Nestes últimos anos, o RGPD tem atraído a atenção de todos e, simultaneamente, despertou uma imensidão de dúvidas com elevado teor prático a nível nacional e supranacional (Cfr. Lei de Execução do RGPD). Facilmente se encontram referências aos sistemas de “Compliance de Proteção de Dados”, i.e., sistemas que: (i) promovam e demonstrem o cumprimento dos comandos oriundos do Direito da Proteção de Dados Europeu; (ii) analisem de forma proativa, construtiva e, de certo modo, sugestiva os modelos adotados pela entidade por onde passam esses dados pessoais; e (iii) fiscalizem e garantam o efetivo cumprimento do Direito da Proteção de Dados.
O Encarregado da Proteção de Dados (EPD ou DPO – Data Protection Officer) pode ser um elemento-chave, com funções muito próprias e sujeito a um regime especialmente consagrado nos arts. 37.º e ss. do RGPD (e arts. 9.º e ss. da Lei de Execução do RGPD). Pode ser um trabalhador da empresa ou de uma das empresas do grupo, mas pode ser também um prestador de serviço (pessoa singular ou coletiva). Em alguns casos, a sua designação pode ser obrigatória (art. 37.º, n.º 1, do RGPD); noutros casos, é facultativa ou (muito) conveniente. Contudo, não nos podemos esquecer que um DPO tem um estatuto jurídico legalmente previsto que pode onerar, substancial e financeiramente, o empregador. Por isso, nos casos em que a sua designação não é obrigatória, o empregador poderá optar por um consultor para esta área.
A nomeação de um DPO passa, nomeadamente, pelas seguintes questões: (i) devo escolher um trabalhador ou um prestador de serviços? (ii) se for trabalhador, deve cumular essas funções, por exemplo, com as de diretor jurídico ou de diretor de recursos humanos? (iii) deve reportar diretamente ao conselho de administração? (iv) pode ficar enquadrado no departamento jurídico ou no departamento de recursos humanos? (v) deve ter formação jurídica ou em sistemas de informação? (vi) o DPO perfeito existe?
Para além destes dilemas organizacionais, há um outro muito importante: a ausência de conflitos de interesse (art. 38.º, n.º 6, do RGPD). Este requisito negativo está intimamente conectado com o princípio da independência, imposto ao DPO no exercício das suas funções. Não pode o DPO ter outras funções que obstem à monitorização do sistema de compliance que tenha sido adotado.
O Grupo de Trabalho ao art. 29.º elaborou algumas orientações bastante úteis para este efeito. Refere, nas suas Guidelines, que não se exclui a possibilidade do DPO poder exercer outras funções (não está sujeito a exclusividade de função), porém este não poderá ser, em exemplo, uma pessoa que exerça cargos de chefia ou de representação em determinados departamentos (cargos de direção), tais como: os diretores dos departamentos financeiros, de serviço médico, de marketing ou de recursos humanos. Esclarece, ainda, que pode também estar vedado o exercício de funções hierarquicamente inferiores na estrutura organizacional que determinem os propósitos e meios de processamento. Não poderão ser designados, porém, aqueles que, no exercício da sua atividade, violarem deveres assumidos perante outra posição na empresa.
Não obstante a utilidade deste guia, o problema não se encontra inteiramente resolvido. De todo o modo, o RGPD parece impor um dever de due diligence do responsável pelo tratamento e do subcontratante no momento da designação do DPO. E se fosse apenas um consultor?
David Carvalho Martins | Tiago Sequeira Mousinho | DCM LAWYERS