Seguros para DPO? Sim, mas a procura ainda é escassa

O IT Channel conversou com Fernando Ferreira, administrador da corretora de seguros Luso-Atlântica, sobre os desafios que a função definida pelo Regulamento Geral de Proteção de Dados (RGPD) enfrenta, e sobre a importância de existir um seguro especialmente dirigido a quem assuma o papel de Encarregado de Proteção de Dados - ou Data Protection Officer (DPO), em inglês.

Sobre como se processa a procura de um seguro específico para esta atividade, Fernando Ferreira admite que essa procura é “escassa” e que a corretora tem “tentado despertar para a necessidade, que é evidente”, de os DPO poderem contar com um seguro adaptado às suas necessidades.

A escassez da procura acompanha a escassez de DPO

Desde agosto que as funções do DPO estão enquadradas na lei portuguesa, adaptada da norma europeia, e que uma fatia do tecido empresarial português e administração pública são obrigados a contratar ou delegar essa função a um responsável competente. A importância atual e (sobretudo) futura dessa figura para as empresas não passou ao lado da Luso-Atlântica ou da Innovarisk e assim surgiu aquele que é um dos primeiros seguros especificamente dirigidos a DPO em Portugal.

O Data Protection Officer não tem pouco em mãos: a moldura penal, no(s) caso(s) em que é o DPO a figura a responsabilizar por uma violação de dados, acompanha a importância da função, e custa caro a quem errar.

“O que temos verificado é que nas grandes empresas e nas mais informadas existe a preocupação na definição de modelos de atuação que garantam o compliance com a legislação recentemente publicada. Já relativamente às PME, é nosso entendimento que ainda há muito trabalho de sensibilização a desenvolver”, refere o administrador da Luso-Atlântica.

Ao mesmo tempo, tem-se verificado que “os cursos de preparação e formação de DPO têm tido sucesso, sendo bastante frequentes e concorridos”, sendo este “talvez o melhor indicador da preocupação que gradualmente se sente nas empresas para a necessidade de salvaguardar todas as questões relacionadas com o RGPD”.

“Estes mesmos formandos deverão também ser, junto das empresas com que colaboram e contactam, os principais sensibilizadores da importância e dignificação da função para a qual foram preparados”, acrescenta. A ideia de se criar um seguro dirigido aos Encarregados de Proteção de Dados surgiu com uma necessidade da própria Luso-Atlântica: no âmbito do RGPD, “percecionámos a responsabilidade associada não só nossa enquanto empresa, mas também do responsável por garantir o correto funcionamento e implementação do projeto que tínhamos em curso”. “Foi exatamente esta preocupação - com o nosso DPO - que nos levou a procurar e pensar soluções de proteção para a função específica que estávamos a preparar”, refere Fernando Ferreira. Assim, em Parceria com a Innovarisk, surge um “produto de responsabilidade civil profissional, devidamente enquadrado com o artigo 39.º do RGPD (Funções do encarregado de proteção de dados)”, dirigido tanto a DPO externos como internos e que, acrescenta o administrador, “em caso de particularidades específicas é de fácil personalização”. A divulgação tem sido feita junto da base de clientes da corretora de seguros e, para já, não existem quaisquer outras entidades “Parceiras” deste serviço além dos criadores Luso-Atlântica e Innovarisk.

Admitindo uma adesão “escassa” ao serviço, Fernando Ferreira lembra que “a certificação da profissão/atividade, a vir a acontecer, será com certeza o fator de credibilização que se deseja”. A adequação portuguesa ao Regulamento Geral de Proteção de Dados não pede certificação profissional para se exercer a atividade de DPO - a norma europeia original clarifica que “a certificação é voluntária” e a decisão de a proporcionar cabe a cada estado membro –, aconselhando apenas alguns conhecimentos necessários a essa função.