1.977 freguesias obrigadas a nomear gestor de proteção de dados

A lei que vai adaptar as especificidades do Regulamento Geral de Proteção de Dados (RGPD) em Portugal poderá obrigar 1.977 das 3.092 freguesias portuguesas a designarem um encarregado de proteção de dados — isto é, uma pessoa responsável por garantir a proteção dos dados pessoais dos cidadãos, apurou o ECO.

Uma versão do texto final da proposta de lei que vai ser votada em breve no Parlamento, a que o ECO teve acesso, refere que terá de existir “pelo menos um encarregado de proteção de dados” nas juntas de freguesia “com mais de 750 habitantes”. Ora, quase 64% do total de freguesias em Portugal enquadra-se neste critério, de acordo com os números da Pordata e da ANAFRE.

O critério representa uma novidade face à proposta inicial do Governo, que indicava apenas que a figura do encarregado de proteção de dados, também conhecido por DPO (data protection officer), era obrigatória “nas freguesias em que tal se justifique”, sem prestar mais especificações.

O novo texto versa que, “independentemente de quem seja responsável pelo tratamento, existe pelo menos um encarregado de proteção de dados nas freguesias em que tal se justifique, nomeadamente naquelas com mais de 750 habitantes, sendo designado pela junta de freguesia, com faculdade de delegação no presidente”. Contactada, a ANAFRE não quis fazer comentários.

Mais: todos os 308 municípios portugueses também vão ter de nomear um DPO, “sendo designado pela câmara municipal, com faculdade de delegação no presidente e subdelegação em qualquer vereador”. Os ministérios ou áreas governativas e as secretarias regionais também vão precisar de ter um DPO, segundo o mesmo documento.

No limite, encarregado pode ser o mesmo

Contudo, a proposta de lei que vai ser votada no Parlamento refere que “pode ser designado o mesmo encarregado de proteção de dados para vários ministérios ou áreas governativas, secretarias regionais, autarquias locais ou outras pessoas coletivas públicas”. E refere ainda que não é obrigatório “o exercício de funções em regime de exclusividade”, desde que, no caso dos reguladores, o DPO não exerça funções noutra entidade inserida no mesmo “perímetro regulatório”.

Assim, por outras palavras, no limite, poderá ser nomeada a mesma pessoa para exercer funções em todas as entidades em simultâneo. Isto desde que não haja incompatibilidades entre os vários organismos onde exerça funções.

Um ano depois de o RGPD entrar em vigor em toda a União Europeia (UE), o processo legislativo está agora a entrar na reta final, depois de meses de negociações e audições por parte do grupo de trabalho responsável pelo tema no Parlamento. Só falta mesmo fechar a lei que aplica o RGPD nos tribunais e realizar a votação final global dos documentos em plenário.

Segundo o RGPD, a figura do DPO é obrigatória em empresas que tratem grandes quantidades de dados ou dados sensíveis como os da saúde, mas também para as entidades públicas. No caso destas últimas, o regulamento deixou que fossem os Estados-membros a decidir em que condições.

O texto final dá também uma nova borla de seis meses às empresas para se prepararem para o RGPD (apesar de o regulamento já ter entrado em vigor em toda a UE e de ter havido um prazo de transição de dois anos) e prevê que as entidades públicas possam pedir uma moratória de três anos à Comissão Nacional de Proteção de Dados (CNPD) — que, nos casos em que for aprovada, dará uma isenção de coimas aos vários organismos do Estado.