Skip to Menu Skip to Search Contacte-nos Portugal Websites & Idiomas Skip to Content

Como já vimos em artigos anteriores, o Regulamento Geral sobre a Proteção de Dados (RGPD), cria um conjunto de entidades que serão os atores principais deste novo quadro jurídico. É neste enquadramento que surge o Data Protection Officer (DPO).

RGPD

Nas próximas linhas, vamos tentar desmistificar algumas ideias acerca do DPO, abordando questões como a obrigatoriedade de nomeação, as funções e o perfil deste profissional já conhecido noutros países da União Europeia, mas novo para as organizações portuguesas.

Quais são as funções do DPO?
O DPO ou EPD (Encarregado da Proteção de Dados), será responsável por um conjunto de funções:

  • Informar e aconselhar o responsável pelo tratamento ou o subcontratante, bem como os trabalhadores que tratem os dados, a respeito das suas obrigações em matéria de Proteção da Dados;
  • Controlar a conformidade com o presente regulamento, com outras disposições de proteção de dados da União Europeia ou dos Estados-Membros e com as políticas do responsável pelo tratamento ou do subcontratante, relativas à proteção de dados pessoais;
  • Prestar aconselhamento, quando tal lhe for solicitado, no que respeita à avaliação de impacto sobre a proteção de dados e controlar a sua realização;
  • Ponto de contacto para a autoridade de controlo e para os titulares dos dados.

O DPO é obrigatório para todas as organizações?
Não. Chamamos a atenção para o facto de não existir qualquer relação entre a nomeação do DPO e o número de trabalhadores da empresa. Assim sendo, o DPO é de nomeação obrigatória sempre que:

  • O tratamento for efetuado por uma autoridade ou um organismo público, excetuando os tribunais no exercício da sua função jurisdicional;
  • As atividades principais do responsável pelo tratamento ou do subcontratante consistam em operações de tratamento que exijam um controlo regular e sistemático dos titulares dos dados em grande escala, como por exemplo, os grandes operadores de dados na internet, motores de busca e redes sociais;
  • As atividades principais do responsável pelo tratamento ou do subcontratante consistam em operações de tratamento em grande escala de categorias especiais de dados e de dados pessoais relacionados com condenações penais e infrações. São exemplos desta categoria os hospitais, as instituições financeiras e as seguradoras.

Qual o perfil do DPO para a minha organização?
O RGPD não apresenta um perfil fechado no que diz respeito às características do DPO. O ponto 5 do artigo 37, diz o seguinte «O encarregado da proteção de dados é designado com base nas suas qualidades profissionais e, em especial, nos seus conhecimentos especializados no domínio do direito e das práticas de proteção de dados, bem como na sua capacidade para desempenhar as funções…».

Da leitura deste ponto, ressaltam apenas os conhecimentos especializados que o DPO deve ter e a constatação que não será fácil encontrar estas características numa única pessoa, principalmente quando lemos o ponto 6 do artigo 38: «O encarregado da proteção de dados pode exercer outras funções e atribuições. O responsável pelo tratamento ou o subcontratante assegura que essas funções e atribuições não resultam num conflito de interesses.». 

Por estes motivos, o Grupo de Trabalho do Artigo 29 – um órgão independente europeu com funções consultivas – tem emitido vários pareceres que apontam que o DPO não deverá ser uma pessoa na organização que desempenhe funções na área legal e na área das Tecnologias da Informação.

Visto o perfil, quem deve ser o DPO?
Um colaborador dos quadros da empresa? Ou poderá ser contratado um serviço externo?
Ambas as situações são possíveis. No entanto, mesmo no caso de um DPO contratado através de um serviço externo, deverá existir um efetivo responsável – uma pessoa singular – que possa exercer as funções de DPO, incluindo as obrigações enquanto ponto de contacto com a entidade reguladora e com os titulares dos dados.

Consequência das práticas adotadas até agora, temos constatado que a nomeação do DPO é uma das primeiras preocupações das organizações, surgindo antes de existir um profundo conhecimento sobre o estado atual em matéria de proteção de dados. Na nossa visão, essa nomeação antecipada poderá ser precipitada, uma vez que dessa forma a organização ainda não sabe de forma sistematizada que tipos de dados pessoais tem, qual o volume e operações de tratamento que executa nem os tipos de relações jurídicas que tem. 

Assim, vemos como boa prática a nomeação de uma equipa de projeto, interna ou externa, que faça o mapeamento das atividades e operações de tratamento, para que com esse conhecimento, a organização possa escolher a pessoa ou entidade que melhor se adeque ao exercício dessa função.
Desta forma, no próximo artigo abordaremos o tema do plano de ação para implementação e cumprimento do RGPD nas organizações.

Para mais informações, por favor contacte: 
tel: 808 200 747 (Seg. a Sex. das 9h às 18h) 
@: pt.info@sgs.com