O seguinte texto foi escrito para a obra “Tendências 2021” (Dezembro de 2020), por Inês Oliveira e Horácio Lopes, então respectivamente presidente e vice-presidente da Direção da Associação dos Profissionais de Proteção e de Segurança de Dados (APDPO). Pela sua actualidade, devido aos acontecimentos recentes sobre as funções e importância dos DPOs nas organizações, é agora republicado.

O encarregado da proteção de dados/EPD (“data protection officer”/DPO), ao contrário do que se possa pensar, não foi concebido pelo Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados/RGPD).

Esta profissão foi criada pela revogada Diretiva 95/46/CE. Recorde-se que a Diretiva de 95 materializou um paradigma assente na notificação prévia (cf. art. 18.º da Diretiva), permitindo a simplificação ou até a isenção desta se a organização nomeasse um encarregado da proteção de dados. Recorde-se ainda que este profissional seria responsável por garantir, de modo independente, a aplicação, a nível interno, das disposições nacionais e manter um registo dos tratamentos efetuados pela organização, assegurando, assim, que os tratamentos não seriam suscetíveis de prejudicar os direitos e liberdades das pessoas em causa. Seria, ademais, competente para a própria notificação prévia, no âmbito do controlo prévio (art. 20.º da Diretiva), podendo consultar a todo o tempo a autoridade de controlo.

Como se ilustra, este cargo não é uma inovação do RGPD. É certo que é o RGPD que densifica a designação, posição e funções do EPD; no entanto, o objetivo de criação deste profissional vem da Diretiva 95/46.

A densificação levada a cabo pelo RGPD é também um reforço desta profissão, vincando o papel do EPD. Por um lado, torna obrigatória a sua designação em certos casos (art. 37.º n.º 1 do RGPD) e permite aos Estados-membros obrigar a essa designação noutros casos (n.º 4). Por outro, esclarece a sua posição (art. 38.º do RGPD): o EPD responde à direção ao mais alto nível, tem que ser envolvido, de forma adequada e em tempo útil, em todos os tratamentos de dados, apoiado com os recursos e formação necessários, com acesso total aos dados pessoais e às operações de tratamento, não recebendo instruções nem podendo ser destituído nem penalizado pelo exercício de funções. Por fim, o RGPD atribui mais funções ao EPD (art. 39.º).

E é precisamente nas funções do EPD que residem os maiores desafios deste profissional, mormente para 2021, no rescaldo – ou decurso – da crise pandémica, sem paralelo na narração histórica.

Permitam-nos destacar duas dessas funções, que trazem desafios acrescidos.

Em primeiro lugar, a função de aconselhamento da direção da organização e dos trabalhadores relativamente às suas obrigações decorrentes do RGPD trará dificuldades acrescidas para o EPD (art.º 39 n.º 1 a) do RGPD). Na verdade, num mercado ainda pouco convencido do retorno do investimento em privacidade e numa sociedade em que a cultura de proteção de dados ainda tem trilhos difíceis para percorrer, o EPD veste a difícil missão de sensibilizar todos quantos dentro de uma organização laboram, encontrando, neste novo normal uma direção preocupada em salvar económica e financeiramente a organização e os trabalhadores a tentar adaptarem-se a um novo modelo de trabalho, que privilegia o teletrabalho, as equipas em espelho e o distanciamento social.

Onde fica a proteção de dados pessoais de clientes, fornecedores, dos próprios trabalhadores? Relegada para segundo plano. Infelizmente parece ser a tendência.

Voltemos às funções-desafio. Em segundo lugar, o EPD tem a função de prestar aconselhamento, quando tal lhe for solicitado, no que respeita à avaliação de impacto sobre a proteção de dados, controlando a sua realização (art. 39.º n.º 1 c) do RGPD). Ora bem, aqui reside o segundo grande desafio para o EPD no próximo ano.

Esta função do EPD implica que, a montante, haja consciência da necessidade de envolver este profissional no exercício avaliativo. Ora, o RGPD, ao sublinhar que não é obrigatório o envolvimento do EPD no âmbito da avaliação de impacto, abre a possibilidade de o EPD não ser chamado a pronunciar-se, o que se traduz no desvalorizar da posição deste profissional. Vai mal, pois, o RGPD, quando determina que o EPD só tem a função de aconselhamento no âmbito da avaliação de impacto quando tal lhe é solicitado.

Nos casos em que o EPD é – e bem, deveria ser aliás a regra – chamado ao processo de avaliação de impacto, o controlo da sua realização mostra-se de difícil concretização na prática. De facto, é ao responsável pelo tratamento que cabe realizar a avaliação de impacto, instruindo o processo e elaborando o subsequente relatório. Por isso, mais uma vez, não se percebe quando o RGPD dita que é o EPD que controla a sua realização.

Aliás, o art. 39.º, ao estabelecer que o EPD controla a realização da avaliação de impacto, entra em clara contradição com o art. 35.º, nos termos do qual é ao responsável pelo tratamento que cabe a obrigação de a cumprir.

Assim, a função do EPD no âmbito da avaliação de impacto coloca grandes desafios: antes de mais, o desafio de identificar o seu papel; a necessária articulação com outros departamentos; e sobretudo o valor a dar ao parecer que emita.

Aqui chegados temos de aludir à realidade com a qual nos deparamos no dia-a-dia: as empresas ora desconhecem a obrigação de realizar uma avaliação de impacto nos casos concretos (art. 35.º do RGPD) ora decidem que não valerá a pena realizá-la no caso concreto ora decidem realizá-la, mas não o sabem fazer.

Neste contexto, importa chamar um caso paradigmático que nos mostra, mesmo nos casos em que a avaliação de impacto é realizada, que esta não cumpre os requisitos do RGPD.

Recorde-se nesta sede a Deliberação 2020/277 da Comissão Nacional de Proteção de Dados (CNPD) relativa ao sistema de “contact tracing” STAYAWAY COVID. Ora a CNPD conclui que a avaliação deve ser revista! E deve ser revista porque não cumpre o preceituado no RGPD.

Esta conclusão da CNPD – de revisão – transporta-nos para uma tendência: se uma universidade não saberá cumprir a obrigação de proceder a uma avaliação de impacto, é uma pequena empresa (do nosso tecido empresarial) que saberá? Não nos parece.

O que falta então? Mais campanhas de divulgação e informação por parte da CNPD? Sem dúvida.

Mas voltemos ao EPD, e para concluir traga-se de novo à colação o art. 39.º do RGPD. Nos termos do n.º 2 deste artigo, no desempenho das suas funções, o EPD deve considerar os riscos associados às operações de tratamento, tendo em conta a natureza, o âmbito, o contexto e as finalidades do tratamento. Ora, para estes profissionais, juristas ou não, há que investir em formação de consultoria de gestão, mormente de gestão de risco. E é aqui, nesta necessidade de formação, que a APDPO quer contribuir para o crescimento e incremento desta nova classe profissional.