DPO. Quem é o responsável pela proteção de dados?
A partir de Maio, as empresas têm de nomear um responsável pela protecção de dados, criado pelo novo regulamento europeu, estimando-se que serão necessários 75 mil profissionais. “O cargo do Responsável da Proteção de Dados é particularmente exigente, constitui o ponto de contacto para a autoridade de controlo, tendo que ter conhecimentos especializados no domínio do direito e das práticas de proteção de dados, bem como a capacidade para desempenhar as funções de informar e aconselhar, controlar a conformidade, sensibilizar e formar, auditar e cooperar com a autoridade de controlo, entre outras”, resumem os organizadoras na página de Internet criada para a formação destes profissionais (as formações estão a cargo da Associação Empresarial de Portugal, em Leça da Palmeira, e decorrem entre fevereiro e março).
Só pelo facto de não designarem este encarregado de protecção de dados, que irá monitorizar o cumprimento do regulamento e ser o ponto de contacto com o regulador (a Comissão Nacional de Protecção de Dados), as empresas arriscam pagar uma multa. “O quadro sancionatório do regulamento. Ou seja, aquilo que hoje devia ser já uma preocupação generalizada das organizações, passou a sê-lo com a aplicação de coimas até 10 milhões ou 20 milhões de euros, consoante a gravidade da infração, ou 2% ou 4% do volume de faturação”, explicou João Costa Quinta, sócio da DLA Piper numa entrevista ao Jornal Económico.
Criada no âmbito do novo Regulamento Geral de Proteção de Dados (RGPD), que vem revolucionar o enquadramento jurídico da proteção de dados pessoais, o DPO é uma das novidades deste novo quadro legal, que, por exemplo, impõe um prazo de 72 horas para comunicar incidentes com dados e limita a capacidade das empresas pedirem e usarem dados pessoais ao fim para que realmente se destinam e com uma janela temporal definida.
“O DPO personifica a autorregulação dos dados pessoais nas organizações. Parte das funções que eram da Comissão Nacional de Proteção de Dados (CNPD) passam para a responsabilidade das organizações que devem designar um DPO sempre que estejam perante as situações previstas no RGPD”, explicou ao Jornal Económico, Andreia Teixeira, Senior partner da AON.
Esta responsável acrescenta que as situações previstas no RGPD parecem incluir um vasto leque de organizações e empresas vinculadas a designar um DPO, pois são utilizados conceitos indeterminados e deixa-se também alguma margem para a lei nacional definir o que se enquadra no conceito de “autoridades ou organismo público”.
Uma vez que o RGPD pretende salvaguardar a independência do DPO, este só responderá perante a administração/gerência e não deverá receber instruções sobre o exercício das suas funções, não podendo ser destituído por tal, esclarece a especialista.
“Na hora de nomear um DPO são vários os aspetos a ter em consideração, nomeadamente, verificar se não existe um eventual conflito de interesses com a função que o DPO já desempenhava previamente e continuará a desempenhar cumulativamente (ex.º: diretor de IT ou de recursos humanos)”, acrescenta Andreia Teixeira.
A sua relação com as outras áreas da empresa deverá ser potenciada com vista a promover a conformidade com o RGPD. O recomendável é que o DPO seja coadjuvado por uma equipa multidisciplinar que o apoie e contribua para o cabal cumprimento das obrigações impostas pelo RGPD.
“Em suma, o DPO será o garante do cumprimento do RGPD na empresa e o interlocutor entre os vários stakeholders (titulares dos dados, autoridade de controlo, entre outros)”, conclui a responsável.
