info@goldenblatt.co.uk
49 Russell Square, London, UK

News & MediaFernando Antas da CunhaNewslettersO Encarregado de Proteção de Dados (DPO – Data Protection Officer)

29 de Maio, 2017

Falta pouco menos de 1 ano para a aplicação do novo Regulamento Geral sobre a Proteção de Dados (RGPD) e, sem prejuízo do mediatismo à volta do tema, é notório que muitas empresas e particulares continuam sem ter noção das grandes implicações e alterações que tal diploma vai ter no panorama dos dados pessoais e no modo como desenvolvem o seu negócio (no caso das empresas) e dos seus direitos (no caso dos particulares).

Uma das “novidades” trazidas pelo RGPD é a figura do Encarregado de Proteção de Dados, ou, como é comummente designado o Data Protection Officer (doravante designado por DPO).

Um DPO é uma pessoa (quer seja um colaborador interno ou consultor externo) ao qual é atribuída a responsabilidade formal de assegurar que a empresa que o contrata está devidamente compliant com as regras da proteção de dados. Apesar de esta figura não ser uma inovação do RGPD e já ser uma realidade em alguns países como é o caso da Alemanha e da Suécia, o RGPD traz alterações significantes e que podem levar a que uma empresa tenha obrigatoriamente de designar um DPO para assegurar o cumprimento das novas regras em matéria de proteção de dados pessoais.

Em termos gerais, o DPO será alguém dentro de uma empresa com capacidade para informar, aconselhar e orientar a direção da empresa bem como os seus trabalhadores a respeito das obrigações constantes do RGPD, assim como das outras disposições de proteção de dados em vigor na UE e noutros Estados Membros (como a iminente nova Diretiva em matéria de EPrivacy), servindo ainda como o ponto de contacto da empresa com a autoridade de controlo nacional, que, em Portugal, ao que tudo indica, deverá continuar a ser a Comissão Nacional de Proteção de Dados.

Nos termos do artigo 37.º do RGPD, deverá ser designado um DPO quando:

1. O tratamento for efetuado por uma autoridade ou um organismo público, excetuando os tribunais no exercício da sua função jurisdicional;

2. As atividades principais do responsável pelo tratamento ou do subcontratante consistam em operações de tratamento que, devido à sua natureza, âmbito e/ou finalidade, exijam um controlo regular e sistemático dos titulares dos dados em grande escala; ou

3. As atividades principais do responsável pelo tratamento ou do subcontratante consistam em operações de tratamento em grande escala de categorias especiais de dados nos termos do artigo 9.º e de dados pessoais relacionados com condenações penais e infrações a que se refere o artigo 10.º

Os casos referidos são os casos em que é obrigatório nos termos do RGPD designar um DPO, não obstante, caberá a cada empresa aconselhar-se e ponderar se deverá ou não designar um DPO, tendo em conta que todas as orientações sobre esta matéria até à presente data dão a entender que todas as empresas que procedam ao tratamento de dados pessoais devem voluntariamente designar um DPO.

Ainda que após a ponderação referida, a empresa chegue à conclusão que não necessita de designar um DPO, é aconselhável que a empresa tenha um registo, onde justifique fundamentadamente todos os fatores que ditaram a não designação de um DPO. Assim, a empresa assegura em certa medida que está compliant com as regras vertidas no RGPD.

É importante ter presente que, optando a empresa por designar um DPO, deverá assegurar que este tem todas as condições e acesso a todas as informações que lhe permitam exercer a sua função apropriadamente e de forma independente, sob pena de, ao não garantir tais condições, a empresa estar em risco de vir a ser condenada no pagamento de uma coima por violação das obrigações e deveres decorrentes do RGPD.

Tem vindo a ser entendido que o DPO deve ser designado com base nas suas qualidades profissionais e, em especial, “nos conhecimentos especializados no domínio do direito e das práticas de proteção de dados”, pelo que a escolha de um DPO apropriado para o exercício das suas funções é de igual importância devendo ser escolhido alguém que tenha o devido know-how e conhecimento relevante na área.

É fundamental evitar os súbitos especialistas que de um dia para o outro apareceram no mercado e que podem mesmo ser uma liability perfeitamente evitável para a empresa.

Somos do entendimento que as empresas devem desde já iniciar a ponderação de designarem, ou não, um DPO, aconselhando-se sobre essa decisão e evitando fazê-lo em cima da data de aplicação do RGPD ou quando o mercado não tenha mais capacidade para dar resposta à procura de DPOs.

Fernando Antas da Cunha

João Peixe

https://adcecija.pt/wp-content/uploads/2020/06/logo_horizontal_b-768x75.png
LISBOA
Edifício Amoreiras Square
Rua Carlos Alberto da Mota Pinto, 17 - 2º piso
1070-313 Lisboa
PORTO
Avenida de França, Nº 20, 5º andar – sala 509
4050-275 Porto
BRAGA
Rua de Janes, nº 20 1º Andar
4700-314 Braga
21 319 20 80
SOCIAL