Falta pouco menos de 1 ano para a aplicação do novo Regulamento Geral sobre a Proteção de Dados (RGPD) e, sem prejuízo do mediatismo à volta do tema, é notório que muitas empresas e particulares continuam sem ter noção das grandes implicações e alterações que tal diploma vai ter no panorama dos dados pessoais e no modo como desenvolvem o seu negócio (no caso das empresas) e dos seus direitos (no caso dos particulares).
Uma das “novidades” trazidas pelo RGPD é a figura do Encarregado de Proteção de Dados, ou, como é comummente designado o Data Protection Officer (doravante designado por DPO).
Um DPO é uma pessoa (quer seja um colaborador interno ou consultor externo) ao qual é atribuída a responsabilidade formal de assegurar que a empresa que o contrata está devidamente compliant com as regras da proteção de dados. Apesar de esta figura não ser uma inovação do RGPD e já ser uma realidade em alguns países como é o caso da Alemanha e da Suécia, o RGPD traz alterações significantes e que podem levar a que uma empresa tenha obrigatoriamente de designar um DPO para assegurar o cumprimento das novas regras em matéria de proteção de dados pessoais.
Em termos gerais, o DPO será alguém dentro de uma empresa com capacidade para informar, aconselhar e orientar a direção da empresa bem como os seus trabalhadores a respeito das obrigações constantes do RGPD, assim como das outras disposições de proteção de dados em vigor na UE e noutros Estados Membros (como a iminente nova Diretiva em matéria de EPrivacy), servindo ainda como o ponto de contacto da empresa com a autoridade de controlo nacional, que, em Portugal, ao que tudo indica, deverá continuar a ser a Comissão Nacional de Proteção de Dados.
Nos termos do artigo 37.º do RGPD, deverá ser designado um DPO quando:
1. O tratamento for efetuado por uma autoridade ou um organismo público, excetuando os tribunais no exercício da sua função jurisdicional;
2. As atividades principais do responsável pelo tratamento ou do subcontratante consistam em operações de tratamento que, devido à sua natureza, âmbito e/ou finalidade, exijam um controlo regular e sistemático dos titulares dos dados em grande escala; ou
3. As atividades principais do responsável pelo tratamento ou do subcontratante consistam em operações de tratamento em grande escala de categorias especiais de dados nos termos do artigo 9.º e de dados pessoais relacionados com condenações penais e infrações a que se refere o artigo 10.º
Os casos referidos são os casos em que é obrigatório nos termos do RGPD designar um DPO, não obstante, caberá a cada empresa aconselhar-se e ponderar se deverá ou não designar um DPO, tendo em conta que todas as orientações sobre esta matéria até à presente data dão a entender que todas as empresas que procedam ao tratamento de dados pessoais devem voluntariamente designar um DPO.
Ainda que após a ponderação referida, a empresa chegue à conclusão que não necessita de designar um DPO, é aconselhável que a empresa tenha um registo, onde justifique fundamentadamente todos os fatores que ditaram a não designação de um DPO. Assim, a empresa assegura em certa medida que está compliant com as regras vertidas no RGPD.
É importante ter presente que, optando a empresa por designar um DPO, deverá assegurar que este tem todas as condições e acesso a todas as informações que lhe permitam exercer a sua função apropriadamente e de forma independente, sob pena de, ao não garantir tais condições, a empresa estar em risco de vir a ser condenada no pagamento de uma coima por violação das obrigações e deveres decorrentes do RGPD.
Tem vindo a ser entendido que o DPO deve ser designado com base nas suas qualidades profissionais e, em especial, “nos conhecimentos especializados no domínio do direito e das práticas de proteção de dados”, pelo que a escolha de um DPO apropriado para o exercício das suas funções é de igual importância devendo ser escolhido alguém que tenha o devido know-how e conhecimento relevante na área.
É fundamental evitar os súbitos especialistas que de um dia para o outro apareceram no mercado e que podem mesmo ser uma liability perfeitamente evitável para a empresa.
Somos do entendimento que as empresas devem desde já iniciar a ponderação de designarem, ou não, um DPO, aconselhando-se sobre essa decisão e evitando fazê-lo em cima da data de aplicação do RGPD ou quando o mercado não tenha mais capacidade para dar resposta à procura de DPOs.
Fernando Antas da Cunha
João Peixe
