Segunda-feira, Novembro 19, 2018
Inicio > Colunista > RGPD – DPO, Estatuto

RGPD – DPO, Estatuto

As responsabilidades que a função de um Profissional Responsável pela Protecção de dados impendem sobre o respectivo titular são de tal monta, que o seu estatuto é algo em que se deve ponderar com muito rigor.

O Regulamento Geral de Protecção de Dados dá-nos algumas pistas preciosas, não só quanto ao estabelecimento desta figura, das suas funções, do seu perfil, mas também pelo estatuto de que deve estar munido:

  1. Pela designação deste profissional;

  2. Pela fixação da sua inamovibilidade;

  3. Pela imposição de independência;

  4. Pela publicitação deste profissional;

  5. Pelos meios a afetar a este profissional;

  6. Pela liberdade de acesso interna à organização para onde foi nomeado;

  7. Pela imposição do sigilo e confidencialidade a que está obrigado.

Vejamos cada um deles de “per si”.

  1. A designação, por parte da administração da instituição (também referido como “responsável pelo tratamento de dados”), do profissional responsável pela protecção de dados, é feita, quando a isso se está vinculado, obrigatoriamente a partir do dia 25 de maio de 2018, ou seja, quem o não fez tem de o fazer já “amanhã”.

Para o setor privado essa obrigatoriedade só releva cumpridos que estejam determinados pressupostos, que me escusarei aqui de referir por desnecessário, mas recomenda o bom senso, que na dúvida, e à cautela, se nomeie este responsável, mesmo que disso se esteja dispensado, porque isso irá creditar o parâmetro das “Boas Práticas”, demonstrando uma genuína vontade de cumprir com o desiderato da protecção de dados, sendo só por isso muito positivo.

Já no caso da administração pública, é mais simples, impera a obrigatoriedade independentemente do tamanho da organização ou instituição.

Em vista disso, e neste particular do sector público, não há nenhuma razão objectiva que justifique o facto de ainda não se ter procedido a essa nomeação, e no momento em que o leitor lê este texto saiba que está a ser incumprido por muitos milhares de organismos públicos. Noutros casos, em número bastante substancial, as nomeações ocorreram mas violando o estipulado no RGPD, com incompatibilidades que colocam em crise essas nomeações. No entanto sempre se dirá que é preferível um erro nesta nomeação, do que a ausência da mesma. Em auditoria será a diferença entre uma não conformidade grave (ausência de) e uma não conformidade menos grave (existe mas com erro).

  1. A inamovibilidade é outro pressuposto que subjaz à nomeação deste responsável, pese embora o RGPD seja claro que esta só se impõe em razão do exercício de funções específicas da nomeação, falecendo esse pressuposto se escorado na violação de outras obrigações, no domínio do assédio sexual, roubo ou furto, conduta imprópria, desleixo, ou mesmo incompetência para o exercício da função, etc.

Dito assim parece que estamos a falar de uma nomeação vitalícia, visto que se parece aceitar a destituição “apenas” como consequência de violação de regras, condutas ou competência.

Assim não é de facto. Basta imaginar uma nomeação de um titular cujo vínculo laboral seja a termo, no privado existem várias tipologias de contratos a termo, e na administração pública basta que alguém em regime de substituição seja nomeado, sendo este regime temporário, temporária será a respectiva designação para Responsável de Protecção de Dados.

Outra forma, mais simples, e diria até mais aconselhável, porque o regime vitalício é de todo desadequado, é estipular um termo para o exercício dessa função no despacho de nomeação.

Agora uma coisa é certa, todas as nomeações realizadas até agora, seja no sector público, seja no sector privado, sem a estipulação de um termo, agora só podem cessar de uma de duas maneiras: ou o designado viola uma das regras a que está sujeito, ou o próprio pede a sua demissão.

  1. A independência, é um factor vital para um correcto exercício da função, isso é mais ou menos óbvio, embora tenhamos de relativizar muito a medida dessa independência, uma vez que se se tratar de um quadro interno, à organização, pesará sempre o dever de lealdade para com a entidade patronal.

Uma das formas de se garantir, minimamente, essa independência, resultante do RGPD, é o regime de incompatibilidades (tema já tratado em trabalho anterior), por um lado, e por outro a proibição da administração dar orientações ou ordens ao Responsável da Protecção de Dados, em razão de tudo quanto diga respeito a esse domínio.

  1. A publicitação, imposta pelo RGPD para que os contatos do Responsável pela Protecção de Dados sejam divulgados, inclusivamente nos sítios eletrónicos das instituições, é outro pressuposto base.

Pensar-se-ia que isto ficaria por aqui, mas não, não pode ficar. O princípio da publicidade, no que tange administração pública, plasmado em várias sedes legais da qual avulta o Código do Procedimento Administrativo, vai mais longe, e não basta a mera indicação do mal do responsável da Protecção de dados, tem de ser publicitado o instrumento administrativo (o despacho) que procedeu à nomeação.

Só assim, de resto, se pode fazer um escrutínio transparente da nomeação, em vista a afastar qualquer incompatibilidade que possa ferir de morte a nomeação.

Por isso é fundamental, conhecer quem é o titular da função e que papel desempenha dentro da organização. Isto é válido tanto para o sector público, como para o sector privado.

Um exemplo do que não deve nem pode acontecer, é a nomeação do responsável da protecção de dados da Universidade de Évora a cujo despacho não se pode aceder, no site respectivo, por ser ser de acesso restrito, numa clara violação do Código do Procedimento Administrativo.

  1. A liberdade de acesso, é uma importante prerrogativa conferida pelo RGPD ao responsável da Protecção de Dados, e faz todo o sentido. Este profissional tem de ter carta branca no acesso às várias divisões e departamentos da instituição, e de escrutinar o que por lá se faz, e de interagir com os trabalhadores, sem restrições de qualquer espécie. Para este profissional não pode haver tabus internos.

Esta liberdade de acesso tanto pode ser informal, casuística, como assumir a formalidade de uma acção de auditoria ou de formação, e neste caso com base numa planificação, tida por necessária por parte deste responsável.

  1. Os meios a afectar à função, são a força motriz do sucesso ou insucesso do desempenho do responsável da protecção de dados.

Desde logo avulta a questão, se se tratar de um colaborador interno, da disponibilidade temporal para esta função – tempo inteiro ou tempo parcial? Na realidade o RGPD permite que este responsável exerça outras funções na instituição, logo admite o tempo parcial. Porém não se nos afigura muito exequível, sobretudo para quem está a iniciar a implementação do RGPD numa instituição, certamente todo o tempo será pouco para o muito que haverá a fazer.

Numa fase em que as coisas estejam mais consolidadas pode até justificar-se outra disponibilidade temporal, mas tudo dependerá da dimensão de tratamentos a realizar e a escrutinar e dos incidentes suscitados. O tempo parcial não nos parece muito curial, em razão da complexidade do que há para fazer e das responsabilidades que lhes estão associadas.

Depois surge uma outra questão associada à nomeação de um colaborador interno, em vista de uma função que terá de acumular com outras, pelas quais é remunerado, deverá esta nova função ser acompanhada de um envelope financeiro, isto é, deverá haver um acréscimo de remuneração em função de mais esta responsabilidade? A resposta só pode ser afirmativa.

Diz-nos a experiência que em matérias de elevada complexidade e/ou responsabilidade o voluntariado e o voluntarismo não se compaginam com a eficiência e eficácia. É básico o princípio de que a um acréscimo de trabalho deverá corresponder o consequente acréscimo de rendimento.

Assim o tempo e a remuneração da nova responsabilidade são parte inalienável dos meios a afetar à função.

Mas há outros, a saber – gabinete apropriado ao desempenho da função. O responsável pela protecção de dados, está sujeito ao sigilo e confidencialidade, de que se falará adiante, porque lidará com matérias reservadas e de enorme suscetibilidade, logo não pode estar no mesmo espaço físico de outros colegas, sob pena de quebra daqueles princípios a que está obrigado.

Logística adequada, impõe-se, e pode mesmo incluir uma equipa com várias valências, sendo caso disso, atendendo à dimensão da organização ou à complexidade tecnológica do seu ramo de actividade.

Este responsável pode e deve ser envolvido em acções externas formativas para actualização das suas competências ou desenvolvimentos das mesmas, ocorram elas no espaço nacional ou da União Europeia, desde que devidamente fundamentadas quanto à sua necessidade.

A existência de um orçamento próprio para o exercício desta função é também aconselhável, visando a agilização procedimental, em tempo de acorrer às necessidades que se mostrem necessárias.

Dir-se-á, que esta função representará um peso suplementar nos orçamentos das organizações, porém se pensarmos nas pesadíssimas sanções que decorrem das violações ao RGPD, é uma conta simples de se fazer, entre dotar o responsável da protecção de dados de um pequeno orçamento e garantir a conformidade legal, ou pagar coimas (e não multas como muito se vê escrito por aí). Não é preciso ser um génio de gestão para se perceber o que é melhor.

  1. Por fim, mas não o último, o dever de sigilo, e a confidencialidade.

O Sigilo (sigilium) está directamente relacionado com o segredo, algo que deve ser mantido secreto, oculto, longe do olhar.

Já a Confidencialidade, que deriva da palavra confiança, remete para a relação de confiança estabelecida entre duas pessoas, ou mais, tendo, por isso, um pendor de matéria reservada, que não secreta, que não um segredo, que deva ser ocultado.

O dever de sigilo impõe-se a este profissional sobretudo para fora da organização, onde desempenha a sua função, estando impedido de revelar a outros protagonistas que actuem no mercado, concorrência, ou não, factos de que tenha conhecimento por via do exercício das suas funções.

O dever de confidencialidade, é mais interno, e assenta na confiança depositada no profissional da protecção de dados, pelos colaboradores da organização, que tenham de partilhar com este profissional factualidades, procedimentos, processos, formas de fabrico, know-how, específico, e até de assuntos de foro reservado do colaborador.

A excepção a ambos os deveres são os que decorrem da Lei, uma vez que este profissional tem necessariamente, de comunicar com a autoridade regulatória (CNPD), quando aplicável, e quando as factualidades – vulgo evidências objectivas – integrem desconformidades que devam ser comunicadas à Administração, a fim de que esta desencadeie as acções preventivas e ou correctivas que se mostrem adequadas.

Independentemente deste profissional ser, ou não, um colaborador interno da organização, acumulando, ou não, esta função com outras actividades na organização, ele estará sempre vinculado ao dever de lealdade para com a sua entidade empregadora.

Este dever de lealdade inclui o reduzido núcleo de pressupostos dogmáticos que escora a robustez da relação sinalagmática decorrente do contrato obrigacional, a que se reduz uma relação de trabalho.

Por último, refira-se que estes deveres de Sigilo e Confidencialidade, pontuam em códigos deontológicos e de ética de variadíssimas profissões, como é o caso das profissões ligadas à saúde, ao jornalismo, às religiões, advocacia, etc.

Fim

Rajani Oliveira Dias

Vice-Presidente da APAPP

Associação Portuguesa de Administração e Políticas Públicas


Os conteúdos publicados são da exclusiva responsabilidade dos seus Autores. As opiniões expressas em cada artigo vinculam apenas os respectivos autores e não traduzem necessariamente a opinião dos demais autores da LisboaTV nem do Diretor ou do seu proprietário. A citação, transcrição ou reprodução dos conteúdos da LisboaTV estão sujeitas ao Código de Direito de Autor e Direitos Conexos. É proibida a reprodução ou compilação de conteúdos para qualquer fim, sem a expressa e prévia autorização da LisboaTV e dos respectivos Autores.