A figura do encarregado de proteção de dados surge como uma das novidades comunitárias implementadas pelo RGPD, embora em algumas legislações internas já fossem revestidas duma figura similar. Também denominado por DPO (Data Protection Officer), é a personificação ideal para facilitar o cumprimento dos dispositivos legais associados à proteção de dados pessoais e está posicionado, enquanto ponto de contacto, entre o Responsável pelo tratamento ou subcontratante, os titulares de dados pessoais e autoridade de controlo, que no caso português é a Comissão Nacional de Proteção de Dados (CNPD)[1].
De um modo genérico, as suas funções passam por garantir o estado de conformidade da organização através das tarefas de recolha, análise e verificação das inúmeras atividades de tratamento para que estejam conformes os tramites legais, prestar assistência e aconselhamento ao Responsável pelo tratamento a respeito das suas obrigações no âmbito da proteção de dados e que preocupações deve ter em conta para não colidir com violações de direitos dos titulares dos danos. Ademais, tem outras funções práticas de cooperação com a autoridade de controlo, de solicitar a elaboração duma avaliação de impacto e consciencializar os colaboradores que tratem os dados sobre a correta atuação neste âmbito. O certo é que o seu desempenho deve ser independente e autónomo das decisões finais emanadas pela alta direção duma organização, pelo que a responsabilidade de qualquer tratamento desencadear incumprimento para com o Regulamento aplicável, é imputada a quem lhe tenha nomeado – fica bem explícito esse desmembramento de responsabilidade da sua atuação nos termos do disposto no artigo 24º nº1.
Portanto, ao acarretar nas severas sanções administrativas para a organização quando não se encontre em estado de compliance, que encarregado de proteção de dados deve nomear para desempenhar tais papéis fulcrais?
Se tivermos perante uma organização que considere conveniente, por iniciativa voluntária, a nomeação do EPD, a exigência da sua especialização não será certamente a mesma se a organização preencher a obrigatoriedade de nomeação emanada pelo artigo 37º nº1. Para a sua designação o regulamento obriga que seja com base nas suas “qualidades profissionais e, em especial, nos seus conhecimentos especializados no domínio do direito e das práticas de proteção de dados”. Os conhecimentos especializados são determinados em função do tratamento de dados pessoais em concreto[2], isto é, um conhecimento contextualizado da organização que o EDP estará a prestar o seu serviço. Há uma exigência alargada de conhecimentos específicos, não só da área jurídico, ou até mais especificamente da área jurídica especializada em proteção de dados, como da área de Segurança de Informação, gestão de processos, pessoas e comunicações.
Então como ficará comprovada a qualidade profissional do encarregado de proteção de dados? A sua experiência prática ditará o seu grau de profissionalismo, é certo, mas o seu destaque no mercado dependerá de certificações adicionais, embora a sua atuação não careça, legalmente, de certificação profissional[3]. Há uma tendencial valorização de mercado para as certificações da IAPP, quer a CIPP-E como a CIPM, com custo médio e realização de avaliação em Inglês, Francês ou Alemão. No mercado brasileiro há uma procura acentuada por Encarregados de Proteção de Dados certificados pela trilha EXIN, com custo mais acessível e de avaliada com questionário em Português. Fica explícita a influência de orientações da Familía de Normas ISO 27000 no seu conhecimento, sobretudo, a recém formada ISO 27701, direcionada para a implementação dum Sistema de Gestão da Privacidade da Informação (SGPI).
Segundo consta da base de dados que apresenta as sanções já aplicadas após a entrada em vigor do RGPD (GDPR Enforcement tracker[4]), são 5 sanções que totalização em 186.000€ impostas por Autoridades de Controlo de 4 países distintos, por inobservância da nomeação do Encarregado imposta no artigo 37º. Em Portugal, não surgiu, desde então, qualquer sanção por falta de nomeação do DPO, por cumprimento eficaz das empresas, presumo.
Ressalve-se que em fase de nomeação do DPO e quando este seja substituído ou deixe temporariamente de desempenhar as suas funções, implica a divulgação à CNPD dos contactos de quem venha a desempenhar tais funções no seu site oficial (https://www.cnpd.pt/index.asp) na subdivisão de Notificações RGPD -> EPD/DPO.
[1] Artigo 3º da Lei n.º 58/2019
[2] Consoante o enunciado no considerando 97 do RGPD.
[3] Artigo 9º nº1 in fine da Lei n.º 58/2019 – certamente por motivos económico-empresariais.
João Pereira
Jurista, Mestrando em Direito e Informática na Universidade do Minho. Dissertador da temática relativa à Segurança da Informação e Implementação do RGPD em contexto empresarial.