RGPD com decência e decoro

Qual a questão que neste momento é mais relevante para a conformidade RGPD? Sem dúvida que o tema DPO tem toda a centralidade, mas ao verificar um largo debate acerca da independência do DPO interrogo-me se neste momento não é muito mais relevante analisar a problemática da competência do DPO.

Tenho enorme curiosidade sobre qual será a coima aplicada pelas autoridades de controlo sobre infrações relativas à falta de competência dos encarregados de proteção de dados. Sobretudo, quando constatamos numerosos casos em que organizações, dos mais diversos tipos e dimensões, nomeiam DPOs que não correspondem minimamente às competências exigidas por lei.

Face ao que julgo ser uma prática muito frequente de nomear DPOs sem as necessárias competências, julgo que é de estranhar a inexistência de uma única coima sobre esta questão. Sobretudo, porque é uma realidade de fácil verificação.

Tenho acompanhado o interesse que os membros da IAPP têm dedicado ao Webinar, “The Role of the DPO One Year Into the GDPR” e do artigo “The DPO must be independent, but how?” de Dyann Heward-Mills (CIPP/E, CIPP/US, CIPM) que pode ser visto aqui.

Percebo a importância em frisar que a coima associada a não se nomear um DPO quando existe essa obrigação pode ascender a 10 milhões de euros ou 2% da receita anual global, conforme o mais elevado.

Percebo a necessidade de sublinhar que o DPO tem autonomia técnica, não recebendo instruções relativas ao exercício das suas funções e que nunca é demais enfatizar a importância da estabilidade do vínculo contratual do DPO para que possa aconselhar e fiscalizar de forma livre e adequada.

Não é de estranhar que neste novo paradigma de proteção de dados de autorregulação (em que saímos de uma situação de hétero regulação) o DPO seja a principal fonte de conformidade e que o debate sobre proteção de dados recaia sobretudo sobre as funções do DPO e a forma de exercício dessa atividade.

Não me custa a perceber que as coimas relativas ao DPO não surjam no mapa dos casos mais notáveis.

Mas já me custa perceber que não haja notícia de uma única coima relativa à nomeação de DPO que não tenha respeitado os requisitos legais, até porque há numerosos casos e não é possível esconder essa realidade.

O que me custa a perceber é a pouca importância que tem vindo a ser dada à questão da competência do DPO quando este parece-me ser o problema que, na atualidade, mais atinge a conformidade com o RGPD.

Mas tenho esperança que a questão da competência do DPO venha, no curto prazo, a adquirir uma nova relevância e que as nomeações de DPOs venham a ter um mínimo de decência, um mínimo de decoro.

A criação da Federação Europeia de DPO’s (EFDPO) pode vir a contribuir neste sentido.

Mas, coloco especial esperança no II Encontro Nacional dos Profissionais de Proteção e Segurança de dados (aqui) e designadamente no painel subordinado ao tema “O DPO do Século XXI”.

Cabe-nos, como profissionais da Proteção de Dados, dignificar a profissão e contribuir para que, no mínimo, a lei seja respeitada. O que se passa atualmente é chocante e alguma coisa tem que ser feita.

Apela-se a um mínimo de decência e decoro.