O encarregado de proteção de dados no regulamento geral de proteção de dados

O Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, comummente conhecido por regulamento geral de proteção de dados (RGPD), entrará em vigor no nosso ordenamento jurídico no próximo dia 25 de maio, com aplicação direta e sem necessidade de transposição para cada uma das jurisdições comunitárias.

Defendendo os direitos e as liberdades fundamentais dos cidadãos, através de uma verdadeira harmonização legislativa comunitária ao nível da proteção das pessoas singulares relativamente ao tratamento dos seus dados pessoais, independentemente da nacionalidade ou do local de residência dessas pessoas, este novo regulamento introduz alterações significativas, acarretando novas obrigações às organizações.
O novo quadro legal traz algumas mudanças que terão diferente impacto na vida das organizações, consoante a sua natureza, área de atividade, dimensão e tipo de tratamentos de dados pessoais que realizem. Assim, empresas e entidades públicas devem começar já a preparar internamente a sua organização para a aplicação do novo regulamento. É essencial conhecer as novas regras, analisar as novas obrigações, verificar o nível atual de cumprimento e adotar as medidas necessárias durante este período de transição para assegurar que tudo está pronto atempadamente.
Pretendemos assim alertar e conscientizar para um dos intervenientes mais importantes neste novo panorama apresentado pelo RGPD: o encarregado de proteção de dados (EPD).
A designação do encarregado de proteção de dados deve ser feita com a antecedência devida, atendendo ao especial papel que este poderá desempenhar no período de transição, garantindo que a organização cumpre todas as obrigações legais desde o início da aplicação do regulamento.
Nesse contexto, especial atenção deve ser concedida à posição do encarregado de proteção de dados dentro da organização e ao reporte direto ao mais alto nível, bem como às funções que lhe são atribuídas pelo RGPD, cujo pleno desempenho requer a satisfação de determinadas condições.
Além das situações previstas no regulamento em que a organização está obrigada a designar um encarregado de proteção de dados, como é o caso das entidades públicas, o responsável pelo tratamento e o subcontratante podem sempre, mesmo não se encontrando no momento em nenhuma das circunstâncias exigíveis, decidir ter um encarregado de proteção de dados na sua organização, pelas evidentes vantagens que tal pode significar para o nível de cumprimento das obrigações.
Como profissional com conhecimentos especializados no domínio das normas e práticas de proteção de dados, de acordo com o art.º 39.º do RGPD, o EPD tem como funções:
– Informar e aconselhar o responsável pelo tratamento ou o subcontratante, bem como os trabalhadores que tratem os dados, a respeito das suas obrigações nos termos do RGPD;
– Controlar conformidade com o presente regulamento, com outras disposições de proteção de dados da União ou dos Estados-membros e com as políticas do responsável pelo tratamento ou do subcontratante relativas à proteção de dados pessoais, incluindo a repartição de responsabilidades, a sensibilização e formação do pessoal implicado nas operações de tratamento de dados, e as auditorias correspondentes;
– Prestar aconselhamento, quando tal lhe for solicitado, no que respeita à avaliação de impacto sobre a proteção de dados e controlar a sua realização;
– Cooperar com a autoridade de controlo;
– Ponto de contacto para a autoridade de controlo sobre questões relacionadas com o tratamento, incluindo a consulta prévia e consulta, sendo caso disso, desta autoridade sobre qualquer outro assunto.
A nomeação de um EPD é um primeiro passo, mas os EPD devem igualmente dispor de autonomia e de recursos suficientes para desempenharem eficazmente as suas funções.
O RGPD reconhece o papel essencial do EPD enquanto participante no novo sistema de governação de dados e estabelece as condições aplicáveis à sua nomeação, posição e atribuições, sendo importante que as entidades sujeitas ao Regulamento coloquem em prática as exigências que o mesmo trará para o nosso ordenamento jurídico.

Fonte: João Ferreira da Silva, assessor da Bastonária da OCC, 26/01/2018

Fonte: Vida Económica.