Data Protection Officer: uma profissão com muitos riscos e desafios

Desde a publicação do RGPD (Regulamento UE 2016/679, do Parlamento Europeu e do Conselho, de 27 de abril, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados), um dos temas que tem merecido mais atenção por parte das empresas tem sido o do DPO (Data Protection Officer) ou como, ficou consagrado na versão portuguesa, EPD (Encarregado de Proteção de Dados).

A Lei n.º 58/2019, de 8 de agosto, que assegura a execução, na ordem jurídica nacional, do RGPD, não traz grandes novidades em relação à figura do DPO em entidades privadas, limitando-se a reforçar alguns aspetos, como a autonomia técnica perante o responsável, bem como as obrigações de sigilo e confidencialidade.

No entanto, a lei veio acrescentar algumas funções à lista que o RGPD já atribui ao encarregado de proteção de dados: (a) assegurar a realização de auditorias, quer periódicas, quer não programadas; (b) sensibilizar os utilizadores para a importância da deteção atempada de incidentes de segurança e para a necessidade de informar imediatamente o responsável pela segurança; e (c) assegurar as relações com os titulares dos dados nas matérias abrangidas pelo RGPD e pela legislação nacional em matéria de proteção de dados.

Merece particular destaque a função de assegurar auditorias, enquadrável no princípio da responsabilidade (accountability), pelas dúvidas que suscita quanto à regularidade exigível para as auditorias periódicas (uma por ano?) ou das não programadas, bem como ao seu âmbito de avaliação (todos os temas? apenas os temas que tenham sido identificados como problemas?).

Já no que se refere às entidades públicas, a lei portuguesa veio também enquadrar o tema de encarregados de proteção de dados em entidades públicas, esclarecendo quais as entidades abrangidas e definindo a necessidade de nomear um DPO por cada ministério ou área governativa, bem como por cada secretaria regional, por cada município e ainda por freguesia, quando “tal se justifique, nomeadamente naquelas com mais de 750 habitantes”.

Um outro tema que fica clarificado é a não exigência de quaisquer certificações para desempenhar o cargo e o facto de poder exercer outras funções e atribuições, desde que não resultem num conflito de interesses.

As orientações anteriormente divulgadas esclareciam já que os cargos suscetíveis de gerar conflitos seriam cargos como diretor executivo, diretor de operações, diretor financeiro, diretor do departamento médico, diretor de marketing, diretor dos recursos humanos ou diretor informático, como também outras funções, se esses cargos ou funções levarem à determinação das finalidades e dos meios de tratamento.

A profissão de DPO está a crescer rapidamente e continuará a crescer ainda mais. No entanto, são muitos os riscos e desafios associados à mesma. Desde logo, aquela que será a queixa mais comum: a falta de recursos. Muitos DPOs estão sozinhos, sem uma equipe, nem a atenção de outras equipes, necessárias para tomar decisões.

A falta de recursos é um problema real. A solução passa muitas vezes pela sensibilização de todos para importância da proteção de dados de forma a obter a colaboração necessária ao bom desempenho das suas tarefas.

Contribui para este problema a abrangência das funções de um DPO. São muitos os temas com que lidar, desde a formação, à organização da documentação, passando pela resposta a pedidos e reclamações dos titulares dos dados e mesmos a interação com a autoridade de supervisão.

Na verdade, exceção feita a algumas empresas, continua a verificar-se que a maioria continua com um estado de cumprimento ainda rudimentar, estando em falta várias atividades identificadas como obrigatórias, em especial as avaliações de impacto de proteção de dados.

Como forma de evitar falhas e problemas derivados dessas dificuldades, assume especial importância a priorização de tarefas, a delegação ou a externalização de questões que não sejam possíveis assegurar com a equipa existente.

Um outro problema está relacionado com a dificuldade em encontrar pessoal qualificado e com experiência em temas de proteção de dados. A falta de pessoal com experiência pode ter um impacto direto na qualidade e velocidade do trabalho a desempenhar. A solução encontrada pela maioria das empresas é a formação, No entanto, esta implica um esforço financeiro e alocar disponibilidade.

Por último, existe uma importante decisão a tomar quanto à automatização de algumas das tarefas, como operações de mapeamento e inventário, na qual algumas ferramentas poderão ajudar, reduzindo a carga de trabalho associada, mas que uma vez mais implicam algum esforço financeiro.

*Ricardo Henriques é sócio da sociedade Abreu Advogados.