QuiosqueAnteriorSeguinte

Destaque Regulamento Geral de Protecção de Dados

O encarregado de protecção de dados

O Regulamento Geral de Protecção de Dados (RGPD), em vigor a partir de 25 de Maio de 2018, fornecerá um quadro de conformidade modernizado para a protecção de dados pessoais na Comunidade Europeia1, representando também a abertura de novos desafios e horizontes profissionais para a Advocacia.

Para responder adequadamente à nova legislação e às obrigações relevantes do RGPD, as organizações terão de implementar um conjunto novo de procedimentos internos, destinados a endereçar e fomentar a correta aplicação deste normativo, regulando temas como a avaliação de impacto da protecção de dados, a forma de promover a protecção de dados desde a concepção e por defeito, o direito ao esquecimento, o direito à portabilidade, o registo de actividade de tratamento de dados e a gestão de entidades subcontratadas, entre outros.

Estas tarefas (ou a assessoria às mesmas) e o seu acompanhamento após implementação deverão ser cometidos a um encarregado de protecção de dados [Data Protection Officer, em inglês (DPO)], a nova figura2 que emerge do RGPD.

O DPO deve obrigatoriamente ser nomeado pelas organizações (artigo 37.º, n.º 1, do RGPD) nas seguintes situações: quando o tratamento de dados seja levado a cabo por entidades públicas (excepto Tribunais); quando a actividade principal3 do responsável pelo tratamento (ou do subcontratante) passe por controlo de pessoas em grande escala, de forma sistemática, e quando a atividade principal do responsável pelo tratamento for o tratamento em larga escala de categorias especiais de dados (artigo 9.º do RGPD) e de dados pessoais relacionados com condenações penais e infracções (artigo 10.º do RGPD). Nos restantes casos a nomeação de um DPO é facultativa, sendo certo que essa opção se mostra bastante recomendável para muitas organizações e grupos empresariais.

1. Capacidade para as funções e recursos do DPO
O DPO deve ter como principal função permitir o cumprimento do RGPD, desempenhando um papel determinante na promoção de uma cultura de protecção de dados no seio da organização. Assim, deverá ser nomeado com base nas suas qualidades pessoais (como a integridade e um elevado nível de ética, de acordo com o G29), nas suas qualidades profissionais, em especial nos seus conhecimentos especializados no domínio do Direito e das práticas de protecção de dados, bem como na sua capacidade para desempenhar as funções referidas no artigo 39.º (artigo 37.º/5 do RGPD)4 5. Ao DPO devem ser oferecidas condições adequadas de trabalho.

O artigo 38.º, n.º 2, do RGPD exige que o responsável pelo tratamento e o subcontratante apoie o DPO no exercício das funções, fornecendo-lhe os recursos necessários ao seu bom desempenho e à manutenção dos seus conhecimentos. Em particular, o G29 refere a crucial necessidade de dedicar tempo suficiente às funções de DPO, recomendando a boa prática de definir claramente a percentagem do tempo alocada ao exercício das funções e o nível adequado de prioridade das suas atribuições. Esta definição é particularmente relevante se as funções do DPO estiverem a ser exercidas em tempo parcial ou por uma entidade externa, que as exerce em complemento de outras atribuições. Evitam-se, assim, conflitos de prioridade no exercício das funções do DPO.

2. Autonomia e independência do DPO
A função do DPO não é operacional, mas sim a monitorização constante da conformidade e a assessoria ao negócio da organização em que se insere ou assessoria. E este papel deve ser desempenhado de forma autónoma e independente, tal como referido pelo artigo 38.º/3, que estabelece algumas garantias básicas para assegurar que o DPO possa trabalhar nessas condições.

Assim, seja qual for a opção de nomeação, interna ou externa, a organização não pode dar instruções ao DPO sobre a forma de desempenhar a sua função. Por outro lado, o DPO não pode ser destituído nem penalizado pelo facto de emitir o seu parecer acima de quaisquer conflitos de interesses que ocorram dentro do negócio. Aqui, o “grupo do artigo 29 para a protecção de dados” (G29) faz a ressalva que quanto mais estável for o contrato do DPO e quanto mais garantias existirem contra a destituição abusiva, melhor se cumprirá esta obrigação de independência.

3. Os conflitos de interesses
Os DPO podem exercer outras funções na (e para a) organização, mas o artigo 38.º/6 exige que essas funções não resultem num conflito de interesses. Esta ausência de conflito resulta diretamente da independência e autonomia que os DPO devem salvaguardar em relação à entidade que representam.

Como forma de evitar conflitos de interesse com as funções, o G29 proíbe os DPO de exercerem cargos dentro da organização que os levem a determinar as finalidades e os meios de tratamento dos dados pessoais. Nestes termos, o DPO não pode ser nomeado dentro dos cargos de gestão superiores da empresa, tais como o de director executivo, director de operações, director financeiro, director dos serviços médicos, director de marketing, director de recursos humanos e director informático.

Por outro lado, é aconselhável, por motivos de clareza jurídica e ditames de boa organização, que os responsáveis pelo tratamento de dados definam regras internas e salvaguardas suficientemente precisas para evitar os conflitos de interesses, que podem assumir contornos diferentes conforme o vínculo laboral do DPO enquanto colaborador externo ou interno.

Com interesse para os Advogados, chama-se em particular a atenção para a necessidade de acautelar conflitos de interesses resultantes de o responsável pelo cargo ser chamado a representar a organização em Tribunal em processos relacionados com o tratamento dos dados.

4. Contratação externa - Considerações
As organizações responsáveis pelo tratamento, ou os subcontratantes, podem optar por nomear o DPO de entre os elementos do seu pessoal ou celebrar um contrato de prestação de serviços fora do âmbito da organização (outsourcing), designando assim um DPO externo.

A contratação de um DPO externo tem algumas vantagens importantes. Antes de mais, permite com maior facilidade assegurar a independência e isenção da actividade do DPO. Este profissional, por contraposição a um colaborador interno, terá total independência em relação à organização ou grupo para o qual presta os seus serviços, estando assim muito mais alheado do negócio e imune às pressões internas e económicas que podem resultar dos seus pareceres, das recomendações ou das práticas que se proponha implementar.

Por outro lado, a enorme falta de quadros que já se encontrem preparados para exercer as funções de DPO dentro das empresas, funções que exigem o total domínio da legislação em causa, levará a que as organizações tenham reais vantagens em escolher profissionais qualificados no mercado externo, poupando assim tempo e dinheiro a providenciar a necessária formação dos colaboradores.

Estas têm sido as razões mais apontadas para a opção pela contratação externa, estando as empresas a recorrer à prestação de serviços de Advogados ou outras entidades especializadas em direito da proteção de dados.

Por outro lado, como argumentos contra o recurso à prestação de serviços, tem-se apontado principalmente a possibilidade de o DPO representar outras entidades do setor, o que pode suscitar questões de segurança e privacidade, e a possibilidade (não será a regra) de existir uma relação de grande proximidade e quase dependência entre o DPO externo e a entidade responsável pelo tratamento, que pode contender com as já referidas características de independência e isenção da actividade do DPO.

Seja qual for a opção, o número de novos profissionais necessários para suprir as carências das empresas é bastante significativo. Devido ao escopo extraterritorial do regulamento, só para a UE e os EUA estima-se que o número de DPO necessários ultrapassará 28 mil novos profissionais em 2018. E, a nível mundial, a entrada em vigor do RGPD implicará um número de DPO superior a 75 mil novos profissionais. Por último, dentro deste âmbito internacional, chamamos a atenção para a obrigação do artigo 27.º do RGPD, que obriga a que as empresas internacionais que tratem dados na UE contratem um DPO do país (ou de um dos países) de onde são provenientes os dados tratados.
Texto Elsa Mariano


1 O RGPD, por força do seu alcance extraterritorial, para além de obrigatório para os Estados membros da UE, será também obrigatório para todas as empresas que exerçam actividade na Comunidade, independentemente da sua origem (neste campo merece uma especial atenção o caso das empresas norte-americanas, pelo volume de negócios, e o Reino Unido pós-brexit).
2 Esta figura não é recente, aparece na Directiva n.º 95/46/CE, do Parlamento Europeu e do Conselho, de 24 de Outubro de 1995, mas a sua aplicação era facultativa.
3 Entende-se por “actividade principal” aquelas operações essenciais para alcançar os objectivos do responsável pelo tratamento ou do subcontratante (v. g., o tratamento dos dados relativos à saúde dos seus utentes é considerado uma das actividades principais de qualquer hospital).
4 De acordo com o artigo 39.º, os deveres de um DPO são amplos e incluem tarefas como: controlar a conformidade das políticas do responsável pelo tratamento, ou do subcontratante, relativas à protecção de dados pessoais com o RGPD e com outras disposições de protecção de dados da União ou dos Estados membros; prestar assessoria na condução de avaliações de impacto da protecção de dados; informar a entidade e o seu empregador sobre as obrigações legais de protecção de dados e cooperar com as autoridades de supervisão, e ser o ponto de contacto para estas autoridades sobre todas as questões relacionadas com o tratamento de dados na organização que representa. O DPO deve ainda ser convidado regularmente a participar das reuniões com as chefias ou administração da organização e também deve estar facilmente acessível a todos dentro da organização, de acordo com os esclarecimentos do “grupo do artigo 29 para a protecção de dados” (G29).
5 Os grupos de empresas podem nomear apenas um DPO para todas as suas organizações, desde que este profissional “seja facilmente acessível a partir de cada estabelecimento”. Nestes casos é necessário garantir a fácil comunicação e a disponibilidade do DPO, quer fisicamente, quer mediante uma linha directa ou outros meios de comunicação, e o responsável pelo tratamento ou o subcontratante deve assegurar-se de que o DPO (com a ajuda de uma equipa, se necessário) possa cumprir as suas funções de forma eficiente, apesar de ter sido nomeado para várias organizações em simultâneo.