O Encarregado de Proteção de Dados – Questões Práticas

O Encarregado de Proteção de Dados – Questões Práticas

O papel primordial do Oficial de Proteção de Dados (“DPO”) é garantir que o Responsável pelo Tratamento processe os dados pessoais

O Regulamento Geral de Proteção de Dados que será diretamente aplicado em todos os estados da União Europeia em 25 de maio de 2018 estatui, para a proteção de dados na Europa, um quadro de conformidade baseado na responsabilidade. Os Oficiais de Proteção ("DPOs"/Encarregados de Proteção de Dados) serão, para muitas organizações, figuras incontornáveis deste novo quadro legal, facilitando o cumprimento das disposições do RGPD.

O papel primordial do Oficial de Proteção de Dados (“DPO”) é garantir que o Responsável pelo Tratamento processe os dados pessoais dos trabalhadores, clientes, fornecedores ou qualquer outra pessoa singular, titular de dados, em conformidade com as regras de proteção de dados aplicáveis.

A nomeação de um DPO deve basear-se nas suas qualidades pessoais e profissionais com especial realce ao seu conhecimento especializado de Direito e em Proteção de Dados. Uma boa compreensão da forma como a organização opera também é recomendada.

A este passo deparamo-nos com a primeira de muitas dificuldades práticas, uma vez que recrutar e selecionar interna ou externamente alguém com este rol de competências poderá, por si só, ser uma tarefa árdua.

Refira-se que esta dificuldade por parte das Entidades que estão obrigadas a nomear um Encarregado de Proteção de Dados (DPO) não serve para justificar a “não nomeação” e se não encontram a pessoa ideal deverão identificar a que demonstrar competências mais adequadas ao exercício das funções exigidas a um Encarregado de Proteção de Dados.

Diga-se ainda que não é obrigatório que a pessoa que vai desempenhar as funções de Encarregado de Proteção de Dados tenha o “perfil de competências” referido no RGPD. Esse “perfil de competências” é apenas indicativo e não obrigatório. É um “perfil de competências” facilitador do exercício das funções, mas não obrigatório.

O Encarregado de Proteção de Dados poderá ser alguém do Quadro Permanente de Trabalhadores do Responsável pelo Tratamento dos Dados ou alguém externo a esse Quadro. Esta possibilidade não quer significar que o futuro Encarregado tenha a obrigação, enquanto trabalhador do quadro, de aceitar o desempenho das funções exigidas a um Encarregado o que significa que o Órgão Decisor da Entidade Responsável pelo Tratamento dos Dados deverá “convidar” e não “nomear por decreto” a pessoa que entende como a mais qualificada para o exercício daquelas funções.

Refira-se, por importante, que nos casos de nomeação interna a relação hierárquica ficará amplamente atenuada, pois o Encarregado de Proteção de Dados tem que exercer as suas funções de um modo independente. Convite? Sim! “Proposta de aceitação obrigatória”? Nunca!

Quanto ao tipo de vínculo que o Encarregado de Proteção de Dados deverá ter com o Responsável pelo Tratamento dos Dados, entendemos como de todo conveniente que o contrato seja de longa duração e de preferência por tempo indeterminado para que o foco do Encarregado esteja apenas no exercício das suas funções e não no desempenho das suas funções de um modo o mais adequado possível para assegurar a renovação do contrato ou “garantir” uma futura e eventual progressão na carreira.

No sentido de assegurar um exercício de funções autónomo e independente entendemos que os futuros encarregados de proteção de dados além de poderem coordenar uma equipa de apoio devem ser responsáveis pela gestão de um orçamento próprio, bem como dotados dos meios necessários ao exercício daquelas funções. Não estar dependente de uma decisão hierárquica para a obtenção de meios ou para decidir qual a melhor decisão a tomar é essencial para assegurar autonomia e independência e o modo ideal para, a final, assegurar conformidade ao Regulamento.

Quando a nomeação do Encarregado é feita internamente será de todo conveniente que na altura da avaliação do desempenho o Órgão Decisor tenha em linha de conta o facto de o Encarregado de Proteção de Dados ter muitas vezes que tomar decisões impopulares para outros responsáveis de departamento, podendo ainda ser conotado com o “problemas e burocracia”, devendo, nessa medida, aquele Órgão ter o distanciamento necessário para efetuar uma avaliação justa e objetiva, criando inclusive um Sistema de Avaliação do Desempenho que permita a intervenção de entidades exteriores para que se pronunciem sobre o Desemprenho do Encarregado.

Em resumo quer os Órgãos Decisores dos Responsáveis pelo Tratamento de Dados quer os Encarregados de proteção de Dados deverão consciencializar de forma precisa o que representa o RGPD, os seus contornos e o espírito das suas normas, estabelecendo em conjunto as condições ideais ao sucesso de ambos no que á conformidade com o regulamento diz respeito.

Tags

REVISTA DIGITAL

IT INSIGHT Nº 13 Maio 2018

IT INSIGHT Nº 13 Maio 2018

NEWSLETTER

Receba todas as novidades na sua caixa de correio!