Luís Neto Galvão participa na conferência “Regulação Digital e os Desafios da Privacidade”, promovida pela Caixa Geral de Depósitos

A abertura da conferência foi assegurada pelo Presidente da Comissão Executiva da CGD, Paulo Macedo que efetuou uma breve contextualização do tema, reforçando a tutela constitucional da proteção de dados enquanto direito fundamental. Na sua intervenção, citou a frase de Peter Handke “Vivo daquilo que os outros não sabem sobre mim”, uma forma interessante de definir privacidade, salientando também a crescente utilização da Inteligência Artificial como marca da nova era digital, detendo-se no aumento recente de ciberataques, mais sofisticados e frequentes, que exploram, de forma cada vez mais profícua, as vulnerabilidades das empresas numa nova dimensão. O risco não se cinge unicamente à paralisação dos sistemas operativos, alargando-se agora à exfiltração dos dados. Destacou também a promoção de uma cultura organizacional de conformidade na CGD, assente na consciencialização, contributo e responsabilidade pessoal de todos em matéria de proteção de dados, destacando o “Guia da Proteção de Dados”, de 2021, composto por 146 perguntas e respostas, para apoiar os colaboradores. E, comprometido e zeloso com a proteção de dados de clientes e colaboradores, numa sociedade cada vez mais exigente, concluiu a sua intervenção afirmando que “A proteção de dados está no ADN da Caixa”.

Seguiu-se o I Painel “RGPD – Balanço, Impactos e Perspetivas” moderado pelo Prof. Luís Antunes, da Faculdade de Ciências da Universidade do Porto, que enquadrou o tema, destacando a alteração de paradigma da heterorregulação para a autorregulação, em que os DPO são a “CNPD” dentro das organizações, pretendendo significar que a intervenção do DPO é a de monitorização da conformidade da responsabilidade das empresas, devendo a posição do DPO, enquanto autoridade administrativa, ser formalmente traduzida no organograma das empresas e garantida a independência ao DPO no exercício das suas funções, reportando ao mais alto nível dentro das empresas. Neste painel foram evidenciadas vantagens e desvantagens do DPO as a service e os desafios e impactos sentidos aquando da implementação do RGPD nas instituições. O conhecimento da organização, a importância da sensibilização dos colaboradores e os principais requisitos inovadores do RGPD (v.g. avaliação de impacto sobre a proteção de dados – DPIA) são aspetos da abordagem baseada no risco presente no ciclo de gestão da proteção de dados. Como prioridade de atuação para 2023, foi unanimemente assinalada a formação dinâmica de colaboradores e stakeholders, para fazer face, novamente, a acrescida vaga de ciberataques.

O II Painel, moderado por Arlindo Oliveira, Administrador Não Executivo da Caixa Geral de Depósitos, versou sobre “Modelos de Negócio e Inteligência Artificial: Utilização, Ética e Responsabilidade”, em que se abordaram as temáticas relativas à gestão do risco, à minimização dos dados e da utilização de dados pessoais nos sistemas, com destaque para a privacidade diferencial enquanto “abordagem” para corrigir os vieses resultantes da utilização da IA. Foi referida a importância do privacy by design (prevenir os riscos tecnológico, jurídico e reputacional de incumprimento do RGPD) pois permite identificar, desde logo, a necessidade de realização de uma avaliação de impacto sobre a proteção de dados (DPIA), assegurar uma gestão eficiente dos recursos humanos e financeiros (clever compliance a que se referiu Paulo Moita Macedo na sua intervenção inicial) no sentido em que pensar nos sistemas de raiz com a proteção de dados envolvida é garantia de conformidade.

O III e último Painel “Riscos e oportunidades. Como nos estamos a preparar?” contou - antes da intervenção de Luís Neto Galvão já referida - com uma apresentação da DPO da CGD, Cristina Máximo dos Santos. Em sua opinião, o balanço a fazer é o de que o RGPD não precisa de atualização, mas carece ainda de enforcement. Destacou o relatório de avaliação do RGPD efetuado pela Comissão Europeia que considera ter alcançado todos os objetivos, atribuindo aos cidadãos o controlo dos seus dados pessoais e um conjunto robusto de direitos oponíveis, um sistema de governo e aplicação, com a criação do Comité Europeu para a Proteção de Dados, que tem vindo a emitir Orientações e Decisões Vinculativas. Os desafios atuais da privacidade passam pelo conjunto de instrumentos jurídicos europeus em preparação que consagram requisitos específicos de proteção de dados, além dos do RGPD: resiliência operacional digital do setor financeiro (DORA), meios e serviços de pagamento, crédito ao consumidor, prevenção de branqueamento de capitais/combate ao financiamento do terrorismo. As Políticas públicas europeias relativas à inteligência artificial, ao mercado dos dados, da governação de dados, dos mercados digitais, dos serviços digitais e da interoperabilidade são um outro conjunto de desafios atuais tendo no centro a proteção de dados pessoais. Enfrentar estes desafios só com trabalho de equipa e com a cultura organizacional de conformidade de todos os intervenientes.

João Tudela Martins, Chief Risk Officer da CGD, encerrou a conferência salientando a abrangência da proteção de dados, nomeadamente nas vertentes comercial, legal e analítica. Partilhou a preocupação acrescida com a clássica gestão do risco, de que os dados pessoais são uma inovação a considerar, lembrando o desafio extra das geografias do Grupo CGD quanto à matéria da proteção de dados. Focado em “Olhar para a frente”, mantendo uma cultura organizacional de conformidade customer centric na proteção de dados, com grande ímpeto na formação de todos os intervenientes.