Onde andam os DPO?

No Dia internacional da Protecção de Dados, não poderíamos deixar de abordar uma das figuras mais proeminentes no âmbito do direito da protecção de dados. Falamos do Encarregado da Protecção de Dados (EPD) ou, na sua versão inglesa, do Data Protection Officer (DPO).

O DPO ganhou especial relevo em 2018, data em que o Regulamento (EU) 2016/679 começou a produzir efeitos. De facto, o normativo europeu previu a nomeação obrigatória desta figura no seio organizacional de muitas entidades, o que, em conjunto com o regime sancionatório aí consagrado, aumentou exponencialmente a procura por estes profissionais.

Desde logo, refira-se que a nomeação do DPO é uma obrigação legal para todas as entidades que integram o sector público. Já no que respeita ao sector privado, o legislador português limitou-se a replicar o estabelecido no Regulamento, incumbindo assim a todas as entidades que tratem dados pessoais efectuar uma ponderação casuística de modo a concluir se estão ou não abrangidos por esta obrigação legal.

Efectivamente, estabelece o artigo 13.º da Lei n.º 58/2019, de 8 de Agosto que as entidades privadas estão obrigadas à nomeação de um DPO sempre que: a actividade desenvolvida pela organização implique i. operações de tratamento que, devido à sua natureza, âmbito e ou finalidade, exijam um controlo regular e sistemático dos titulares dos dados em grande escala; ou ii. operações de tratamento em grande escala das categorias especiais de dados ou de dados pessoais relacionados com condenações penais e contra-ordenacionais.

A opção do legislador português merece alguns reparos, na medida em que não oferece nenhum critério exemplificativo para que os operadores económicos possam ter em conta na sua análise. Estamos convictos de que a responsabilidade por assegurar o cumprimento do Regulamento e, por conseguinte, de ponderar a necessidade de legal de um DPO compete em primeira linha ao Responsável pelo Tratamento. É, aliás, esse o princípio geral em que assentou a construção da legislação europeia.

Contudo, acreditamos que o legislador ou até mesmo a Comissão Nacional de Protecção de Dados (CNPD) deveriam facilitar esta tarefa a todas as entidades que integram o sector privado, seja por via legislativa, seja através de outro instrumento disponibilize critérios concretos e concretizações práticas do previsto na legislação.

Foi, aliás, este o caminho percorrido pelo legislador espanhol que optou por estabelecer um leque exemplificativo de entidades privadas sujeitas à obrigatoriedade de nomear um DPO, aí se incluindo entidades financeiras de crédito, empresas de segurança privada e estabelecimentos de ensino.

É que, volvidos 5 anos desde a entrada em vigor do Regulamento, denota-se ainda alguma incerteza e relutância do sector privado quanto à necessidade de cumprir com as regras europeias em matéria de protecção de dados.

Mas desengane-se que o referido é uma questão de somenos. É que a falta de nomeação de um DPO nos casos em que tal é legalmente obrigatória, bem como o incumprimento dos requisitos inerentes à assunção deste papel, poderão culminar na aplicação de uma coima cujos valores poderão ir até 10 000 000€ ou 2% do volume de negócios anual, a nível mundial, conforme o que for mais elevado, tratando-se de grande empresa; até 1 000 000€ ou 2% do volume de negócios anual, a nível mundial, conforme o que for mais elevado, tratando-se de PME; e até 250 000€ no caso de pessoas singulares.

Há que referir que o papel do DPO numa organização é fulcral para assegurar o cumprimento contínuo do Regulamento e da legislação aplicável em matéria de protecção de dados.

De um modo geral, é ao DPO que compete aconselhar e monitorizar a actividade da entidade no que concerne às obrigações do Regulamento, bem como estabelecer a ponte entre o titular dos dados pessoais e as autoridades de controlo.

Relativamente às competências necessárias para o desempenho das funções de DPO, a legislação determina, por um lado, que este deve possuir um conhecimento especializado nas áreas do direito e das práticas de protecção de dados, não sendo, todavia, imperativo que possua certificação profissional para o efeito.

Por outro lado, a crescente simbiose entre a tecnologia e o direito reflecte-se particularmente no direito à privacidade e à protecção de dados pessoais, pelo que o profissional que pretenda exercer as funções de DPO terá necessariamente de possuir conhecimentos técnicos na área de cibersegurança, segurança de informação e informática.

Como vimos, o enquadramento do DPO no tecido empresarial português, bem como em todas as instituições que não integram o sector público, constitui uma tarefa particularmente complexa. Exige-se a estas entidades um esforço acrescido, na medida em que terão de avaliar e ponderar se em concreto preenchem os conceitos vagos consagrados no diploma europeu que determinam a obrigatoriedade de recorrer aos serviços deste profissional. Apesar de exigente, esta é uma tarefa fundamental para assegurar a conformidade com a legislação e o respeito pelo direito fundamental à protecção de dados, evitando-se o pesado quadro sancionatório em vigor.

Eduardo Castro Marques, advogado de laboral, sócio da Cerejeira Namora, Marinho Falcão

Mais Notícias

Outros Conteúdos GMG

Patrocinado

Apoio de