• Eduardo Natale

Orientações sobre os Encarregados da Proteção de Dados, do WP29 (resumo)


1. Introdução


O Regulamento Geral sobre a Proteção de Dados (RGPD) proporciona um quadro de cumprimento modernizado e assente na responsabilidade em matéria de proteção de dados na Europa. Os encarregados da proteção de dados (EPD) terão um papel central relativamente a um vasto número de organizações, facilitando o cumprimento das disposições do RGPD.


Já antes da adoção do RGPD, o GT 29 defendia que a figura do EPD é um pilar da responsabilidade e que a nomeação de um EPD pode facilitar a conformidade e, além disso, propiciar uma vantagem competitiva às empresas. Além de facilitar a conformidade através da implementação de instrumentos de responsabilização, os EPD servem de intermediários entre as partes interessadas (p. ex., as autoridades de controlo, os titulares de dados e as unidades empresariais dentro de uma organização).

2 Designação do EPD


2.1. Designação obrigatória


O RGPD1 exige a designação de um EPD em três situações específicas :

  1. Sempre que o tratamento seja efetuado por uma autoridade ou um organismo público;

  2. Sempre que as atividades principais do responsável pelo tratamento ou do subcontratante consistam em operações de tratamento que exijam um controlo regular e sistemático dos titulares dos dados em grande escala; ou

  3. Sempre que as atividades principais do responsável pelo tratamento ou do subcontratante consistam em operações de tratamento em grande escala de categorias especiais de dados ou de dados pessoais relacionados com condenações penais e infrações.

Quando uma organização designa um EPD a título voluntário, os requisitos dos artigos 37.º a 39.º são aplicáveis à sua nomeação, posição e atribuições como se a designação fosse obrigatória.


Nada impede uma organização, que não seja obrigada por lei a designar um EPD e não pretenda designar um EPD a título voluntário, de recorrer, apesar disso, a pessoal ou consultores externos com funções ligadas à proteção dos dados pessoais. Neste caso, deve ficar claro, em todas as comunicações, que o cargo deste funcionário ou consultor não corresponde à função de encarregado da proteção de dados (EPD).

2.1.1 "AUTORIDADE OU ORGANISMO PÚBLICO"


O RGPD não define o que constitui "uma autoridade ou um organismo público". O GT 29 considera que este conceito deve ser definido ao abrigo da legislação nacional.


Apesar de não haver qualquer obrigação nestes casos, o GT 29 recomenda, à guisa de boa prática, que as organizações privadas que desempenham funções de serviço público ou exercem uma autoridade pública designem um EPD.


2.1.2 "ATIVIDADES PRINCIPAIS"


As "atividades principais" podem entender-se como as operações essenciais necessárias para alcançar os objetivos do responsável pelo tratamento ou do subcontratante. No entanto, a interpretação não deve excluir as atividades em que o tratamento de dados constitui uma parte indissociável das atividades do responsável pelo tratamento ou do subcontratante.

Por exemplo, a atividade principal de um hospital é a prestação de cuidados de saúde. Contudo, um hospital não poderia prestar cuidados de saúde de forma segura e eficaz sem proceder ao tratamento de dados relativos à saúde, designadamente os registos de saúde dos doentes. Assim, o tratamento destes dados deve ser considerado uma das atividades principais de qualquer hospital, cabendo, portanto, aos hospitais nomear encarregados da proteção de dados.


2.1.3 "GRANDE ESCALA"


O GT 29 recomenda que, em especial, os seguintes fatores sejam tomados em consideração para determinar se o tratamento é efetuado em grande escala:

  • O número de titulares de dados afetados – como número concreto ou em percentagem da população em causa;

  • O volume de dados e/ou o alcance dos diferentes elementos de dados objeto de tratamento;

  • A duração, ou permanência, da atividade de tratamento de dados;

  • O âmbito geográfico da atividade de tratamento.

Contam-se como exemplos de tratamento de grande escala:

  • o tratamento de dados de doentes no exercício normal das atividades de um hospital;

  • o tratamento de dados de viagem das pessoas que utilizam o sistema de transportes públicos de uma cidade (p. ex., através de passes de viagem);

  • o tratamento de dados pessoais para fins de publicidade comportamental por um motor de busca.

Como exemplos que não constituem tratamento de grande escala, incluem-se:

  • o tratamento de dados de doentes pacientes por um médico;

  • o tratamento de dados pessoais relacionados com condenações penais e infrações por um advogado.



2.1.4 "CONTROLO REGULAR E SISTEMÁTICO"


Na interpretação do GT 29, "regular" significa, neste caso, uma ou mais das seguintes características:

  • Contínuo ou que ocorre a intervalos específicos num determinado período;

  • Recorrente ou repetido em horários estipulados;

  • Constante ou periódico.


Na interpretação do GT 29, "sistemático" significa, neste caso, uma ou mais das seguintes características:

  • Que ocorre de acordo com um sistema;

  • Predefinido, organizado ou metódico;

  • Realizado no âmbito de um plano geral de recolha de dados;

  • Efetuado no âmbito de uma estratégia.

Exemplos de atividades que podem constituir um controlo regular e sistemático dos titulares de dados:

  • localização, por exemplo, através de aplicações móveis;

  • controlo de dados relativos ao bem-estar, à condição física e à saúde através de usáveis;

  • televisão em circuito fechado.



2.2. EPD do subcontratante


Quem preencher os critérios de designação obrigatória, em certos casos apenas o responsável pelo tratamento ou apenas o subcontratante ou, noutros casos, tanto o responsável pelo tratamento como o subcontratante, tem de nomear um EPD (que deve passar a cooperar com cada uma das entidades).


É importante sublinhar que, mesmo que o responsável pelo tratamento preencha os critérios de designação obrigatória, o seu subcontratante não tem necessariamente de nomear um EPD. Contudo, tal pode constituir uma boa prática.


2.3. Designação de um único EPD para várias organizações


Um grupo empresarial pode designar um único EPD, desde que este esteja "facilmente acessível a partir de cada estabelecimento". A noção de acessibilidade refere-se às funções do EPD enquanto ponto de contacto em relação aos titulares dos dados, à autoridade de controlo, mas também, internamente, no seio da organização.


A fim de assegurar que o EPD, seja interno seja externo, esteja acessível, é importante garantir a disponibilidade dos seus contactos, em conformidade com os requisitos do RGPD.

2.4. Acessibilidade e localização do EPD


No sentido de assegurar que o EPD esteja acessível, o GT 29 recomenda que o EPD esteja localizado na União Europeia, independentemente de o responsável pelo tratamento ou o subcontratante estar ou não estabelecido na União Europeia.

2.5. Competências e conhecimentos especializados do EPD


  • Nível de especialização

O nível necessário de competências não é definido de forma rigorosa, mas deve coadunar-se com a sensibilidade, a complexidade e a quantidade de dados tratados por uma organização.


  • Qualidades profissionais

Os EPD devem ter competências no domínio das legislações e práticas nacionais e europeia em matéria de proteção de dados e um conhecimento profundo do RGPD. Um conhecimento do setor empresarial e da organização do responsável pelo tratamento afigura-se útil. O EPD deve também apresentar um bom conhecimento das operações de tratamento efetuadas, bem como dos sistemas de informação, da segurança dos dados e das necessidades de proteção de dados do responsável pelo tratamento.


  • Capacidade para desempenhar as suas funções

A capacidade para desempenhar as funções atribuídas ao EPD deve ser interpretada como um atributo respeitante não só às suas qualidades e conhecimentos pessoais, mas também à sua posição no seio da organização. As qualidades pessoais devem incluir, por exemplo, a integridade e um elevado nível de ética profissional.


  • EPD com base num contrato de prestação de serviços

As funções do EPD podem igualmente ser exercidas com base num contrato de prestação de serviços celebrado com uma pessoa ou uma organização fora do âmbito da organização do responsável pelo tratamento/subcontratante. Simultaneamente, as competências e os pontos fortes individuais podem ser combinados de modo que várias pessoas, trabalhando em equipa, possam servir os seus clientes de forma mais eficiente.

2.6. Publicação e comunicação dos contactos do EPD


Nos termos do RGPD2, o responsável pelo tratamento ou o subcontratante tem de:

  • publicar os contactos do EPD, e

  • comunicar os contactos do EPD às autoridades de controlo competentes.

Não se exige que os contactos publicados incluam o nome do EPD. Ainda que a publicação desta informação possa constituir uma boa prática, cabe ao responsável pelo tratamento ou subcontratante e ao EPD decidirem se tal é necessário ou útil nas circunstâncias concretas .

3. Posição do EPD


3.1. Envolvimento do EPD em todas as questões relativas à proteção dos dados pessoais


É crucial que o EPD, ou a sua equipa, seja envolvido, desde a fase mais precoce, em todas as questões relacionadas com a proteção de dados. Em relação às avaliações de impacto sobre a proteção de dados, o RGPD prevê explicitamente o envolvimento do EPD desde o início e especifica que, ao efetuar essas avaliações de impacto, o responsável pelo tratamento deve solicitar o parecer do EPD3.


Assegurar que o EPD seja informado e consultado durante a fase inicial permitirá facilitar o cumprimento do RGPD e promover uma abordagem de proteção da privacidade desde a conceção, pelo que deve constituir o procedimento normal da governação da organização.


Por conseguinte, a organização deve assegurar, por exemplo, que:

  • O EPD é convidado a participar regularmente nas reuniões dos quadros de gestão médios e superiores;

  • A sua presença é recomendada sempre que sejam adotadas decisões com implicações na proteção de dados. Todas as informações pertinentes são transmitidas oportunamente ao EPD, para que este possa prestar um aconselhamento adequado;

  • O parecer do EPD é sempre devidamente ponderado. Em caso de desacordo, o GT 29 recomenda, como boa prática, que sejam enunciados os motivos para não seguir o parecer do EPD;

  • O EPD é imediatamente consultado após a ocorrência de uma violação de dados ou outro incidente.



3.2. Recursos necessários


Em especial, devem ser considerados os seguintes aspetos:

  • Um apoio ativo às funções do EPD por parte dos quadros de gestão superiores (nomeadamente, ao nível do conselho de administração);

  • Tempo suficiente para que os EPD exerçam as suas atribuições. Trata-se de um aspeto particularmente importante quando o EPD interno é nomeado a tempo parcial ou quando o EPD externo garante a proteção de dados em complemento de outras atribuições;

  • Um apoio adequado em termos de recursos financeiros, infraestruturas (locais, instalações, equipamento) e pessoal, sempre que necessário;

  • A comunicação oficial da nomeação do EPD a todo o pessoal, a fim de divulgar a sua existência e missão dentro da organização;

  • A formação contínua. Os EPD devem ter a possibilidade de se manter atualizados no que diz respeito aos desenvolvimentos no domínio da proteção de dados;

  • Consoante a dimensão e a estrutura da organização, pode ser necessário criar uma equipa do EPD (o EPD e o seu pessoal). De igual modo, se a função do EPD for exercida por um prestador de serviços externo, um conjunto de pessoas que trabalham para essa entidade poderá exercer de modo eficaz as funções de EPD enquanto equipa, sob a responsabilidade de um contacto principal designado para o cliente

3.3. Instruções e desempenho das "funções e atribuições com independência"


Os EPD, no exercício das suas funções ao abrigo do artigo 39.º, não devem receber instruções quanto à forma de tratar uma questão, por exemplo quanto ao resultado que deve ser obtido, à forma de investigar uma queixa ou à necessidade de consultar a autoridade de controlo. Além disso, não devem receber instruções no sentido de adotarem determinada perspectiva sobre uma questão relacionada com as normas de proteção de dados, por exemplo determinada interpretação da legislação.




3.4. Destituição ou penalização pelo exercício das funções de EPD


As penalizações são proibidas ao abrigo do RGPD apenas se forem impostas em resultado do efetivo exercício das funções de EPD. Por exemplo, o EPD pode considerar que determinado tratamento é suscetível de gerar elevado risco e aconselhar o responsável pelo tratamento ou o subcontratante a realizar uma avaliação de impacto sobre a proteção de dados, mas dar-se o caso de o responsável pelo tratamento ou o subcontratante discordar da apreciação do EPD. Nesta situação, o EPD não pode ser destituído por ter emitido o seu parecer.

3.5. Conflitos de interesses


A ausência de conflitos de interesses está intimamente ligada ao requisito de independência dos EPD. Embora os EPD estejam autorizados a desempenhar outras tarefas, só podem ser incumbidos de outras funções e atribuições se estas não derem origem a conflitos de interesses.


Regra geral, os cargos suscetíveis de gerar conflitos no seio da organização podem incluir não só os cargos de gestão superiores, mas também outras funções em níveis inferiores da estrutura organizacional, se esses cargos ou funções levarem à determinação das finalidades e dos meios de tratamento.

4. Funções do EPD


4.1. Controlo da conformidade com o RGPD

No âmbito destas atribuições de controlo da conformidade, os EPD podem, nomeadamente:

  • recolher informações para identificar as atividades de tratamento;

  • analisar e verificar a conformidade das atividades de tratamento;

  • prestar informações e aconselhamento e formular recomendações ao responsável pelo tratamento ou ao subcontratante.

O controlo da conformidade não significa que a responsabilidade pessoal do EPD seja imputada em caso de incumprimento. O RGPD esclarece que compete ao responsável pelo tratamento, e não ao EPD, aplicar "as medidas técnicas e organizativas que forem adequadas para assegurar e poder comprovar que o tratamento é realizado em conformidade com o presente regulamento"4.

4.2. Papel do EPD no âmbito da avaliação de impacto sobre a proteção de dados

O GT 29 recomenda que o responsável pelo tratamento solicite o parecer do EPD sobre as seguintes questões, entre outras:

  • se deve ou não efetuar uma AIPD;

  • qual a metodologia a seguir na realização de uma AIPD;

  • se deve realizar a AIPD internamente ou externalizá-la;

  • quais as salvaguardas a aplicar no sentido de atenuar os eventuais riscos para os direitos e interesses dos titulares de dados;

  • se a avaliação de impacto sobre a proteção de dados foi ou não corretamente efetuada e se as suas conclusões estão em conformidade com o RGPD.



4.3. Cooperação com a autoridade de controlo e função de ponto de contacto


Estas funções enquadram-se no papel de "facilitador" do EPD, referido na introdução das presentes orientações. O EPD serve de ponto de contacto no sentido de facilitar o acesso da autoridade de controlo aos documentos e informações necessários para o desempenho das funções elencadas no artigo 57.º, bem como para o exercício dos seus poderes de investigação, de correção, consultivos e de autorização, tal como referidos no artigo 58.º.

4.4. Abordagem baseada no risco


Essencialmente, exige que os EPD estabeleçam prioridades nas suas atividades e centrem os seus esforços nas questões que apresentam maiores riscos em matéria de proteção de dados. Tal não implica que os EPD devam negligenciar o controlo da conformidade das operações de tratamento de dados que, em termos comparativos, acarretam um nível de risco mais reduzido, indiciando antes que devem centrar-se fundamentalmente nos domínios de maior risco.

4.5. Papel do EPD na conservação do registro de atividades


Na prática, os EPD criam, por norma, inventários e mantêm um registo das operações de tratamento com base nas informações que recebem dos vários departamentos na sua organização aos quais incumbe o tratamento de dados pessoais. Esta prática foi estabelecida ao abrigo de muitas disposições legislativas nacionais em vigor e em conformidade com as normas de proteção de dados aplicáveis às instituições e aos órgãos da UE5 .

Fonte: https://www.cnpd.pt/home/rgpd/docs/wp243rev01_pt.pdf



1 artigo 37.º, n.º 1

2 artigo 37.º, n.º 7

3 Artigo 35.º, n.º 2.

4 art. 24.º, n.º 1

5 Artigo 24.º, n.º 1, alínea d, do Regulamento (CE) n.º 45/2001

Inscreva-se na nossa newsletter

Receba no seu e-mail nossos artigos sobre Proteção de Dados

2020 Eduardo Natale Advocacia. Todos os direitos reservados.

  • Linkedin
  • Twitter
  • Facebook