Quem deve ser o encarregado da Protecção de Dados?
Saiba por quem é que pode ser desempenhado este cargo. E qual o perfil exigido para a função pelo Regulamento Geral de Protecção de Dados.
Por Elsa Veloso*
A função de encarregado da Protecção de Dados (DPO – Data Protection Officer) pode ser desempenhada por um elemento escolhido de entre os colaboradores da entidade que é responsável pelo tratamento ou do subcontratante ou exercer as suas funções com base num contrato de prestação de serviços, conforme se dispõe no artigo 37º, n.º 5, do RGPD – Regulamento Geral sobre Protecção de Dados.
O referido número abre a porta ao exercício da actividade de Encarregado da Protecção de Dados em regime externo ou de outsourcing, podendo esta ser efectuada a título individual ou colectivo, nomeadamente por uma consultora dedicada de modo especializado às matérias da privacidade e protecção de dados.
Independentemente da função ser desempenhada por alguém interna ou externamente à organização procedem as mesmas exigências legais no que toca ao perfil exigido para a função pelo RGPD. Na verdade, deve o encarregado da Protecção de Dados ser designado com base nas suas qualidades profissionais e, “em especial”, nos seus conhecimentos especializados no domínio do direito e das práticas da protecção de dados e, ainda, com base na sua capacidade para desempenhar as funções que vêm elencadas no artigo 39º do RGPD, que constituem um leque aberto de funções do encarregado da Protecção de Dados, designadamente, prestar aconselhamento e informar o responsável pelo tratamento ou o subcontratante, cooperar com a autoridade de controlo, entre outras.
A aparente indeterminação dos “conhecimentos especializados” acima referidos encontra (alguma) concretização prática no considerando 97º do RGPD, onde se pode ler que “o nível necessário de conhecimentos especializados deverá ser determinado, em particular, em função do tratamento de dados realizado e da protecção exigida para os dados pessoais tratados pelo responsável pelo seu tratamento ou pelo subcontratante.”
Porque não é este o tema central que nos ocupa, sem prejuízo do necessário enquadramento, no que tange às qualificações que o encarregado da Protecção de Dados deve possuir elas estão melhor concretizadas na orientação expendida pelo Grupo de Trabalho do Artigo 29º relativa aos encarregados da Protecção de Dados, que pode ser consultada no site da CNPD, onde igualmente outras questões de primordial relevância, como seja a matéria da acessibilidade e localização do encarregado da Protecção de Dados, questão da maior importância para as organizações localizadas em diferentes jurisdições.
Foquemo-nos, então, em procurar concretizar que vantagens existem para as organizações que nomeiem um encarregado da Protecção de Dados em regime de outsourcing ou, numa terminologia também comum, DPO as a Service.
Por desconhecimento ou por meras contingências orçamentais, temos verificado que muitas nomeações internas têm recaído em profissionais que não cumprem as qualificações profissionais que o RGPD exige, ou porque não possuem quaisquer conhecimentos jurídicos e/ou porque não possuem qualquer conhecimento relativo às melhores práticas de protecção de dados. O custo para as organizações que seguem este caminho é necessariamente muito maior, a final.
Pense-se, por exemplo, na ocorrência de um data breach e na necessidade de reacção que o mesmo requer, ao nível dos factores de risco para os direitos e liberdades dos titulares dos dados, bem como das medidas que sejam necessárias para a sua mitigação, já para não falar na necessidade de comunicação à CNPD.
A questão pertinente que aqui se coloca, perante um cenário desta natureza, é esta: que reacção terá um profissional não qualificado? Provavelmente não a mais adequada.
A opção por um encarregado da Protecção de Dados externo devidamente qualificado, conhecedor do RGPD e das metodologias, inteirado das orientações europeias sobre as melhores práticas em matéria de protecção de dados traz às organizações um acervo de vantagens que são inquestionáveis. Vejamos algumas:
- Desde logo, a organização não precisa de iniciar um processo de recrutamento e/ou formação, com todos os custos que esses processos invariavelmente comportam.
- O encarregado da Protecção de Dados externo garante, desde logo, a inexistência de conflitos de interesse no seio da organização e um estatuto de independência em relação à organização que é absolutamente vital para o bom desempenho da função.
- Este estatuto de independência garante, no imediato, dois aspectos também eles essenciais: a ausência de pressões internas, ou, pelo menos, o dificultar da sua materialização, assim como assegura, numa vertente estritamente financeira, que o encarregado da Protecção de Dados externo está absolutamente à margem do impacto financeiro que possam ter as medidas ou recomendações que venha a efectuar.
- Acresce, ainda, que é de presumir que quando uma organização contrata um encarregado da Protecção de Dados se preocupou em escolher quem apresente e comprove possuir o conhecimento legal e as qualificações necessárias ao bom desempenho da função, constituindo as mesmas, desde logo, uma garantia de qualidade e de que as novas exigências europeias em matéria de protecção de dados são cumpridas, sendo a organização devidamente aconselhada, informada, apoiada e representada junto das mais diversas instâncias.
Em face do exposto, é inegável a mais-valia do encarregado da Protecção de Dados externo para as organizações, independentemente da sua dimensão, permitindo-lhes acautelar o risco regulatório, reputacional e financeiro em que podem incorrer nos casos em que negligenciem a matéria da protecção de dados.
O RGPD, uma exigente e complexa legislação, veio criar um novo paradigma cuja interiorização deve ser compreendida pelas estruturas de decisão como uma oportunidade de diferenciação do seu negócio em face da concorrência. Isto permitir-lhes-á uma adequação às novas tendências, que já estão a ser ditadas por consumidores cada vez mais preocupados com a sua privacidade e que querem saber que destino é dado, em cada momento, aos seus dados pessoais.
*Elsa Veloso
Especialista em Privacidade e Protecção de Dados e fundadora e CEO da DPO Consulting.