Não restam dúvidas que o RGPD implica muitas mudanças na forma como as empresas funcionam. Mudanças organizacionais, documentais, comunicacionais, processuais, funcionais e de sistemas. Todas almejam o mesmo fim, assegurar que os dados pessoais que são processados pelas empresas são tratados de forma segura e cumpridora dos direitos do titular.
Uma das mais notáveis novidades aportadas pelo RGPD é a emergência, de forma incontornável, da figura do Encarregado de Proteção de Dados vulgo DPO (Data Protection Officer). Aliás, toda a Secção 4 do Regulamento é dedicada a esta função que concentra em si o esforço de verificação e manutenção do cumprimento das diversas alterações que advêm desta nova lei.
Sendo que é sempre desejável que as empresas nomeiem uma pessoa que exerça estas funções, o Artigo 37, na sua primeira alínea, enumera as situações em que tal é obrigatório:
Secção 4 Encarregado da proteção de dados
Artigo 37.o Designação do encarregado da proteção de dados
1. O responsável pelo tratamento e o subcontratante designam um encarregado da proteção de dados sempre que:
a) O tratamento for efetuado por uma autoridade ou um organismo público, excetuando os tribunais no exercício da sua função jurisdicional;
b) As atividades principais do responsável pelo tratamento ou do subcontratante consistam em operações de tratamento que, devido à sua natureza, âmbito e/ou finalidade, exijam um controlo regular e sistemático dos titulares dos dados em grande escala; ou
c) As atividades principais do responsável pelo tratamento ou do subcontratante consistam em operações de tratamento em grande escala de categorias especiais de dados nos termos do artigo 9.o e de dados pessoais relacionados com condenações penais e infrações a que se refere o artigo 10.o.
Seguidamente, no seu Artigo 38, o Regulamento determina uma série de características associadas a esta posição, destacando-se entre elas o facto do DPO ter que ser envolvido a todos os níveis em tudo que esteja relacionado com o processamento de dados e também que é da responsabilidade da gestão assegurar que ele tem à sua disposição, não só os recursos necessários para o exercício da sua função, como também deve receber a formação adequada. Finalmente, o regulamento também tenta proteger as pessoas nomeadas para a função chegando a explicitar que “não recebe instruções relativamente ao exercício das suas funções”, “não pode ser destituído nem penalizado pelo responsável pelo tratamento ou pelo subcontratante pelo facto de exercer as suas funções” e que “informa diretamente a direção ao mais alto nível “.
Tudo isto demonstra a importância que a lei atribui a esta função e por consequência, não deverá ser leviana a escolha de quem a pode exercer.
Na prática, as responsabilidades que serão adstritas ao DPO são variadas. Nomeio aqui apenas as mais óbvias.
Quando consideramos a importância da função e a diversidade das responsabilidades começamos a perceber que quem a exerce deve deter uma série de competências e conhecimentos que não são fáceis de encontrar numa só pessoa. Ora vejamos:
Se recorrermos aos perfis mais comumente encontrados nas empresas parece que precisamos de um gestor/informático/jurídico/comercial/auditor tudo numa só pessoa. Onde encontramos este perfil? Como podemos nomear alguém que consiga reunir todas estas valências para assegurarmos o cumprimento da lei?
Nas empresas maiores a solução encontra-se naturalmente na constituição de equipes multidisciplinares, mas o que fazer nas PME’s onde o custo desta solução é certamente mais difícil de suportar?
A resposta óbvia encontra-se no “outsourcing” ou externalização da função. Esta solução é explicitamente prevista no Regulamento, onde na alínea 6 do Artigo 37, se pode ler “O encarregado da proteção de dados pode ser um elemento do pessoal da entidade responsável pelo tratamento ou do subcontratante, ou exercer as suas funções com base num contrato de prestação de serviços.” Este é o caminho mais óbvio para as PME’s que, preocupadas com o cumprimento da lei, não têm nem a disponibilidade de recursos humanos nem as competências internas para poderem responder a este perfil.
Ao recorrer a uma empresa externa para a função de DPO conseguem-se várias vantagens que vão ao encontro da lei:
Deste modo, podemos ver no outsourcing a melhor solução para o “problema” do DPO resolvendo, com uma relação custo/benefício eficiente, a questão e dando garantias aos titulares de dados e ao legislador que levamos a sério o RGPD.