O que é um EPD e a sua organização precisa de um?
O que é um EPD e o que fazem?
O encarregado da proteção de dados (também referido como «EPD») é um especialista em proteção de dados que presta aconselhamento sobre a conformidade em matéria de proteção de dados dentro de uma organização.
O encarregado da proteção de dados deve estar envolvido, de forma adequada e atempada, em todas as questões relacionadas com a proteção de dados pessoais.
De acordo com o RGPD, as funções do EPD são, pelo menos, as seguintes:
- informar e aconselhar a organização e os seus trabalhadores sobre o cumprimento da proteção de dados;
- controlar aconformidade da proteção de dados;
- prestar aconselhamento sobre pedidos relativos à avaliação de impacto sobre a proteção de dados (AIPD);
- atuar como ponto de contacto para a autoridade de proteção de dados (APD) e cooperar com essa autoridade de proteção de dados;
- atuar como ponto de contacto para os indivíduos.
A presença do encarregado da proteção de dados é geralmente recomendada quando são tomadas decisões com implicações para a proteção de dados. O encarregado da proteção de dados deve também ser imediatamente consultado logo que tenha ocorrido uma violação de dados ou outro incidente.
Na prática, é frequentemente atribuída ao encarregado da proteção de dados pelo responsável pelo tratamento ou pelo subcontratante a tarefa de manter o registo das operações de tratamento.
A minha organização precisa de um EPD?
A nomeação de um encarregado da proteção de dados é obrigatória nas três situações seguintes:
- a organização é uma autoridade pública que efetua o tratamento de dados pessoais;
- as atividades principais da organização consistem na monitorização regular e sistemática de indivíduos em grande escala, por exemplo, geolocalização através de uma aplicação móvel, ou vigilância de centros comerciais e espaços públicos através de CCTV;
- as principais atividades da organização consistem no tratamento de dados sensíveis em grande
As noções de «atividades principais», de «controlo regular e sistemático» e de «grande escala» são essenciais para determinar se uma organização deve nomear um encarregado da proteção de dados.
«Atividades principais» significa que as operações de tratamento são fundamentais para alcançar os objetivos do responsável pelo tratamento ou do subcontratante. Estas incluem também todas as atividades em que o tratamento de dados constitui uma parte indissociável da atividade do responsável pelo tratamento ou do subcontratante.
A «grande escala» depende de diferentes fatores, tais como o volume dos dados tratados, o número de pessoas em causa — quer como um número específico quer em proporção da população em causa, a duração e o âmbito geográfico do tratamento.
«Controlo regular e sistemático» inclui todas as formas de rastreamento e definição de perfis na Internet, incluindo para efeitos de publicidade comportamental. No entanto, a noção de monitorização não se restringe ao ambiente em linha.
Na prática
- Atividades principais
Por exemplo, o principal objetivo de uma clínica é fornecer serviços de saúde a indivíduos. Neste caso, o tratamento de dados de saúde, como os registos de saúde dos doentes, deve ser considerado como uma das principais atividades da organização.
No entanto, todas as organizações realizam determinadas atividades de apoio, por exemplo, pagando aos seus funcionários ou realizando atividades normais de apoio informático. Estes são exemplos de funções de apoio necessárias para a atividade principal da organização ou para o negócio principal. Embora estas atividades sejam necessárias ou essenciais, são geralmente consideradas funções acessórias e não a atividade principal.
- Grande escala
- Exemplos de transformação em grande escala incluem, por exemplo:
- o tratamento dos dados do doente no âmbito das atividades quotidianas de um hospital;
- o tratamento dos dados dos clientes no contexto das atividades quotidianas de uma companhia de seguros ou de um banco;
- o tratamento, para fins estatísticos, dos dados de localização atuais dos clientes de uma cadeia internacional de fast-food por um subcontratante especializado em tais serviços;
- tratamento de dados pessoais para fins de publicidade comportamental por um motor de pesquisa;
- o tratamento de dados (conteúdo, fluxo, localização) por fornecedores de serviços telefónicos e de Internet.
Exemplos de tratamentos que não seriam considerados em grande escala:
- tratamento dos dados dos doentes por um único médico de clínica geral;
- tratamento de dados pessoais relativos a condenações e infrações por um advogado individual.
- Monitorização regular e sistemática
Por exemplo, a monitorização regular e sistémica abrange o redirecionamento de correio eletrónico; atividades de marketing baseadas em dados; definição de perfis e pontuação para efeitos de avaliação dos riscos (por exemplo, para efeitos de pontuação de crédito, estabelecimento de prémios de seguro, prevenção da fraude, deteção de branqueamento de capitais); monitorização da localização (por exemplo, através de aplicações móveis); programas de fidelidade; publicidade comportamental; monitorização dos dados relativos ao bem-estar, à forma física e à saúde através de dispositivos usáveis pela pessoa; CCTV; dispositivos conectados (por exemplo, contadores inteligentes), automóveis inteligentes, domótica, etc.
Como tal, um subcontratante que tenha como atividade principal fornecer serviços de análise de sítios Web e assistência em publicidade e marketing direcionados terá de designar um encarregado da proteção de dados.
Pode sempre designar um encarregado da proteção de dados numa base voluntária, mesmo que tal não seja legalmente exigido. Tenha em atenção que, nesse caso, deve cumprir todas as disposições do RGPD relativas às funções e à posição do encarregado da proteção de dados. Portanto, é aconselhável usar apenas o título de EPD para uma pessoa cuja função e posição correspondam à descrição do RGPD.
Quem pode ser EPD na minha organização?
O encarregado da proteção de dados deve poder desempenhar as suas funções e tarefas de forma independente. Isto significa que a sua organização:
- não pode dar instruções ao encarregado da proteção de dados sobre o desempenho das suas funções;
- não pode penalizar ou demitir o encarregado da proteção de dados pelo desempenho das suas funções.
A autonomia dos EPD não significa, no entanto, que estes disponham de poderes de decisão que vão além das suas funções. As organizações continuam a ser responsáveis pelo cumprimento da legislação de proteção de dados e devem ser capazes de demonstrar essa conformidade.
O encarregado da proteção de dados deve ser encarado como um parceiro de discussão dentro da organização e deve fazer parte das discussões relativas às atividades de tratamento de dados dentro da organização.
Os EPD reportam diretamente ao mais alto nível da direção do responsável pelo tratamento de dados ou do subcontratante.
Os EPD podem desempenhar outras funções dentro da organização, mas isso não pode resultar num conflito de interesses. Tal implica que o encarregado da proteção de dados não pode ter uma posição na qual determine as finalidades e os meios das atividades de tratamento de dados pessoais. As funções conflituantes incluem principalmente cargos de gestão (administrador executivo, diretor operacional, diretor financeiro, chefe de recursos humanos, chefe de TI, diretor executivo), mas podem também envolver outras funções se conduzirem à determinação das finalidades e dos meios de tratamento.
Nos termos do RGPD, é possível designar um EPD externo com um contrato de prestação de serviços. Este contrato pode ser celebrado com uma pessoa singular ou uma organização. Neste último caso, é essencial que cada membro da organização não tenha um conflito de interesses e esteja protegido contra qualquer rescisão abusiva do contrato de prestação de serviços, mas também contra o despedimento abusivo de qualquer membro individual da organização por atividades como EPD.
A sua organização deve apoiar o encarregado da proteção de dados, facultando acesso a quaisquer operações de tratamento, bem como a quaisquer dados pessoais tratados no contexto dessas operações de tratamento. É essencial que o encarregado da proteção de dados participe o mais cedo possível em todas as questões relacionadas com a proteção de dados. Devem igualmente ser disponibilizados ao encarregado da proteção de dados os recursos necessários para o desempenho das suas funções (tempo, formação, equipamento e meios financeiros).
Na prática
No desempenho das suas funções, os EPD não devem ser instruídos sobre a forma de lidar com uma questão. Por exemplo, o encarregado da proteção de dados não deve receber instruções sobre qual deve ser o resultado do seu aconselhamento, nem sobre a forma como deve investigar uma queixa apresentada por uma pessoa, nem sobre a adequação ou obrigatoriedade da consulta à autoridade de proteção de dados. Além disso, o encarregado da proteção de dados não deve ser instruído a adotar um determinado ponto de vista sobre uma questão relacionada com a legislação em matéria de proteção de dados, como, por exemplo, uma interpretação específica da lei.
Lista de verificação para a designação de um encarregado da proteção de dados
- Verifique se é exigível terum encarregado da proteção de dados: Verifique se é necessário nomear um encarregado da proteção de dados e, em caso de dúvida, documentar as razões pelas quais nomeia ou não um EPD.
- Se for necessário um encarregado da proteção de dados:
- Decida entre um EPD interno ou externo: Se for necessário um encarregado da proteção de dados, decida se será elemento do pessoal da sua organização ou um EPD com base num contrato de prestação de serviços;
- Verifique se o encarregado da proteção de dados possui as qualidades profissionais e os conhecimentos especializados na legislação e práticas em matéria de proteção de dados, bem como a capacidade para desempenhar as funções;
- Verifique os requisitos de independência: Verifique se o seu encarregado da proteção de dados tem outras obrigações suscetíveis de comprometer a sua independência no desempenho das suas funções (conflitos de interesses);
- Desenvolva procedimentos normalizados dentro da governança da sua organização para o envolvimento do EPD.
- Decida entre um EPD interno ou externo: Se for necessário um encarregado da proteção de dados, decida se será elemento do pessoal da sua organização ou um EPD com base num contrato de prestação de serviços;
- Se não for necessário um encarregado da proteção de dados:
- Pense bem sobre este assunto: Mesmo que não designe um encarregado da proteção de dados na aceção do RGPD, continuará a ter de cumprir uma série de requisitos de proteção de dados. Aconselhamo-lo a designar um EPD numa base voluntária, ou uma pessoa que, não tendo o título de EPD nem exercendo plenamente as funções de um EPD, controla a conformidade da sua organização com o RGPD e atua como pessoa de contacto para as pessoas quando exercem os seus direitos enquanto titulares dos dados.
- Pense bem sobre este assunto: Mesmo que não designe um encarregado da proteção de dados na aceção do RGPD, continuará a ter de cumprir uma série de requisitos de proteção de dados. Aconselhamo-lo a designar um EPD numa base voluntária, ou uma pessoa que, não tendo o título de EPD nem exercendo plenamente as funções de um EPD, controla a conformidade da sua organização com o RGPD e atua como pessoa de contacto para as pessoas quando exercem os seus direitos enquanto titulares dos dados.