DPO, RGPD, DPIA, Crowe Portugal

DPO - o perfil impossível?

José Rodrigues
08/05/2019
DPO, RGPD, DPIA, Crowe Portugal

Não restam dúvidas que o RGPD implica muitas mudanças na forma como as empresas funcionam. Mudanças organizacionais, documentais, comunicacionais, processuais, funcionais e de sistemas. Todas almejam o mesmo fim, assegurar que os dados pessoais que são processados pelas empresas são tratados de forma segura e cumpridora dos direitos do titular.

Uma das mais notáveis novidades aportadas pelo RGPD é a emergência, de forma incontornável, da figura do Encarregado de Proteção de Dados vulgo DPO (Data Protection Officer). Aliás, toda a Secção 4 do Regulamento é dedicada a esta função que concentra em si o esforço de verificação e manutenção do cumprimento das diversas alterações que advêm desta nova lei.

Sendo que é sempre desejável que as empresas nomeiem uma pessoa que exerça estas funções, o Artigo 37, na sua primeira alínea, enumera as situações em que tal é obrigatório:

Secção 4 Encarregado da proteção de dados

Artigo 37.o Designação do encarregado da proteção de dados

1. O responsável pelo tratamento e o subcontratante designam um encarregado da proteção de dados sempre que:

a) O tratamento for efetuado por uma autoridade ou um organismo público, excetuando os tribunais no exercício da sua função jurisdicional;

b) As atividades principais do responsável pelo tratamento ou do subcontratante consistam em operações de tratamento que, devido à sua natureza, âmbito e/ou finalidade, exijam um controlo regular e sistemático dos titulares dos dados em grande escala; ou

c) As atividades principais do responsável pelo tratamento ou do subcontratante consistam em operações de tratamento em grande escala de categorias especiais de dados nos termos do artigo 9.o e de dados pessoais relacionados com condenações penais e infrações a que se refere o artigo 10.o.

Seguidamente, no seu Artigo 38, o Regulamento determina uma série de características associadas a esta posição, destacando-se entre elas o facto do DPO ter que ser envolvido a todos os níveis em tudo que esteja relacionado com o processamento de dados e também que é da responsabilidade da gestão assegurar que ele tem à sua disposição, não só os recursos necessários para o exercício da sua função, como também deve receber a formação adequada. Finalmente, o regulamento também tenta proteger as pessoas nomeadas para a função chegando a explicitar que “não recebe instruções relativamente ao exercício das suas funções”, “não pode ser destituído nem penalizado pelo responsável pelo tratamento ou pelo subcontratante pelo facto de exercer as suas funções” e que “informa diretamente a direção ao mais alto nível “.

Tudo isto demonstra a importância que a lei atribui a esta função e por consequência, não deverá ser leviana a escolha de quem a pode exercer.

Na prática, as responsabilidades que serão adstritas ao DPO são variadas. Nomeio aqui apenas as mais óbvias.

  1. Ser o ponto de contacto através de quem os titulares dos dados podem exercer os diversos direitos que o Regulamento lhes confere.
  2. Ser o ponto de contacto com a autoridade fiscalizadora que em Portugal, tudo indica, será a CNPD.
  3. Realizar aconselhamento interno de modo a assegurar que os processos que envolvem dados pessoais, são cumpridores dos objetivos da lei.
  4. Realizar AIDP’s (Avaliações de Impacto a Dados Pessoais) vulgo DPIAa (Data Protection Impact Assessments com regularidade.
  5. Realizar auditorias internas com vista a assegurar que a realidade no terreno é cumpridora da lei.
  6. Realizar/fomentar ações de formação/sensibilização sobre a proteção de dados aos colaboradores e quadros da empresa.
  7. Acompanhar a evolução da lei de modo a bem informar a gestão ao mais alto nível.
  8. Gerar e disponibilizar relatórios e KPIs sobre estas temáticas para uso da gestão de topo

Quando consideramos a importância da função e a diversidade das responsabilidades começamos a perceber que quem a exerce deve deter uma série de competências e conhecimentos que não são fáceis de encontrar numa só pessoa. Ora vejamos:

  1. Conhecimento detalhado do RGPD e outras disposições legais associadas à proteção de dados.
  2. Conhecimento dos sistemas informáticos e aplicações por onde hoje em dia fluem, em grande medida, os dados pessoais.
  3. Capacidade de ver as organizações na sua dimensão processual e conhecimentos sobre a reengenharia de processos.
  4. Excelente capacidade de comunicação e persuasão.
  5. Uma personalidade assertiva para poder defender, ao mais alto nível, as ações necessárias ao cumprimento da lei.
  6. Capacidade de manter sigilo por estar exposto a informação muitas vezes sensível quer de dados quer de aspetos organizacionais e processuais internos.
  7. Apetência para a realização de ações “fiscalizadoras” no exercício das obrigações relacionadas com as auditorias internas.

Se recorrermos aos perfis mais comumente encontrados nas empresas parece que precisamos de um gestor/informático/jurídico/comercial/auditor tudo numa só pessoa. Onde encontramos este perfil? Como podemos nomear alguém que consiga reunir todas estas valências para assegurarmos o cumprimento da lei?

Nas empresas maiores a solução encontra-se naturalmente na constituição de equipes multidisciplinares, mas o que fazer nas PME’s onde o custo desta solução é certamente mais difícil de suportar?

A resposta óbvia encontra-se no “outsourcing” ou externalização da função. Esta solução é explicitamente prevista no Regulamento, onde na alínea 6 do Artigo 37, se pode ler “O encarregado da proteção de dados pode ser um elemento do pessoal da entidade responsável pelo tratamento ou do subcontratante, ou exercer as suas funções com base num contrato de prestação de serviços.” Este é o caminho mais óbvio para as PME’s que, preocupadas com o cumprimento da lei, não têm nem a disponibilidade de recursos humanos nem as competências internas para poderem responder a este perfil.

Ao recorrer a uma empresa externa para a função de DPO conseguem-se várias vantagens que vão ao encontro da lei:

  1. Tipicamente estas empresas reúnem equipas multidisciplinares com as competências requeridas á execução da função.
  2. A independência e distanciamento, tão importantes para esta função, são mais fáceis de manter do que quando comparamos com a utilização de um quadro interno.
  3. RGPD é o core business destas empresas e com elas podemos contar com a importação das “melhores práticas”.

Deste modo, podemos ver no outsourcing a melhor solução para o “problema” do DPO resolvendo, com uma relação custo/benefício eficiente, a questão e dando garantias aos titulares de dados e ao legislador que levamos a sério o RGPD.