É hoje um facto sobejamente conhecido que a partir do próximo dia 25 de maio de 2018 o Regulamento Geral sobre a Proteção de Dados (RGPD) será plenamente aplicável. É também de conhecimento geral que este Regulamento, entre outras novidades, fez nascer no ordenamento jurídico Europeu uma nova figura: o Encarregado de Proteção de Dados (como é denominado na versão Portuguesa do RGPD) ou Data Protection Officer (DPO). Em boa verdade, a novidade não é absoluta, na medida em que a figura já constava, ainda que em moldes diversos, da legislação interna de alguns Estados Membros, mas não em Portugal nem na grande maioria dos Estados Membros.
A figura do DPO vem prevista e regulada nos artigos 37.º e seguintes do RGPD, sendo que a sua designação por parte das empresas será, consoante as circunstâncias, obrigatória ou facultativa.
O artigo 37.º do RGPD elenca, no seu nº 1, os casos em que a designação de DPO é obrigatória. Resumidamente, esta obrigatoriedade verifica-se nas situações em que o tratamento de dados seja levado a cabo por entidades públicas (exceto tribunais) ou quando a atividade principal do responsável pelo tratamento ou do subcontratante passe por operações de tratamento em que, em virtude da sua natureza, âmbito ou natureza, seja exigível um controlo regular e sistemático dos dados em grande escala, ou ainda quando a atividade principal do responsável pelo tratamento ou do subcontratante consista em operações de tratamento, em larga escala, de categorias especiais de dados (art.º 9º RGPD) e de dados pessoais relacionados com condenações penais e infrações (art.º 10 RGPD). Nos restantes casos, é facultativa a opção de nomeação de um DPO, a qual, no entanto, será altamente recomendável para muitas empresas e grupos empresariais.
Sempre que seja obrigatório designar um DPO ou quando as empresas optem por fazê-lo mesmo não estando obrigadas a tal, suscita-se a questão da sua origem, isto é, se o DPO deve ser alguém integrado na estrutura da empresa ou, em sentido contrário, se deve ser um agente externo, contratado para o efeito numa ótica de “DPO as a service”. Por outras palavras, e conforme decorre do nº 6 do artigo nº 37º do RGPD, a questão que se coloca prende-se com a com a escolha por um DPO que seja um colaborador interno ou um DPO consultor externo, no âmbito de um serviço contratado, ou seja, em regime de outsourcing.
A contratação de um DPO externo tem diversas vantagens, entre as quais se destacam duas: a absoluta independência da pessoa ou entidade designada em relação à empresa ou grupo empresarial onde venha a exercer a referida função, assim como os conhecimentos privilegiados que essa pessoa deverá ter em matéria de direito de proteção de dados e respetivas práticas (isto porque se presume que quem contrate um profissional especificamente para a prestação de serviços de DPO opte por contratar um especialista).
O DPO externo será, por norma, alheio a pressões internas que possam surgir no seio da empresa ou grupo onde preste os seus serviços e estará economicamente descomprometido em relação a quaisquer resultados financeiros, pelo que será uma pessoa desinteressada no que se refere a eventuais impactos negativos que possam advir das recomendações ou práticas que proponha implementar.
Por outro lado, e de harmonia com o disposto no nº 5 do art.º 37º do RGPD, constata-se que o perfil do DPO corresponde a uma pessoa especializada, com conhecimentos em Direito de Proteção de Dados e capacidade para desempenhar as funções elencadas no artigo 39º do RGPD. Simultaneamente, verifica-se que, na generalidade das empresas que compõe o tecido empresarial português, não é muito comum que os respetivos departamentos jurídicos integrem profissionais com conhecimentos específicos na área em apreço. Em sentido contrário, identificada a necessidade de designação de um DPO (independentemente de ser no âmbito da obrigação legal vertida no nº 1 do art.º 37.º do RGPD ou da mera conveniência/necessidade da empresa ou grupo em causa), recorre-se a advogados, sociedades de advogados ou outras entidades especializadas em Direito da Proteção de Dados.
Outo dos méritos da opção pela contratação de um DPO em regime de outsourcing passa pelo facto de a empresa que recorre aos serviços do DPO externo não ter de suportar quaisquer encargos ou riscos a dar formação a um dos seus empregados para desempenhar as funções em causa ou, alternativamente, a contratar alguém para vir a integrar os seus quadros especificamente para o mesmo efeito. Na maior parte dos casos, nem se justificará que o DPO exerça as funções que lhe sejam atribuídas em regime de horário completo. Desta forma, a opção pela contratação de uma avença que compreenda um banco de horas adequado à concreta estrutura empresarial em causa poderá, com grande probabilidade, vir a ser a solução mais económica, eficiente e segura, na medida em que servirá para dotar a empresa/grupo de um profissional/equipa de profissionais, especializados na área da Proteção de dados pessoais, que desempenham as suas funções de modo independente e desinteressado.
João Peixe – Associado
Francisco Branco Pardal – Associado Júnior