RGPD. Sabe qual a função e perfil de um Data Protection officer?

O Regulamento Geral sobre a Protecção de Dados (RGPD) veio criar um conjunto de entidades com atribuições fundamentais neste quadro legislativo. É neste enquadramento que surge o Data Protection Officer (DPO).

Por Sérgio Ferreira, auditor e coordenador Digital & Innovation da SGS Portugal

Quais são as funções de um Data Protection Officer (DPO)?

O DPO será responsável por um conjunto de funções, entre as quais:

• Informar e aconselhar o responsável pelo tratamento ou o subcontratante, bem como os trabalhadores que tratem os dados, a respeito das suas obrigações em matéria de Protecção da Dados;
• Controlar a conformidade com o presente regulamento, com outras disposições de protecção de dados da União Europeia ou dos Estados-Membros e com as políticas do responsável pelo tratamento ou do subcontratante, relativas à protecção de dados pessoais;
• Prestar aconselhamento, quando tal lhe for solicitado, no que respeita à avaliação do impacto sobre a protecção de dados e controlar a sua realização;
• Agir como ponto de contacto para a autoridade de controlo e para os titulares dos dados pessoais.

O DPO é obrigatório para todas as organizações?

Não. O DPO só é de nomeação obrigatória sempre que:

• O tratamento for efectuado por uma autoridade ou um organismo público, exceptuando os tribunais no exercício da sua função jurisdicional;
• As actividades principais do responsável pelo tratamento ou do subcontratante consistam em operações de tratamento que exijam um controlo regular e sistemático dos titulares dos dados em grande escala, como por exemplo, os grandes operadores de dados na internet, motores de busca e redes sociais;
• As actividades principais do responsável pelo tratamento ou do subcontratante consistam em operações de tratamento em grande escala de categorias especiais de dados e de dados pessoais relacionados com condenações penais e infracções. São exemplos desta categoria os hospitais, as instituições financeiras e as seguradoras.

Qual deve ser o perfil do DPO numa organização?

O RGPD não apresenta um perfil fechado no que diz respeito às características do DPO. O ponto 5 do artigo 37 afirma que «O encarregado da protecção de dados é designado com base nas suas qualidades profissionais e, em especial, nos seus conhecimentos especializados no domínio do direito e das práticas de protecção de dados, bem como na sua capacidade para desempenhar as funções…».

Da leitura deste ponto, ressaltam apenas os conhecimentos especializados que o DPO deve ter e a constatação de que não será fácil encontrar estas características numa única pessoa, principalmente quando lemos o ponto 6 do artigo 38: «O encarregado da protecção de dados pode exercer outras funções e atribuições. O responsável pelo tratamento ou o subcontratante assegura que essas funções e atribuições não resultam num conflito de interesses.».

Por estes motivos, o Grupo de Trabalho do Artigo 29 – um órgão europeu independente com funções consultivas – tem emitido vários pareceres que apontam que o DPO não deverá ser uma pessoa na organização que desempenhe funções na área legal e na área das Tecnologias da Informação.

Um outro colaborador dos quadros da empresa ou mesmo um serviço externo representam alternativas possíveis. No entanto, mesmo no caso de um DPO contratado através de um serviço externo, deverá existir um efectivo responsável – uma pessoa singular – que possa exercer as funções de DPO, incluindo as obrigações enquanto ponto de contacto com a entidade reguladora e com os titulares dos dados.

Consequência das práticas adoptadas até agora, temos constatado que a nomeação do DPO é uma das primeiras preocupações das organizações, surgindo antes de existir um profundo conhecimento sobre o estado actual em matéria de protecção de dados dentro da própria empresa. Na nossa visão, essa nomeação antecipada poderá ser precipitada, uma vez que, nesse momento, a organização ainda não sabe de forma sistematizada que tipos de dados pessoais estão na sua posse, qual o volume e operações de tratamento que executa, os tipos de relações jurídicas que representam ou mesmo os riscos a que pode estar exposta.

Assim, vemos como boa prática a nomeação de uma equipa de projecto, interna ou externa, que faça o mapeamento das actividades e operações de tratamento, para que com esse conhecimento, a organização possa escolher a pessoa ou entidade que melhor se adeque ao exercício dessa função.