Sou DPO, e agora?

As organizações que tratam os dados pessoais passaram a ter um conjunto significativo de obrigações. Uma delas é a designação de um Encarregado da Proteção de Dados, ou DPO.

A enorme torrente de mensagens de correio eletrónico que todos recebemos nas nossas caixas de e-mail por volta de 25 de maio fez-nos despertar para o Regulamento Geral da Proteção de Dados ou RGPD e respetivas consequências. Contudo, independentemente do impacto que este regulamento comunitário tenha nas nossas vidas, com um elenco acrescido de direitos e novas ferramentas que visam reforçar uma cultura de respeito pela nossa privacidade, as organizações que tratam os dados pessoais passaram a ter, por sua vez, um conjunto significativo de obrigações, entre as quais se poderá destacar a designação de um Encarregado da Proteção de Dados, ou DPO como é vulgarmente conhecido enquanto acrónimo de Data Protection Officer.

A nomeação de um DPO nem sempre será obrigatória mas nada impede que qualquer empresa opte por ter um DPO, até pelo que isso equivale em termos de tentativa de conformidade com o RGPD, num cenário em que o número de obrigações de privacidade e proteção de dados é bastante superior e as penalizações financeiras pelo seu incumprimento bem mais pesadas.

Contudo, pensando naquelas e naqueles sobre quem possa recair o exercício destas funções, gostaria de tentar cartografar este território ainda pouco conhecido, de modo a que, mesmo não fornecendo todas as coordenadas, o DPO saiba pelo menos o seu ponto de partida.

Posso ou não ser DPO?

A primeira pergunta a fazer será, antes de mais, a seguinte: posso ou não ser DPO? O estatuto de independência que o desempenho destas funções exige leva a que o Encarregado da Proteção de Dados não possa, simultaneamente, decidir tratar dados pessoais para um determinado fim e, posteriormente, avaliar se esse tratamento foi conforme o RGPD.
Por exemplo, um Diretor de Marketing que planeie uma campanha de publicidade, incluindo o público-alvo, o método de comunicação e os dados pessoais que permitirão uma publicidade direcionada não poderá, posteriormente, vir determinar se essa mesma campanha cumpriu ou não os requisitos aplicáveis de privacidade. Ou seja, um Diretor de Marketing não poderá ser DPO.

Por onde começar?

Ultrapassado este primeiro obstáculo, o DPO nomeado ou a nomear, liberto de potenciais conflitos de interesse, deve começar por informar-se sobre o RGPD, sobre a legislação nacional aplicável, numa altura em que o diploma regulamentador ainda se encontra em discussão na Assembleia da República, sobre as orientações emitidas ao nível da União Europeia, nomeadamente pelo Grupo de Trabalho do Artigo 29, e sobre quaisquer normas internas aplicáveis.
Organizada e lida toda esta informação, deve pesquisar os diferentes tratamentos de dados pessoais efetuados pela entidade onde desempenha funções, realizando o respetivo registo de atividades de tratamento, o qual nem sempre será obrigatório mas é, pelo menos, altamente recomendável para “conhecer os cantos à casa” e determinar assim os fluxos de entrada e saída de dados.

Por outro lado, deve dar-se a conhecer. A sua nomeação terá de ser comunicada à Comissão Nacional de Proteção de Dados, sendo que já existe um formulário próprio para o efeito no sítio web www.cnpd.pt. Os funcionários e colaboradores da organização em causa devem ser informados da sua nomeação, sobre a sua atuação futura e sobre os seus contactos.
Aliás, deve verificar se pode ser facilmente acedido, por exemplo através de um endereço de e-mail, de um número de telefone ou mesmo com base num formulário web interativo, contactos esses que devem constar da respetiva política de privacidade. Finalmente, deve reunir com os responsáveis dos diversos departamentos e apresentar um plano de trabalhos.

Qual o conteúdo do plano de trabalhos?

Ora, o que poderá conter este plano de trabalhos? Com base no registo de atividades de tratamento, deve identificar as ações a realizar, de modo a mitigar quaisquer riscos que possam resultar de operações não conformes com o RGPD. Por exemplo, há que esclarecer quais são os tratamentos de dados pessoais que necessitam de consentimento.
Também se aconselha que coloque alguns procedimentos em curso, como aqueles relativos à gestão do exercício dos direitos pelos titulares dos dados, à notificação de violações de dados pessoais e à avaliação de impacto sobre a proteção dos dados.

Finalmente, importa colocar a administração, dirigentes, funcionários e colaboradores “num mesmo barco”, sensibilizando para esta temática e distribuindo tarefas que permitirão à organização, como um todo, cumprir o RGPD, como manter uma secretária limpa, mudar regularmente as passwords ou bloquear o respetivo computador quando este não esteja a ser utilizado.

E no futuro?

Passada uma primeira fase, com atividades em curso devidamente documentadas, tenha em mente que não pode perder o controlo. Portanto, convém reunir regularmente com os diversos intervenientes e verificar como está a decorrer a implementação das ações definidas, onde aliás deverá ter sempre pontos de contacto para agilizar o seu acompanhamento.

Por outro lado, não se esqueça que não está sozinho. Existirão outros DPO’s no mesmo setor de atividade ou, pelo menos, na mesma zona geográfica com quem poderá entrar em contacto, sem prejuízo do respetivo dever de confidencialidade, e partilhar as dificuldades enfrentadas e as soluções encontradas. Aproveite essa mesma oportunidade para esclarecer eventuais dúvidas e conhecer boas práticas, a replicar na sua organização.

Comentários ({{ total }})

Sou DPO, e agora?

Respostas a {{ screenParentAuthor }} ({{ totalReplies }})

{{ noCommentsLabel }}

Ainda ninguém comentou este artigo.

Promova a discussão dando a sua opinião