RGPD e DPOs – certificação NÃO é uma exigência

Com base naquilo que temos lido aqui e ali a respeito do Regulamento Geral de Proteção de Dados (RGPD), cabe-nos tranquilizar empresas, especialmente as pequenas, de um aspeto extremamente relevante: certificações e acreditações NÃO são uma exigência.

O mercado português atual é notadamente repleto de desnecessidades certificatórias em todo canto, porém vale lembrar de dois fatores muito importantes:

  • Primeiro, o Projeto de Lei 120, que regulamentaria o RGPD em sua aplicação e execução em Portugal, foi chumbado pelo Parlamento e criticado pela própria Comissão Nacional de Proteção de Dados (CNPD). E mesmo nesse documento, que estabelecia mecanismos e normas contraditórios ao posto no RGPD, as certificações não eram uma exigência – seja para controladores de dados ou para os encarregados ou DPOs.
  • Em segundo lugar, em relação a qualquer discussão que se trave no tocante a certificações exigidas para empresas de qualquer porte, o artigo 42º do RGPD, em seu item nº3, é absolutamente direto: “a certificação é voluntária e está disponível através de um processo transparente.”

De igual maneira, estipula-se no RGPD que o encarregado da proteção de dados deva ser alguém com conhecimento e domínio das prerrogativas legais e também técnicas do disposto na norma. Em outras palavras, pode ser um advogado, um informático, mas também outro profissional qualquer. O DPO pode ser um membro da equipa existente de uma empresa, designado para tal, e pode desempenhar outras funções que não a de DPO. Finalmente, pode-se nomear um DPO terceiro, prestador de serviços.

Um pouco de cinismo

O número estarrecedor de entidades a ofertar certificações e formações de DPO na atualidade, contudo, lança uma cortina de fumaça naquilo que está disposto no regulamento. Faz parecer que certificações para o RGPD ou para assumir o papel de DPO, aqui no país das formações, são uma exigência. Novamente: “certificação NÃO é uma exigência”. Obviamente que, caso sua empresa processe dados de clientes e empregados em grande volume, deverá preferir apontar uma pessoa capaz, com conhecimento amplo em segurança da informação, aspetos jurídicos relacionados e rotinas informáticas. No entanto, tais qualificações já podem ser comprovadas por outros certificados e diplomas.

Ademais, parece pouco provável que, em tão pouco tempo, já estejamos a dispor de um sem número de instituições especializadas em uma matéria que, até então, sequer foi regulamentada de forma própria pelo Legislativo e ainda cria discussões entre aqueles que serão os responsáveis pela fiscalização e auditoria em relação à norma. Parece estranho que, se o tema ainda segue em discussão inclusive no campo das autoridades de controlo, haja quem seja capaz de certificar com tamanha precisão e certeza.

Senso comum

Por mais intricada que pareça, a legislação presente no RGPD foi originada do senso comum. São as pessoas as titulares dos dados. Empresas são os controladores dos dados que requisitam e assumem responsabilidade sobre tal. O mesmo ocorre com aqueles que os processam em nome desses controladores. Autoridades envolvidas são basicamente as mesmas que já atuavam no tema há 20 anos.

Elementos e direitos assegurados ao usuário já constavam do regime do DPD, emitido em 1995 pela Directiva 95/46/EC sobre processamento de dados pessoais. Boas práticas que constam de normas como as da família ISO 26000 também estão em linha com muito do que vemos no regulamento europeu atual.

É o momento de tranquilizar um pouco o empresariado e também os produtores de conteúdo na internet, mostrando-lhes que a adoção das novas práticas pode ser algo simples e menos custoso do que estavam a esperar.