tanto para empresas e controladores de dados quanto para as autoridades envolvidas.

Na Espanha, a Agência Espanhola de Proteção de Dados (AEPD), criou documentos extensos, porém didáticos, para auxiliar na informação a respeito do RGPD. Em seu excelente guia para DPOs, a agência espanhola detalha disposições, obrigações e oferece recomendações para os encarregados da proteção de dados, de forma simples e direta.

Em relação ao registo das atividades de tratamento de dados, em particular, o documento espanhol analisa de forma muito mais objetiva as necessidades e obrigações para acompanhamento de tais informações – uma luz para muitas perguntas que ainda seguem a responder em Portugal.

Números e precisão na informação

A informação disponível até agora a respeito do RGPD e particularidades que envolvem as responsabilidades do DPO e dos controladores de dados tem sido generalista e mesmo vaga. A AEPD oferece algumas referências quantitativas e qualitativas que poderão responder a algumas questões que seguem em aberto. No caso do registo das atividades – qualquer empresa precisará fazê-lo?

É difícil e mesmo injusto imaginar que uma padaria ou um café terá de efetuar registos frequentes de todos os dados que processa ou deixa de processar. Bem, a obrigação desses procedimentos, na visão da AEPD, recai sobre qualquer empresa, porém há algumas exceções nas quais há isenção da obrigação de tal registo.

Para a AEPD, estão isentas de tal obrigação empresas com menos de 250 empregados. Sim – um número! Entretanto, tal isenção anula-se uma vez que a empresa, ainda que com menos empregados que o citado, processe dados que possam causar riscos diretos aos direitos do usuário ou incluam dados classificados como sensíveis, segundo a óptica do RGPD.

Competências e atributos do encarregado da proteção de dados

A figura do DPO tornar-se-á cada vez mais frequente, especialmente em grandes empresas. Seja um contratado em prestação de serviços ou empregado que é parte do quadro, esse profissional precisa reunir características bastantes para atender ao disposto no Regulamento Geral de Proteção de Dados, mas também para conduzir suas tarefas dentro da empresa.

Chamado em Portugal de “Encarregado da Proteção de Dados”, o DPO é geralmente um profissional ligado à área de engenharia informática ou similar, conhecedor não apenas dos detalhes do RGPD, mas também de outras padronizações ligadas à segurança da informação.

Encarregado da proteção de dados – competências

O DPO é um profissional que precisa de reunir um certo rol de competências. Além de um background informático, precisa de liderança e certa flexibilidade para lidar com problemas que costumeiramente são parte da rotina de segurança da informação. Além de formação ou domínio no teor do RGPD, um bom profissional a assumir uma posição de DPO precisa também:

  • Possuir experiência notória em sistemas informáticos.
  • Ter grande conhecimento de segurança da informação, incluindo normas e padrões como a ISO 27001.
  • Proatividade no sentido de detetar problemas de segurança e privacidade e agir, independentemente dos requisitos do RGPD.
  • Quando interno, conhecimento vasto das rotinas de controlo e processamento da informação pela empresa.
  • Quando externo, tempo para conduzir investigações a respeito das rotinas de controlo e processamento da informação pela empresa.

Organizações que já possuem departamentos de informática e segurança da informação bem organizados podem considerar a nomeação de um de seus profissionais líderes na área para assumir as responsabilidades do DPO, do mesmo modo que companhias com prestadores de serviço especializados externos podem relegar aos prestadores de serviço a responsabilidade, mas sempre nomeadamente.

Em Portugal, fala-se muito no uso de juristas e advogados na função de DPO. Para algumas empresas, a utilização de profissionais desse segmento pode ser útil. Contudo, em empresas maiores que precisam lidar com problemas de segurança da informação de um ponto de vista mais técnico de aplicabilidade, o DPO jurista nada mais constitui do que um profissional suficiente para apontar riscos, mas nunca resolvê-los do ponto de vista objetivo.

Certificações mundiais na área de segurança da informação já estabeleciam, há tempos, recomendações que em muitos aspetos igualam-se às exigências do RGPD. Nesse sentido, um encarregado da proteção de dados com conhecimento nessas padronizações informáticas é capaz não apenas de atender às disposições legais do GDPR europeu, mas inclusive implementar melhorias aos processos que vão além do disposto em lei. Dentro do disposto nos guias e documentos do RGPD, as competências do DPO devem incluir:

  • Competências no domínio das normas e práticas de proteção de dados nacionais e europeias, incluindo um conhecimento profundo do RGPD
  • Conhecimento das operações de tratamento efetuadas
  • Conhecimento das tecnologias da informação e da segurança dos dados
  • Conhecimento do setor empresarial e da organização
  • Capacidade para promover uma cultura de proteção de dados no seio da organização.
Encarregado da proteção de dados – recursos alocados

A simples nomeação de um DPO não garante o cumprimento com as normas do RGPD. O trabalho é continuado, como ocorre com processos de implementação de normas para certificação, como ISO 9000, ISO 14000 e ISO 27001 (segurança da informação). Para que possa desempenhar seu papel e manter a empresa longe de coimas e também problemas, o encarregado da proteção de dados precisará sempre de:

  • Ter acesso a todos os sistemas informáticos da empresa
  • Ter apoio da direção da empresa
  • Livre trânsito entre departamentos
  • Formação contínua
  • Uma equipa em consonância com o tamanho e porte da organização
  • Recursos financeiros e tecnológicos bastantes para lidar com os problemas e questões que irá detetar
Encarregado da proteção de dados – quanto ganha um DPO

A extensão das responsabilidades, o porte da empresa e das rotinas de processamento de dados e também o grau de expertise do DPO irão definir seu salário – por isso é difícil falar de forma imediata em valores. Contudo, tendo em vista que formações em DPO já existentes em território português têm custos que podem facilmente exceder os € 1.500 por algumas horas de treinamento, há de se concordar que profissionais dessa gama não terão ordenados inferiores a alguns milhares de euros ao mês.

Para empresas que necessitem de contratar um DPO, mas possuam menor porte, consultorias e prestadores de serviço serão uma solução mais viável. Quando o processamento de dados é considerável, mas não volumoso o suficiente para justificar um DPO em tempo inteiro, contratar um terceiro pode ser suficiente e reduzir os custos de adequação à nova norma. Desse modo, um mesmo consultor poderá assumir o papel de DPO em mais de uma organização, que na prática partilharão os custos de seus rendimentos.

Outra possibilidade, especialmente para empresas que já possuem departamentos informáticos organizados, é nomear outro executivo ou profissional como responsável. A lei não aponta especificamente um conjunto de formações necessário para o DPO, apenas seu papel dentro da organização. Um diretor de outra área qualquer, em tese, pode assumir tal papel, contudo os prejuízos do desconhecimento de rotinas legais e informáticas podem colocar em situação de desconformidade a organização.