A Câmara Municipal de Lisboa tem estado debaixo de fogo devido à proteção de dados pessoais. Deste assunto que muito se fala, parece tão óbvia a violação de dados pessoais, nos termos do Regulamento Europeu de Proteção de Dados Pessoais (RGPD), como a confusão lançada entre as figuras do responsável e do encarregado de proteção de dados.
O Responsável pela Proteção de Dados Pessoais é, nos termos do Regulamento Europeu de Proteção de Dados Pessoais, “a pessoa singular ou coletiva, a autoridade pública, a agência ou outro organismo que, individualmente ou em conjunto com outras, determina as finalidades e os meios de tratamento de dados pessoais”. Por outras palavras, o responsável será aquele que determina as finalidades e os meios de tratamento dos dados pessoais, seja ele uma pessoa individual ou coletiva. No caso de um município, de uma empresa, de uma Instituição, será a organização em si, na figura, por exemplo, do seu responsável máximo: o Presidente da Câmara, o Sócio-Gerente, o Presidente da Direção.
É ao responsável pelo tratamento de dados que incumbe a tarefa de “aplicar as medidas técnicas e organizativas que forem adequadas para assegurar e poder comprovar que o tratamento é realizado em conformidade com o … regulamento”, incluindo “a aplicação de políticas adequadas em matéria de proteção de dados”.
Uma das tarefas atribuídas ao responsável pelo tratamento de dados é a nomeação do encarregado de proteção de dados, sempre que esta seja obrigatória ou considerada relevante para a correta aplicação do RGPD.
Neste pressuposto, o responsável pelo tratamento de dados deve:
-
assegurar “que o encarregado da proteção de dados seja envolvido, de forma adequada e em tempo útil, a todas as questões relacionadas com a proteção de dados pessoais”;
-
apoiar “o encarregado da proteção de dados no exercício das funções…, fornecendo-lhe os recursos necessários ao desempenho dessas funções e à manutenção dos seus conhecimentos, bem como dando-lhe acesso aos dados pessoais e às operações de tratamento”;
-
assegurar “que… não recebe instruções relativamente ao exercício das suas funções”;
-
assegurar que o encarregado da proteção de dados pode exercer outras funções, desde que essas funções e atribuições não resultam num conflito de interesses.
O Encarregado de Proteção de Dados (EPD/DPO), por sua vez, é a pessoa singular ou coletiva nomeada pelo responsável pelo tratamento de dados pessoais, “com base nas suas qualidades profissionais e, em especial, nos seus conhecimentos especializados no domínio do direito e das práticas de proteção de dados, bem como na sua capacidade para desempenhar as funções atribuídas pelo Regulamento.
São funções do EPD/DPO, as seguintes:
-
informar e aconselhar o responsável pelo tratamento e todos aqueles que tratam dados pessoais;
-
garantir e controlar a conformidade com o regulamento;
-
sensibilizar e formar o pessoal implicado nas operações de tratamento de dados;
-
aconselhar, quando tal lhe for solicitado, no que respeita à avaliação de impacto sobre a proteção de dados e controlar a sua realização;
-
cooperar com a autoridade de controlo.
Este profissional, “pode ser um elemento do pessoal da entidade responsável pelo tratamento …, ou exercer as suas funções com base num contrato de prestação de serviços” e “não pode ser destituído nem penalizado pelo responsável pelo tratamento ou pelo subcontratante pelo facto de exercer as suas funções”. Informa diretamente a direção ao mais alto nível do responsável pelo tratamento ou do subcontratante.
Voltando ao exemplo inicial, será que foi o responsável que não definiu as finalidades, os meios, as medidas, as políticas de tratamento de dados pessoais ou foi o encarregado que não monitorizou o cumprimento do RGPD?
Autor: Filipe Cruz
