Artgo de opinião onde a advogada Inês Coelho Simões explica o papel do Encarregado de proteção de dados face ao RGPD.
25 de maio de 2018. Falta, portanto, pouco mais de um ano para o início da vigência do Novo Regulamento Geral de Proteção de Dados em Portugal (“Regulamento”), pelo que começa a ser necessário traçar caminho no sentido da sua implementação - no caso de tal ainda não ter acontecido - até porque (ou principalmente porque) não será de um dia para o outro que a maior parte das regras aí previstas poderão ser postas em prática, pelas empresas.
A contratação de um “DPO”, por exemplo (“Data Protection Officer”, ou ”Encarregado de proteção de dados”), pode não ser tarefa fácil, já que os requisitos atinentes ao cargo são de tal forma específicos que poderão encontrar dificuldade de resposta, no nosso mercado de trabalho.
De acordo com o Regulamento, o DPO deve ser designado com base nas suas qualidades profissionais e, em especial, "nos conhecimentos especializados no domínio do direito e das práticas de proteção de dados”. Não se exige que seja um advogado, mas terá que ser alguém que, por um lado, tenha conhecimentos jurídicos relativamente vastos na área da proteção de dados e que, por outro lado, detenha comprovada experiência em lidar, na prática, com esta mesma matéria.
O DPO a designar terá também que ser alguém com capacidade para informar/ aconselhar a Administração da empresa e os seus trabalhadores a respeito das obrigações constantes do Regulamento, assim como das outras disposições de proteção de dados em vigor na UE e noutros Estados-Membros.
A pessoa deverá, pois, não só saber como ter capacidade para ensinar. A lei não exige um certificado ou diploma em formação de formadores, mas sem dúvida que se pretende que a pessoa designada tenha habilidade para comunicar, expor as suas ideias quer aos trabalhadores como à Direção e, efetivamente, fazer-se entender por todos os membros da empresa, que deverão ver no DPO alguém a quem podem recorrer, caso tenham alguma dúvida relacionada com o tratamento de dados.
Associada a esta exigência, surge igualmente a necessidade de conhecer a organização. E quando falamos em conhecer, não nos referimos a um conhecimento supérfluo, de quem entrou nas instalações e assistiu a um briefing sobre a atividade da empresa: a pessoa deverá conhecer os procedimentos de cada departamento, ser posta a par acerca dos mecanismos existentes (ou inexistentes) destinados à proteção dos dados pessoais de trabalhadores e de clientes e inteirar-se da vida da empresa, de forma a poder “organizá-la”, transmitindo as necessárias diretivas aos trabalhadores que integram a estrutura. É também nesse sentido que o Regulamento prevê que a empresa deve assegurar que o DPO é “envolvido, de forma adequada e em tempo útil”, em todas as questões relacionadas com a proteção de dados pessoais e que lhe devem fornecer os “recursos necessários” para o desempenho das suas funções.
Ao DPO exige-se também que controle a conformidade dos procedimentos adotados pela empresa com o Regulamento e com a restante legislação de proteção de dados e que coopere com a autoridade de controlo (CNPD) para assegurar o cumprimento da mesma.
Um DPO tem, portanto, que ser firme, já que deve poder discutir todas as questões relacionadas com privacidade a um nível superior - um papel que pode exigir dizer aos membros do Conselho de Administração coisas que eles não querem ouvir.
Deve também ser alguém que possa agir de forma independente e que seja capaz de manter uma ligação segura com a Comissão Nacional de Proteção de Dados, se necessário. Muito embora o Regulamento preveja que a empresa deve assegurar que o DPO não recebe instruções relativamente ao exercício das suas funções e que não pode ser destituído nem penalizado pelo exercício das mesmas, e sendo certo que existem países, como a Alemanha, em que o papel do DPO já se tem revelado como bastante independente, interventivo e denunciador, sem medo de informar o regulador acerca da não-conformidade da sua organização, surgem-nos algumas dúvidas acerca do sucesso da transposição deste cenário para o mercado português, com todas as diferenças culturais (e económicas) que o nosso país tem, em relação a outros países europeus. E se o Regulamento deixa à consideração da empresa contratar um DPO através de contrato de trabalho ou de prestação de serviços, claro nos parece que os deveres de lealdade e obediência característicos de uma relação laboral não se coadunam com o necessário papel de “denunciador” que um DPO pode ter que desempenhar, em relação à própria organização.
Do mesmo modo, apesar de o Regulamento estabelecer que o DPO pode ter outras funções na organização (cabendo à empresa assegurar a inexistência de conflito de interesses), parece-nos mais eficaz a designação de uma pessoa exclusivamente dedicada a esta função, que se consiga articular com os diferentes departamentos (IT, marketing, RH, jurídico, entre os demais) do que alguém que, a par da função de DPO tenha uma outra atividade.
O DPO deve também prestar aconselhamento sobre as avaliações de impacto sobre a proteção de dados e controlar a realização das mesmas. Assim, caso certo tipo de tratamento de dados pessoais seja suscetível de implicar um elevado risco para os direitos e liberdades das pessoas singulares, deve ser sujeito à emissão de um Parecer, por parte do DPO, acerca da avaliação do respetivo impacto sobre a proteção dos dados.
O DPO deve também promover a realização de auditorias para avaliação de todos os dados pessoais detidos pela empresa e verificação de que a sua detenção é apta para o fim a que se destina; deve rever os contratos existentes, avaliar o impacto de medidas previstas no Regulamento como sejam a Portabilidade dos Dados e o Direito ao Esquecimento e, enfim, ser capaz de tomar uma série de medidas que lhe permitam atuar como o defensor da privacidade dos dados da empresa, dos trabalhadores, dos clientes e/ou consumidores. Com todos os requisitos que se exigem de um DPO, um dos maiores desafios para as empresas, pelo menos inicialmente, talvez seja mesmo encontrar um.
(1) Regulamento (EU) 2016/679 do Parlamento Europeu e do Conselho de 27 de abril, publicado em 04 de maio de 2016
Artgo de opinião, publicado no Dinheiro Vivo, sobre o que as empresas devem fazer para cumprir as obrigações do Regulamento Europeu sobre a Proteção de Dados Pessoais.
A sua empresa não tem colaboradores? E clientes a quem vende produtos e/ou presta serviços? Quando um dos seus colaboradores se desloca ao estrangeiro não levará consigo um telemóvel, tablet ou computador portátil com, entre outros, dados de contato?
Se respondeu que sim às perguntas anteriores, deverá ficar agora alerta para as novas regras e começar já a pensar no que terá de fazer...
Leia o artigo «Novas Regras de Proteção de Dados Pessoais» onde a advogada Cláudia Martins explica quais principais medidas que deve ter em conta para defininir um plano.
Artigo de opinião publicado no jornal OJE sobre «A (r)evolução na regulação europeia sobre a proteção de dados»
A advogada Inês Coelho Simões faz o "alerta laboral" no âmbito das novas regras europeias sobre a proteção de dados, e explica, entre outras coisas, o que é a figura obrigatória de um encarregado de proteção de dados.