Elsa Veloso: «Os dados são o “novo petróleo” para as empresas». E fez surgir uma nova profissão
Com o Regulamento Geral de Proteção de Dados (RGPD) europeu em vigor e a respectiva lei de execução nacional promulgada, a segurança da informação e a gestão, tratamento e privacidade de dados pessoais tornaram-se tópicos obrigatórios na agenda de qualquer organização competitiva. A verdade é que, mais do que uma obrigatoriedade na esfera legal, estes temas têm sido potenciados pela era digital e assumem agora um papel cada vez mais incontornável no posicionamento estratégico e na reputação das organizações.
Por Sandra M. Pinto
Esta nova realidade levou à criação do cargo de Encarregado de Protecção de Dados (DPO). Mas exactamente em que consiste esta nova profissão? Foi o que perguntámos a Elsa Veloso, que além de advogada, formadora e especialista em privacidade, protecção de dados e segurança de informação, é fundadora e CEO da DPO Consulting, empresa especializada área da Privacidade, Protecção de Dados e Segurança da Informação.
Com décadas de experiência profissional, como analisa as alterações da privacidade no mundo digital?
Como sendo um desafio enorme… A resposta a esta pergunta daria quase toda a entrevista, ou até mesmo para escrever um livro, diria, porque as alterações são muitas, e em muitas dimensões. Para as compreender melhor, é necessário dividi-las e categorizá-las de acordo com as suas características, pelo que começo por destacar a dimensão geopolítica e de alinhamento de blocos. De um lado temos a Europa, com leis sofisticadas, resilientes e audazes, para a qual o RGPD teve uma função muito importante na defesa da privacidade, proteção de dados e segurança da informação. Num segundo plano, e com igual nível de exigência e proteção, temos todos os países com os quais existem acordos de adequação, o que significa que a UE considera de igual valor a proteção dada nesses países específicos, como é exemplo o Luxemburgo, o Canadá ou o Japão.
Surge ainda em enquadramento um conjunto de outros países nos quais os direitos, liberdades e garantias dos cidadãos são assegurados, ou pelo menos existem algumas leis que reflectem os princípios globais de proteção, não tão exigentes como um regulamento, sendo o RGPD o mais exigente de todas as legislações. Os EUA, por exemplo, têm já algumas leis de proteção de dados, nomeadamente na Califórnia com o Califórnia Act; enfrentam, porém, uma série de fragilidades no que toca à invasão da privacidade dos titulares de dados, sobretudo no digital.
Por fim, existe a realidade dos países autocráticos. Países onde não há privacidade ou direitos, liberdades e garantias, para os seus cidadãos. Desde a China à Rússia, nestes países, com menor ou maior grau de desenvolvimento tecnológico, procedimentos como câmaras usadas para efeitos de reconhecimento facial e atribuição de números aos cidadãos são aplicados, sendo que na China temos um conhecido exemplo recente de falta de privacidade no âmbito das políticas de controlo da pandemia, para além de outros exemplos como a vigilância e o controlo permanentes em espaços públicos e nas redes sociais. Reconhecimento facial, controlo da pegada digital, sistemas de vigilância audiovisuais, são apenas alguns exemplos de mecanismos digitais que podem testar os limites da privacidade dos cidadãos e dos seus direitos, liberdades e garantias.
Da esfera geopolítica passamos para a organizacional, ou corporativa. Cada vez mais temos empresas que, pela sua dimensão, génese, volume de negócios e soberania digital, recolhem dados e informação pessoal das mais diversas formas – desde o registo de toda a nossa pegada digital e partilha de informações pessoais, à Siri que está sempre presente a ouvir-nos e a registar tudo o que verbalizamos. Diz-se que os dados são o “novo petróleo” para as empresas, e são aquelas que os têm que controlam o poder que eles geram. Marketing digital corporativo e político, campanhas de tracking e influência, são exemplos de áreas que estão cada vez mais dependentes destas informações para garantir a eficácia das suas estratégias, assentes no comportamento humano. Entre a interação de diversas lutas de interesses, há que garantir que a privacidade das pessoas, ditas “utilizadores”, é assegurada.
A terceira e última dimensão que destaco é a geracional. Cada geração tem uma relação, consciência e interação diferente com a privacidade e o mundo digital. Os ditos nativos digitais, regra geral, não têm particular percepção das repercussões de tudo aquilo que partilham online, cabendo aos pais e às instituições educacionais a importância de garantir a consciencialização das consequências inerentes à pegada digital. Existe uma faixa etária seguinte que já tem consciência que não deve partilhar, ou começa a ter consciência que não deve partilhar, tudo aquilo que faz, pensa e diz no digital. Existe ainda uma terceira geração, a partir dos 35/40 anos, que não são nativos digitais e filtram tudo o que partilham de forma a mostrarem o lado interessante, bonito, fantástico e positivo da vida porque não querem que se saiba e das outras facetas da sua vida. São estas as três grandes divisões geracionais que encaram a privacidade no mundo digital de maneira distinta.
É hoje ainda mais importante que as empresas façam uma boa gestão da sua reputação em matéria de privacidade? Porquê?
É essencial. A matéria da privacidade afecta a reputação das empresas, que cada vez mais têm essa consciência. Uma só queixa pode potenciar um escândalo e gerar danos reputacionais irreversíveis junto das mais diversas audiências e stakeholders da organização. Isto é também potenciado pelo digital, uma vez que a diversidade de canais existentes hoje representa uma nova dimensão de multiplicidade de “ecos” que espalham a informação.
A transformação digital da sociedade, potenciada ainda mais pela actual crise pandémica que atravessamos, deu azo a um um número cada vez maior de empresas a valorizar a privacidade, a protecção de dados e a segurança de informação, ao evidenciar essa importância. Com efeito, a reputação tem de ser gerida em todas as suas dimensões, e uma das dimensões importantes da gestão da reputação é, efectivamente, a matéria da privacidade, que é também um tema que tem crescido nas agendas institucionais e entre os cidadãos.
A que necessidades vem dar resposta a criação do cargo de Encarregado de Protecção de Dados/DPO?
Todo o universo de cumprimento do RGPD e de assegurar que as matérias de privacidade e protecção de dados e segurança da informação são garantidas pelas organizações. O Encarregado de Protecção de Dados, ou DPO, tem como linhas de acção designadamente as previstas no RGPD, nos artigos 37 a 39.
Qual o papel e em que consiste a função do DPO nas organizações?
Cabe ao DPO, enquanto responsável pelo aconselhamento no cumprimento do RGPD, dar explicações sobre as normas de privacidade e de conformidade com o RGPD, aconselhar a gestão de topo acerca da forma como a mesma deve a respeitar os princípios da privacidade, desde a transparência ao princípio da responsabilidade demonstrada. Compete-lhe, de igual forma, controlar a conformidade da organização em causa, distribuindo responsabilidades, promovendo a sensibilização e a formação das diferentes esferas nos recursos humanos existentes, realizando também auditorias na organização.
Também é competência do DPO prestar aconselhamento nas avaliações de impacto e controlar a sua realização – muitas organizações estão, nesta altura, a realizar avaliações de impacto para validar que todas as atividades de tratamento efetuadas estão em conformidade com o RGPD.
À medida que o DPO vai produzindo o seu trabalho e colaborando com a organização e os mais diversos stakeholders, autoridade de controlo, titulares de dados e internamente junto de toda a organização, a sua visibilidade, importância e relevância vai-se consolidando, sendo importante ressalvar que o DPO deve estar integrado num gabinete multidisciplinar, com diversas competências complementares às áreas da privacidade, da protecção de dados e da segurança de informação, reportando directamente à administração.
É uma profissão em ascensão?
Sem dúvida alguma que sim. Altamente potenciada pelo digital e por todos os desafios expostos e existentes no que diz respeito à privacidade e protecção dos dados e da segurança da informação, esta é uma nova profissão cada vez mais procurada tanto por pessoas que desejam mudar de carreira, como pessoas que já colaboram com determinada entidade e, por diversos motivos, estão a transitar para esta área em específico.
Que formação é necessária para desempenhar esta função?
Uma formação especializada e certificada, que prepare de forma segura e completa o profissional para os desafios que irá enfrentar. O DPO PRO (https://dpopro-epd.formacaoaep.eu/) é um programa que vem dar resposta a essa necessidade, abordando todas as matérias chave para preparar de forma transversal o profissional para as suas responsabilidades. O nosso próximo curso DPO PRO Update 21A, realizado em parceria com a Associação Empresarial de Portugal, está já agendado para 22 de Março 2021.
Na sua opinião, qual o perfil indicado para este novo cargo? Que competências são essenciais para desempenhar esta função?
Para além das hard skills que deverão ser desenvolvidas através de formações e especialização como a que a DPO PRO proporciona, ao nível das soft skills, é muito importante que o DPO seja alguém com uma atitude ponderada, prudente, com alguma experiência de quem já esteve em funções de liderança, que já teve contacto com administrações e com diversos perfis de gestão e recursos humanos. É também relevante que seja alguém com competências na vertente de gestão de projectos, desde a organização à comunicação. O DPO tem de ser independente e extremamente autónomo face à administração, capaz de envolver e trabalhar em equipa, gerindo e coordenando todas estas matérias dentro da organização. Alguém com maturidade e que seja capaz de analisar criticamente e de forma completa a organização à luz da especificidade do seu cargo.
Que oportunidades estão associadas a esta nova profissão?
Todas as oportunidades associadas a uma profissão emergente que, ainda para mais, é obrigatória em muitos casos de empresas e instituições portuguesas. Destaco aqui, provavelmente, a oportunidade profissional de se destacar num mercado que ainda está em crescimento e que é único e altamente especializado. Existe todo um novo mercado por preencher e um universo associado de oportunidades.
Que vantagens e benefícios traz esta função para as empresas?
De forma muito resumida, sobretudo a garantia de conformidade com legislações como o RGPD, cujo incumprimento poderá representar multas que ascendem até aos 20 milhões de Euros ou até 4% do seu volume de negócios anual a nível mundial, consoante o mais elevado. Adicionalmente, a garantia de que estão a assegurar e a proteger um dos seus activos mais valiosos: a sua reputação.
Num momento conturbado como aquele que vivemos pode ela ajudar na criação de postos de trabalho, seja pela possibilidade de mudança de área ou transição de carreira?
Esta pergunta é extremamente oportuna e vai ao encontro das oportunidades associadas a esta profissão. A resposta é claramente afirmativa e muito por conta da transformação digital que existe em curso e veio também ser reforçada pelo actual contexto pandémico em que nos encontramos, tanto ao nível das entidades públicas como privadas.
O actual domínio absoluto do digital veio potenciar esta área e o DPO apenas uma das profissões que tem criado esta possibilidade de mudança de área ou transição de carreira ao criar postos de trabalho. Data scientist, data philosopher, são apenas algumas das ocupações que já começam a ser faladas no actual contexto em que nos encontramos e da necessidade de gestão de todos os dados existentes e que diariamente são gerados.
Quais os principais desafios se colocam a esta profissão?
O principal desafio é, inquestionavelment,e o de estar permanentemente actualizado, exactamente aquilo a que pretendemos responder com o DPO PRO Update 21 https://dpopro-update21.formacaoaep.eu. Todos os dias existem novos avanços, todos os dias é necessário procurar perceber quais foram as últimas decisões dos tribunais europeus, quais foram as últimas decisões de tribunais americanos, como é que se fazem as transferências de dados com fenómenos como o Brexit, quais são os desafios do 5G e do 6G… Há todo um universo de realidades que surgem a cada dia e que têm implicações directas nas matérias de gestão da privacidade de dados e segurança da informação. O DPO tem de estar a par de tudo isto, discutir em rede todos os temas existentes, criar um círculo de contactos adequados e especializados na mesma área, para que possa garantir a constante actualização, acompanhamento e domínio de cada matéria.
Perante a evolução dos tempos e com a evolução digital que tendências identifica relativamente à privacidade e implicações práticas têm elas na vida das empresas?
Julgamos que a principal tendência é a consciência que as empresas têm tomado no que diz respeito à importância da privacidade dos dados e à segurança da informação. Este tema vai ganhando awareness e relevância nas agendas, fruto de iniciativas como o RGPD e toda a emancipação digital que tem acontecido, sendo que esta é uma realidade que difere muito de país para país, tal como já referido, e de empresa para empresa.
O digital permite, se não existir filtragem e uma forte literacia associada, uma autêntica invasão da vida das pessoas, ditas “utilizadores”. Existe ainda um longo caminho a percorrer – quantos de nós efectivamente leem as políticas de privacidade antes de aceitar a instalação de uma nova app? A resposta é assustadora. Contudo, a tendência da consciencialização para estes temas também por parte dos cidadãos tem evoluído e é necessário continuar a trabalhá-la entre todas as gerações, para que o mundo corporativo continue pressionado pela obrigação de garantir o respeito pelos dados de cada um de nós.
A “DPO Consulting”, é uma empresa que aposta na especialização em Privacidade e Protecção de Dados. Como e quando nasceu a DPO Consulting?
A DPO Consulting surge em 2016 para actuar na área da Privacidade, Protecção de Dados e Segurança da Informação, tendo uma oferta altamente especializada e com consultores com as mais conceituadas certificações entre as quais a conferida pela International Association of Privacy Professionals (IAPP), o Certified Information Privacy Professional/Europe (CIPP/E) entre outras, de modo a responder ao desafio que o Regulamento Geral de Protecção de Dados constituiu para todas as organizações empresariais e não empresariais em toda a União Europeia.
Qual é hoje a missão e filosofia seguida pela empresa?
A missão da DPO Consulting é servir os clientes de forma eficaz, eficiente, rápida e com uma excelente relação qualidade – preço, designada “value for money”. É isto que asseguramos, com princípios chave como a transparência com um enorme esforço e, portanto, a nossa missão é servir os nossos clientes para que eles consigam demonstrar a sua conformidade com todas as leis relativas à privacidade proteção de dados e segurança de informação. A nossa filosofia passa por garantirmos segurança e confiança aos nossos clientes e zelar pela sua boa reputação.