DPO - Data Protection Officer

É sem dúvida a maior novidade do novo Regulamento e uma das mais importantes inovações - a figura do DPO "Data Protection Officer" ou "Chief Privacy Officer" que na tradução portuguesa é o "Encarregado da Proteção de Dados".

E como novidade que é, acompanha consigo uma quantidade de questões e dúvidas para todas as empresas e instituições em Portugal. 

Todas as empresas são obrigadas a ter DPO? 

As empresas devem ter DPO? 

Quem é designado DPO? 

Pode ser um consultor externo?        

Pode ser um trabalhador da empresa?

A criação desta função tornou-se central no regulamento pois é a forma encontrada pela União Europeia de garantir a segurança dos tratamentos dos dados e privacidade e segurança de processos aplicados pelas organizações, tutelando sempre a defesa dos direitos fundamentais de personalidade de que gozam todos os cidadãos.

No fim de contas, o que está em causa é garantir que as organizações a recolhem, tratam e armazenam as informações de forma extremamente cuidada, dando total confiança aos titulares dos dados.

É neste contexto que nasce a figura do DPO/Encarregado da Proteção dos Dados, um especialista para a proteção dos dados pessoais, capacitado para junto das empresas, informar e aconselhar acerca das novas obrigações e a intermediar com as várias entidades de modo a garantir a conformidade dos processos e políticas relativas ao novo regulamento.

Sim, de facto o DPO é um intermediário entre a várias entidades com as quais a organização terá de lidar, sejam elas clientes, fornecedores, trabalhadores, gestores, parceiros ou autoridades de controlo (que no caso português está ao cargo da CNPD - Comissão Nacional Proteção de Dados).

Ele é a pessoa designada pela organização para resolver todas as questões relacionadas com a Proteção de Dados e segurança da Informação.

Todas as organizações devem obrigatoriamente nomear um DPO?

A nomeação de um DPO é obrigatória em:

• Organizações Públicas;
• Entidades que controlem regularmente dados pessoais em "grande escala";
• Entidades que controlem regularmente dados pessoais sensíveis (o que são?- ver artigo) em "grande escala" ou dados pessoais relativos a condenações penais e infrações.
  

Apesar de nem todas as empresas serem obrigadas a ter um DPO, não invalida a obrigatoriedade de todas elas terem de cumprir com o novo regulamento. Todas as empresas têm de cumprir o regulamento! (Em virtude de elevadas coimas).

Surge então a necessidade clara, de as organizações, obrigadas ou não, nomearem um DPO, de modo a implementarem correctamente as mudanças necessárias de acordo com as novas regras comunitárias permitindo proteger e segurar a informação essencial com qual a empresa trabalha e que é essencial para atingir e desenvolver a sua actividade comercial. 

Em que consiste o "controlo regular" de dados pessoais e tratamento em "grande escala"?

Apesar de se tratarem de conceitos vagos e de ainda se esperar regulamentação interna que afine estes conceitos, podemos desde já garantir certos aspetos essenciais. 

"Controlo regular" significa um controlo contínuo ou que ocorre a intervalos específicos. Significa também que seja recorrente, constante ou até periódico. Ora analisando desta forma, podemos dizer, sem qualquer receio, que praticamente todo e qualquer dado utilizado por uma empresa é regular, uma vez que esta tenciona continuar a sua actividade comercial durante o maior período de tempo possível.

Relativamente ao conceito de "grande escala" estamos a falar designadamente de tratamento de dados a uma quantidade (que não é indicado qualquer número de referência) que pode ser não mais que "regional" desde que afete um número suficiente de titulares de dados e que sejam susceptível de criar qualquer risco. O que também coloca grande parte das empresas neste patamar.

Como referimos anteriormente, estes conceitos são ainda bastante vagos o que torna difícil a leitura por parte das organizações relativamente á sua obrigatoriedade. 

No entanto nunca é demais relembrar a obrigatoriedade das empresas em cumprir o regulamento. Se não for clara a necessidade de nomear DPO e as empresas optarem por não o fazer, devem, para sua própria defesa adoptar medidas necessárias de forma a estar "complience" com o regulamento, nomeadamente registar a razão de não o nomear um DPO, pois a qualquer momento pode ser solicitada pela CNPD a razão por não ter indicado um DPO.

O DPO desempenha um papel fulcral na medida em que garante que a organização cumpre com as suas obrigações legais, sendo o ponto de contacto entre a empresa e a autoridade, neste caso a CNPD.

O DPO pretende adaptar soluções específicas em cada organização de modo a proteger correctamente o valor criado pela empresa.

Pode ainda, ser nomeado um único DPO para um mesmo grupo empresarial desde que esteja facilmente acessível a partir de cada estabelecimento, ou seja, se for possível realizar as suas funções e obrigações para com as demais entidades e com a própria empresa. Tem de assegurar, com ajuda de uma equipa se necessário, a eficiente capacidade de cumprir a sua função.

É possível nomear DPO externo (como prestação de serviços) ?

Sim. O DPO pode exercer as suas funções com base num contrato de prestação de serviços celebrado entre este e a própria organização. As vantagens de um DPO externo encontram-se nos custos associados ás empresas que seriam efectivamente menores do que uma nomeação de um DPO interno na empresa e simultaneamente nas certificação de competências e conhecimentos individuais especializados na área jurídica da Proteção dos Dados. 

Compreender as implicações e impactos que o novo regulamento cria para o nosso ordenamento jurídico não é tarefa fácil, mas conseguir dar uma resposta eficiente e direta, está apenas ao alcance de profissionais dotados na área.

Assim, embora pese nas empresas a respectiva nomeação, recomendo que cada empresa pondere designar um DPO para auxiliar na implementação do novo quadro legal. 

E mesmo após uma reflexão, a empresa entenda que não necessita de designar um DPO é aconselhável que designe uma pessoa que seja responsável por tomar as devidas precauções, implementando na empresa procedimentos e soluções "complience" com o regulamento.

Na prática o DPO pretende ser um "facilitador" na implementação das novas regras comunitárias relativas á Proteção e Segurança dos Dados Pessoais, tal como na segurança e proteção da sua empresa, permitindo-lhe planear, desenvolver e alcançar os seus objetivos comerciais, sempre de acordo com as exigências da era da Transformação Digital.

A competência de um DPO é decisiva nessa medida que é a proteção do valor criado pela empresa. Somos especialistas a proteger esse valor! Somos especialistas a analisar, desenvolver procedimentos e a adaptar as melhores soluções nas respectivas organizações.