[weglot_switcher]

Mafalda Duarte, Data Protection Officer da Liberty Seguros: “Ser DPO no universo dos seguros é um enorme desafio”

Mafalda Duarte, Data Protection Officer da Liberty Seguros, abordou para o “Jornal Económico” o papel de um DPO no setor dos seguros. Entra hoje em vigor o novo Regulamento Geral de Proteção de Dados.
25 Maio 2018, 09h00

O DPO surge na sequência da entrada em vigor do RGPD. Resumidamente no que consiste este regulamento?

O Regulamento Geral de Proteção de Dados (RGPD) surge pela necessidade de atualizar a Diretiva 95/46/CE que regulava a matéria da proteção de dados na União Europeia e que o próprio RGPD revoga. A Diretiva já tinha mais de vinte anos, ao longo dos quais o mundo mudou muito, sobretudo pela utilização massiva da Internet e das redes sociais. Nunca como agora se partilharam tantos dados pessoais, nem nunca antes estes dados atingiram o valor que hoje têm, sendo mesmo considerados por muitos como o “ouro” da nossa era.

Neste contexto, tornou-se necessário um instrumento legal que pudesse ser mais eficaz na proteção dos cidadãos, titulares dos dados, e que ao mesmo tempo garantisse uma maior uniformização da legislação comunitária aplicável – o que justifica a opção por um Regulamento que não necessita de transposição para as legislações nacionais, por contraposição com a Diretiva.

As obrigações para todos os que tratam dados pessoais (responsáveis pelo tratamento), empresas e serviços de sociedade de informação incluídas, aumentaram com o respetivo reforço dos direitos dos titulares dos dados. A título de exemplo, os responsáveis pelo tratamento dos dados passam a ter de notificar a autoridade nacional de controlo caso ocorra uma situação de violação de dados pessoais, tendo em alguns casos de notificar os próprios titulares dos dados.

O desafio de adaptação para as empresas é efetivamente grande e torna-se ainda maior se pensarmos que o RGPD prevê também um agravamento significativo dos valores das coimas a aplicar aos responsáveis pelo tratamento que passaram de cerca de 30 000,00€ para empresas, para sanções que podem ir até aos 20 milhões de euros ou 4% do volume de negócios anual a nível mundial, consoante o que for mais elevado.

O que vai mudar no setor segurador com o RGPD?

São várias as mudanças que o RGPD vem impor a todo o mercado e ao setor segurador em concreto, seja, por exemplo, a nível da nomeação em determinadas circunstâncias de um DPO, seja a elaboração de avaliações de impacto sobre a proteção de dados.

Mais do que um maior número de obrigações ou procedimentos, a alteração mais significativa é a mudança de paradigma no tratamento de dados pessoais, no sentido de uma maior responsabilização das empresas pelos dados que tratam e pela sua segurança, obrigando a que a proteção e privacidade dos dados seja pensada em todos os momentos do negócio com aplicação do princípio da privacy by design and by default (desde o início e ao longo de todo o processo).

Também especificamente para o setor segurador, uma das principais alterações está relacionada com a necessidade de obter o consentimento para o tratamento dos dados por parte do respetivo titular dos dados. Passa a ser necessário, numa multiplicidade de situações, obter de cada indivíduo o consentimento expresso para que seja possível proceder ao tratamento da sua informação pessoal.

Neste momento e numa fase em que ainda aguardamos pela legislação nacional que vem regulamentar áreas em que o próprio RGPD permite essa intervenção, o consentimento – necessário nomeadamente para o tratamento dos dados de saúde – está na ordem do dia das preocupações do setor segurador.

Porque levou à criação de um DPO?

A nomeação de um Data Protection Officer (DPO) é obrigatória nomeadamente quando haja uma situação de tratamento de dados pessoais em grande escala e de forma sistemática, como é o caso das seguradoras.

O porquê da criação do DPO estará intimamente ligado a todo o carácter de proteção que o RGPD quer conferir aos titulares dos dados. Ao querer voltar a dar aos titulares dos dados o controlo sobre a utilização que é feita dos seus dados, o aparecimento desta figura – que nas organizações surge como garante da proteção de dados -, era inevitável. É ao DPO que compete controlar a conformidade da atuação da empresa com o RGPD, ao mesmo tempo que deve informar e aconselhar a empresa sobre o RGPD.

No fundo, é o guardião dos dados e é a ele que o RGPD confia a tarefa de garantir que a privacidade é pensada e acautelada em todo o processo de negócio.

Tanto assim é que, mesmo que a figura do DPO não seja obrigatória, a sua designação é já considerada uma best practice ao nível da implementação do RGPP.

O que é um DPO e quais são as suas funções no dia-a-dia?

O DPO é uma figura híbrida, com conhecimentos de direito e de informática e naturalmente também ao nível da proteção de dados, e cuja principal função é garantir a conformidade dos procedimentos da empresa com os requisitos do RGPD. Nesse sentido, deve ser envolvido atempadamente pela empresa em todas as questões relacionadas com a proteção de dados.

As suas funções numa empresa são, tal como está indicado no RGPD:

  • Informar e aconselhar a organização e os seus colaboradores sobre as suas obrigações de proteção de dados no âmbito do RGPD;
  • Monitorizar a conformidade da organização com as políticas e procedimentos de proteção de dados visados no RGPD, que incluem a monitorização da atribuição de responsabilidades, formação de consciencialização e formação da equipa envolvida nas operações de processamento e auditorias;
  • Aconselhar sobre a necessidade de avaliações de impacto de proteção de dados, a maneira da sua implementação e resultados;
  • Servir como ponto de contacto para as autoridades de proteção de dados para todos os problemas de proteção de dados, incluindo relatórios de violação de dados e
  • Servir como ponto de contato para indivíduos (titulares de dados) em questões de privacidade, incluindo solicitações de acesso ao assunto.

Acima de tudo, deve ser um especialista na proteção de dados e conhecedor do negócio de modo a acautelar a privacidade e a proteção dos dados pessoais na empresa onde se insira.

Que formação é preciso ter para exercer esta função?

O nível necessário de competências não é definido no RGPD de forma rigorosa, no entanto, deve estar em sintonia com a sensibilidade, a complexidade e a quantidade de dados tratados pela organização. Por exemplo, se a atividade de tratamento de dados for particularmente complexa, ou se estiver em causa uma grande quantidade de dados sensíveis, o DPO poderá necessitar de um nível de competências e de apoio mais elevado. Outra variação depende do facto de a organização transferir sistematicamente os dados pessoais para fora da União Europeia ou de estas transferências serem ocasionais. Neste sentido, o DPO deve ser escolhido de forma criteriosa, tendo devidamente em conta as questões de proteção de dados suscitadas no âmbito da organização.

Dito isto, na Liberty Seguros optou-se por alguém com formação em direito, com conhecimentos do negócio, numa linha de continuidade com o que já se fazia no âmbito da anterior legislação de proteção de dados. Isto porque em geral e nas unidades de negócio localizadas na Europa, se designaram como DPOs aqueles que já trabalhavam e estudavam a matéria dos dados pessoais há já longos anos e que, no fundo, já assumiam a função de guardiões dos dados e da privacidade dentro da empresa, mesmo antes do RGPD. Para nós foi essencialmente uma designação assente numa solução de continuidade, com a vantagem de se compreender melhor o fundamento e a essência do surgimento de algumas obrigações e procedimentos do RGPD.
Podendo ser escolhido no seio da equipa, acumula funções ou deve só tratar destas matérias?

O RGPD prevê que o DPO possa acumular outras funções e atribuições desde que tal não resulte num conflito de interesses. Avaliar se há ou não um conflito de interesses pode ser algo mais subjetivo, mas essencialmente haverá um conflito de interesses se o DPO estiver numa posição em que possa em simultâneo decidir sobre o negócio e sobre o tratamento de dados. Será o caso de funções como Diretor Comercial ou Diretor de Marketing.

Mas no essencial pode acumular funções e na Liberty Seguros acumula com o exercício de funções no Gabinete Jurídico & Compliance.

 

O que é ser DPO no universo dos seguros?

É um enorme desafio. É preocupar-se com consentimentos, dados sensíveis, procedimentos, regras, prazos, obrigações, informações, transferências internacionais de dados, clouds, prestadores, subcontratantes e toda uma multiplicidade sem fim de situações que têm de ser devidamente acauteladas.

Ao mesmo tempo é uma oportunidade de ajudar a garantir que a empresa protege os dados de todos aqueles que nela confiaram e de demonstrarmos que fazemos bem o nosso negócio e que nos preocupamos em proteger a matéria-prima dos seguros: os dados pessoais.


13h43

Reabilitação urbana sobe 1,4% em março, mas revela tendência de “abrandamento”

13h30

Madeira: Iniciativa Liberal critica “loucura fiscal” do Estado que penaliza quem trabalha

13h24

Corte nos juros deixa poucos depósitos com retornos acima da inflação

13h07

ByteDance garante não ter planos para vender TikTok apesar de ultimato dos EUA

13h03

China e EUA “deveriam ser parceiros, não rivais”, diz Xi Jinping

12h41

Alphabet vai pagar dividendos e anuncia recompra de ações de 65,2 mil milhões de euros

12h37

Bolsa de Lisboa segue em terreno positivo. Mota-Engil soma mais de 3%

RECOMENDADO

Copyright © Jornal Económico. Todos os direitos reservados.