Segunda-feira, Novembro 19, 2018
Inicio > Colunista > RGPD – DPO, INCOMPATIBILIDADES

RGPD – DPO, INCOMPATIBILIDADES

Vamos fixar, como base de partida, a nomenclatura de quem tem a função de acompanhar a protecção de dados no seio da organização, como o Profissional Responsável pela Protecção de Dados (PRPD), para não usar a redutora caracterização que o legislador português faz (encarregado).

Ora o Regulamento Geral de Protecção de Dados cria a figura do profissional, que adentro a própria organização, fica com a responsabilidade de acompanhar as vicissitudes neste domínio e actuar, sendo caso disso, em conformidade, seja por reporte à entidade máxima da organização, seja externamente à autoridade reguladora nacional, que no nosso caso é a sobejamente conhecida Comissão Nacional de Protecção de Dados.

A questão que se coloca antes, de mais nada, é – quem pode ser este profissional, ou, noutra perspectiva, que incompatibilidades existem para o exercício desta responsabilidade?

A norma consagra desde logo a possibilidade de ser um quadro interno da organização, dotado de autonomia no exercício especifico desta função, podendo acumular com outras funções da organização.

Como referi no artigo anterior, onde fiz uma analogia com o Responsável da Qualidade no âmbito dos Sistemas de Gestão da Qualidade, podemos fazer um paralelo com outras realidades, designadamente as impostas pelas normas ISO 9000, de acordo com as quais existia uma forte incompatibilidade, para o exercício de Responsável da Qualidade, por parte, por exemplo, do Diretor de Produção, uma vez que esta direcção é a mais escrutinada por este responsável, gerando-se assim um conflito.

Porém, no âmbito do sistema de gestão do RGPD, estas incompatibilidades vão mais longe, e o leque de colaboradores, internos, a puderem arcar com esta responsabilidade é mais estreito.

O princípio da autonomia (no sentido de independência hierárquica) que subjaz à função deste profissional responsável pela protecção de dados, vai ao ponto de impedir que este seja hierarquicamente subordinado a outrem, incluso ao CEO da organização, sempre no âmbito, obviamente, do exercício especifico aqui em análise. Significa que qualquer elemento da administração executiva esteja impedido de acumular com esta função (contrariamente ao que acontece na qualidade).

Este princípio implica igualmente que seja incompatível acumular esta função por parte de quem, na organização, tenha de ser escrutinado pelo PRPD, ou seja, quem, internamente, faça tratamento de dados pessoais (tratamento significa, em termos simples, toda e qualquer acção realizada com esses dados, independentemente das finalidades).

Nesta senda parece óbvio, por exemplo, que o diretor de recursos humanos e todos os seus colaboradores do departamento ficam objetivamente impedidos de acumular esta função.

Outro departamento impedido de “fornecer” alguém para acumular esta função é o financeiro e contabilidade. E aqui, no que tange à contabilidade a incompatibilidade é mais forte se se tratar de um serviço externo, uma vez que, habitualmente quando o serviço de contabilidade é externo, é ele quem também faz o processamento de vencimentos, e por isso “tratar” dados pessoais de terceiros.

Uma outra incompatibilidade, porventura a mais óbvia, é a do departamento informático, visto ali estar o administrador dos sistemas de PT&I da organização, o que faz deste sector o mais escrutinado por parte do PRPD, e onde porventura se encontram os sistemas de cifra de dados, e programas de proteção de dados, “abertos” para o administrador do sistema informático. A melhor analogia que me ocorre é imagináramos um galinheiro com a raposa lá dentro a guardar as galinhas. Não pode acontecer.

É consensual, também que o departamento jurídico, está impedido de acumular esta função, por não ser compaginável o exercício de defesa jurídica e a obrigação de reporte externo dos acidentes ou incidentes que ponham em causa as práticas seguidas na organização.

O departamento de produção também fica inibido de acumular esta função, excepto de a automatização do sector for plena, o que se afigura um tanto irreal, pelo menos para a nossa realidade.

Em termos genéricos nenhum dirigente poderá acumular esta função, porque serão sempre objecto de escrutinio, e muito ou pouco serão sempre parte de quem faz o tratamento de dados pessoais, mais não seja dos seus subordinados.

Por outro lado é preciso não esquecer que o PRPD tem uma dupla função, aquela para a qual foi contratado, e nessa perpsectiva com subordinação hierárquica, claro, e aquela outra PRPD, decorrente do regulamento aqui em análise, sem subordinação hierárquica directa, mas subsistindo uma hierarquia, ainda que indirecta, e que resulta das suas obrigações para com a autoridade nacional de protecção de dados.

No sector privado, tirando a actividade inspectiva ou de auditoria, internas, não me ocorrem outros exemplos, mas no setor público, em especial ao nível das autarquias locais, e nestas, ao nível do Município existe uma analogia perfeita – a do Notário Privativo Municipal.

Os municípios podem prover os seus quadros com um notário privativo municipal, e o colaborador nomeado para este papel é um qualquer colaborador do quadro, licenciado, e não necessariamente em Direito. Este tem todas as prerrogativas de um notário normal, mas apenas pode intervir, como notário, em todos os actos jurídicos públicos em que intervenha o município como parte da relação jurídica.

Este colaborador enquanto quadro do município está hierarquicamente subordinado aos órgãos do município, em regra, ao Presidente da Câmara (o Poder executivo reside nele, que repercute, através do instituto da delegação de poderes, nos seus vereadores e chefias municipais) mas na componente exclusiva de notário privativo municipal, já responde, apenas, perante o Instituto dos Registos e Notariado. Significa que nem o Presidente da Câmara lhe pode dar ordens sobre como fazer uma escritura.

No caso do RGPD, sucede o mesmo de igual forma, quanto ao Profissional Responsável pela Protecção de Dados, isto no que concerne ao seu duplo papel na organização, porquanto, a apologia de, no município, fazer recair sobre o notário privativo o papel de PRPD, aí temos uma incompatibilidade, em razão dos dados pessoais tratados pelo notário privativo municipal.

O mais fácil, sem dúvida, é externalizar esta função, e subcontratar este Profissional…desde que não seja nem jurista, nem contabilista, nem informático com acesos à administração dos sistemas, fica assegurada a autonomia necessária para o exercício da função.

Ainda no que respeita à administração pública, um caso em particular reclama a atenção devida – as escolas públicas.

Decidiu-se, julgo que ao nível do ministério da educação, que para as comunidades escolares da Região Lisboa e Vale do Tejo (julgo que para as outras Regiões também), o Profissional Responsável pela Protecção de Dados seja uma mesma pessoa, no caso, do quadro da Direcção Geral de Educação, percebendo-se, no imediato, a poupança de escala que isso permite, se considerarmos as muitas centenas, milhares até, de comunidades escolares envolvidas.

Aparentemente, isto escora-se na possibilidade que o RGPD dá de várias organizações pertencentes ao mesmo grupo empresarial, puderem designar um responsável comum a todas elas.

À partida, e atento ao regime de autonomia das escolas, dificilmente se vislumbra que todas elas tenham uma relação de, digamos, “pertença” a uma Direcção Geral do Ministério da Educação.

Porém também é verdade que a autonomia das comunidades escolares se escora em instrumentos contratuais, celebrados com o ministério da educação, e este, através das suas estruturas orgânicas como é o caso da Direcção Geral respectiva, exerce uma Tutela jurídica sobre as comunidades escolares, que estão territorialmente, sob sua supervisão.

E aqui é que está o cerne da questão, de acordo com o RGPD é incompatível que a Tutela jurídica de uma instituição possa desempenhar o papel conferido ao Responsável pela Protecção de Dados, porque de contrário se inverteriam os papeis, e teríamos um Responsável de Proteção de Dados, com poderes tutelares sobre as administrações de cada escola, algo que o RGPD não permite. Não o esqueçamos, o Responsável da Protecção de Dados é alguém, abaixo da alta administração da organização, seja ele interno, seja ele externo.

A transferência de competências do ministério da educação para as comunidades escolares, enquadra-se no âmbito de uma desconcentração, logo o tipo de tutela exercido pela entidade tutelar é pleno, ao contrário, por exemplo do que acontece com as autarquias locais, em que a transferência de poderes é realizado no âmbito de uma descentralização, pelo que a tutela é meramente de legalidade (portanto não é plena).

Melhor fora que cada comunidade escolar (agrupamentos e/ou escolas não agrupadas) tivessem cada uma o seu Profissional Responsável pela Protecção de Dados, por vários motivos, em que avulta em primeiro lugar o escrupuloso cumprimento da Lei, por motivos de eficiência (racionalização de tarefas e procedimentos adequados) e também por motivos de eficácia, ou seja, garantir, como resultado final, que os dados pessoais daquela comunidade escolar em concreto, estejam mesmo assegurados, a tempo e horas.

Rajani Oliveira Dias

Vice-Presidente da APPAP

Associação Portuguesa de Politicas e Administração Pública

RGPD-C-Formador


Os conteúdos publicados são da exclusiva responsabilidade dos seus Autores. As opiniões expressas em cada artigo vinculam apenas os respectivos autores e não traduzem necessariamente a opinião dos demais autores da LisboaTV nem do Diretor ou do seu proprietário. A citação, transcrição ou reprodução dos conteúdos da LisboaTV estão sujeitas ao Código de Direito de Autor e Direitos Conexos. É proibida a reprodução ou compilação de conteúdos para qualquer fim, sem a expressa e prévia autorização da LisboaTV e dos respectivos Autores.