A sua empresa precisa de um Encarregado de Proteção de Dados?

O Regulamento Geral de Proteção de Dados (RGPD) entrou em vigor no dia 24 de abril de 2016, mas passou a ser aplicável a 25 de maio de 2018. A nova legislação, que tem como principal objetivo proteger as pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, veio alterar significativamente as obrigações das empresas que lidam com este tipo de informação.

Se é gestor de uma PME ou de uma grande empresa estará a par dos requisitos necessários para a compliance e, com toda a certeza já ouviu falar da necessidade de ter um Encarregado de Proteção de Dados (EDP) ou Data Protection Officer (DOP).

É de salientar, contudo, que as PME apenas terão de nomear um Encarregado de Proteção de Dados se o tratamento for o seu principal negócio e constituir uma ameaça específica aos direitos e liberdades das pessoas (como o controlo de pessoas ou o tratamento de dados sensíveis ou registos criminais), sobretudo por ser efetuado em grande escala.

Encarregado de Proteção de Dados: o que saber

De acordo com o artigo 37º do RGPD, quer seja um responsável pelo tratamento, quer um subcontratante, se as atividades principais da sua empresa/organização envolverem o tratamento de dados sensíveis em grande escala ou se as atividades principais envolverem o controlo sistemático, regular e em grande escala de pessoas, então deve ser nomeado, obrigatoriamente, um EPD.

Esta figura, que pode ser um funcionário ou um consultor externo, ficará responsável pela conformidade em matéria de proteção de dados. Além de facilitar a conformidade através da implementação de instrumentos de responsabilização (viabilizando, por exemplo, avaliações de impacto sobre a proteção de dados e efetuando ou viabilizando auditorias), os EPD servem de intermediários entre as partes interessadas (as autoridades de controlo, os titulares de dados e as unidades empresariais dentro de uma organização).

O responsável pelo tratamento e o subcontratante designam um Encarregado de Proteção de Dados sempre que:

• O tratamento for efetuado por uma autoridade ou um organismo público, excetuando os tribunais no exercício da sua função jurisdicional;
• As atividades principais do responsável pelo tratamento ou do subcontratante consistam em operações de tratamento que, devido à sua natureza, âmbito e/ou finalidade, exijam um controlo regular e sistemático dos titulares dos dados em grande escala;
• As atividades principais do responsável pelo tratamento ou do subcontratante consistam em operações de tratamento em grande escala de categorias especiais de dados e de dados pessoais relacionados com condenações penais e infrações.

Posição do Encarregado de Proteção de Dados

A nova legislação refere ainda que o responsável pelo tratamento e o subcontratante asseguram que o Encarregado da Proteção de Dados seja envolvido, de forma adequada e em tempo útil, a todas as questões relacionadas com a proteção de dados pessoais.

Ao Encarregado de Proteção de Dados deve ser dado todo o apoio necessário para o exercício das funções, fornecendo-lhe os recursos necessários ao desempenho dessas funções e à manutenção dos seus conhecimentos, bem como dando-lhe acesso aos dados pessoais e às operações de tratamento.

Os titulares dos dados podem contactar o EDP sobre todas questões relacionadas com o tratamento dos seus dados pessoais e com o exercício dos direitos que lhe são conferidos pelo presente regulamento.

Funções do Encarregado de Proteção de Dados

O encarregado da proteção de dados tem, pelo menos, as seguintes funções:

1. Informa e aconselha o responsável pelo tratamento ou o subcontratante, bem como os trabalhadores que tratem os dados, a respeito das suas obrigações nos termos do RGPD e de outras disposições de proteção de dados da União ou dos Estados-Membros.

2. Controla a conformidade com o RGPD, com outras disposições de proteção de dados da União ou dos Estados-Membros e com as políticas do responsável pelo tratamento ou do subcontratante relativas à proteção de dados pessoais, incluindo a repartição de responsabilidades, a sensibilização e formação do pessoal implicado nas operações de tratamento de dados, e as auditorias correspondentes.

3. Presta aconselhamento, quando tal lhe for solicitado, no que respeita à avaliação de impacto sobre a proteção de dados e controla a sua realização.

4. Coopera com a autoridade de controlo.

5. Ponto de contacto para a autoridade de controlo sobre questões relacionadas com o tratamento.

6. No desempenho das suas funções, o encarregado da proteção de dados tem em devida consideração os riscos associados às operações de tratamento, tendo em conta a natureza, o âmbito, o contexto e as finalidades do tratamento.

Exemplos

Casos em que um EPD é obrigatório

Um EPD é obrigatório, por exemplo, quando a sua empresa é:

• Um hospital que efetua o tratamento de grandes conjuntos de dados sensíveis;
• Uma empresa de segurança responsável por vigiar centros comerciais e espaços públicos;
• Uma pequena empresa «caça-talentos» que define perfis de pessoas.

Casos em que o EPD não é obrigatório

Um EPD não é obrigatório se:

• Se tratar de um médico da comunidade local que efetua o tratamento dos dados pessoais dos seus doentes;
• Se tratar de uma pequena sociedade de advogados que efetua o tratamento dos dados pessoais dos seus clientes.

Veja também:

• 4 mudanças na contratação que o RGPD traz
• Regulamento Geral de Proteção de Dados: o que muda?
• Formação em RGPD: para quem, onde e preços
• Checklist de requisitos RGPD: passo a passo para a conformidade