A misteriosa figura do DPO

Esta é uma realidade/função já existente noutros países europeus como a Alemanha e a França, mas também em Portugal há algumas empresas e instituições que já recorriam e estavam familiarizadas com esta figura, mesmo antes da aprovação do RGPD, apesar de a mesma ser ainda desconhecida da generalidade das organizações. 

Este súbito interesse no e pelo DPO deve-se ao facto de o RGPD (aplicável a partir de 25 de maio de 2018) impor, nas situações previstas no seu artigo 37.º, a obrigatoriedade de as entidades designarem um profissional com estas responsabilidades, prevendo consequências no caso de incumprimento.  

Face a esta disposição, surgem inúmeras  interrogações como: Qual o papel do DPO? Qual a sua responsabilidade? É obrigatório designar um DPO?

Os casos em que a designação do DPO é obrigatória estão previstos no art.º 37.º do RGPD. No entanto, ainda que para algumas entidades não seja obrigatório, esta designação pode ser recomendada, evidenciando empenho das empresas em garantir a adequação e conformidade com o RGPD. Esta é uma ponderação que cada instituição deverá fazer e fazê-lo atempadamente para que o DPO designado tenha tempo suficiente para preparar a adequação ao RGPD. Neste processo de ponderação deve, no caso dos grupos empresariais, ser avaliada a necessidade de designação de um ou vários DPOs, sendo que pode ser designado um único se este estiver facilmente acessível a partir de cada estabelecimento. 

Já no que respeita ao papel do DPO, o art.º 39.º do RGPD indica as funções que, pelo menos, este terá de assegurar. Isto é, terá de informar e aconselhar o responsável pelo tratamento ou subcontratante e trabalhadores que efetuem tratamento de dados sobre as suas obrigações nesta matéria; controlar a conformidade com o RGPD e outras disposições de proteção de dados da UE ou dos Estados-Membros, bem como com as políticas do responsável ou subcontratante nesta matéria. Incumbe-lhe também a sensibilização e formação dos colaboradores ligados ao tratamento de dados e acompanhar as respetivas auditorias; a prestação de aconselhamento (se solicitado) quanto à avaliação de impacto sobre a proteção de dados, controlando a sua realização; cooperar com a autoridade de controlo e ser o ponto de contacto com esta no que respeita ao tratamento de dados, consultando-a também sobre qualquer questão.

Assim, é legítimo que se espere que o DPO assegure estas funções, mas é também legítimo esperar-se que não fique a elas restringido. 

Desta forma, o DPO tem a responsabilidade de garantir a conformidade com as regras relativas à proteção de dados. Isto, porque a ele compete informar, aconselhar, sensibilizar e formar os responsáveis das empresas e os seus colaboradores para esta matéria. Mas também porque é ele o rosto visível da organização nos contactos com a Autoridade de Controlo que, entre nós, tudo aponta para que seja a Comissão Nacional de Proteção de Dados. Também será o ponto de contacto entre a organização e os titulares dos dados sempre que estes pretendam determinada informação ou procurem exercer um direito previsto no RGPD.

Apesar de toda a responsabilidade que o DPO tem na garantia da conformidade das entidades com as regras de proteção de dados, a verdade é que também os colaboradores, chefias e órgãos diretivos das organizações têm aqui um papel determinante. Não adiantará de muito ter o melhor e mais competente dos DPOs se cada um, no seu trabalho individual, não levar à prática os conselhos, orientações e recomendações do DPO nesta matéria, negligenciar ou deliberadamente não respeitar as novas exigências.

Cada um, enquanto parte integrante de uma organização, deverá ser uma espécie de DPO "ad hoc”, procurando respeitar as políticas de privacidade a que está sujeito e cumprindo as regras de proteção de dados em todas as situações em que esteja envolvido. 

Por outro lado, apesar de os DPOs poderem ser considerados os "novos guardiães” do cumprimento do RGPD e da criação de garantias de conformidade das entidades com as quais colaboram, é de notar que a designação do DPO não exonera as organizações da responsabilidade civil ou contraordenacional que eventualmente possa existir por qualquer não conformidade detetada. 

Assim, consideramos que a responsabilidade que o DPO assume não desobriga cada elemento que compõe uma organização. Trata-se, isso sim, de uma missão conjunta! 

Artigo de Opinião Leandra Dias, Jurista da PRIMAVERA - Publicado no Expresso (no dia 11 de novembro 2017)