O “mito” da obrigatoriedade de ter um DPO

O “mito” da obrigatoriedade de ter um Encarregado de Proteção de Dados (EPD – DPO)

Numa altura em que nos aproximamos da data em que o novo regulamento inicia o seu reinado, a ausência de informações disponibilizadas pelas autoridades locais é preocupante e acaba por conduzir a uma anarquia de informação e desinformação. Este facto é de tal forma visível que a figura do denominado DPO ( Data Protection Officer ou EPD – Encarregado de Proteção de Dados ) como o suposto ponto mais importante do RGPD, passou a estar na ordem do dia. E , a confusão instalada é de tal ordem que já se fala da necessidade de contratar um DPO para se estar conforme com o RGPD. Dito isto, o grupo da “Proteção de Dados” decidiu publicar este artigo para ajudar a esclarecer esta questão. A melhor forma de iniciar esta análise é ler o que o regulamento diz sobre esta matéria;

Artigo 37º
Designação do encarregado da proteção de dados

1. O responsável pelo tratamento e o subcontratante designam um encarregado da proteção de dados sempre que:
a) O tratamento for efetuado por uma autoridade ou um organismo público, excetuando os tribunais no exercício da sua função jurisdicional;
b) As atividades principais do responsável pelo tratamento ou do subcontratante consistam em operações de tratamento que, devido à sua natureza, âmbito e/ou finalidade, exijam um controlo regular e sistemático dos titulares dos dados em grande escala; ou
c) As atividades principais do responsável pelo tratamento ou do subcontratante consistam em operações de tratamento em grande escala de categorias especiais de dados nos termos do artigo 9º e de dados pessoais relacionados com condenações penais e infrações a que se refere o artigo 10º.

Como se pode verificar neste artigo, a nomeação de um Encarregado de Proteção de Dados só será obrigatória quando e entidade am causa reunir uma das seguintes condições :
1. Ser um organismo público
2. Tratar dados pessoais em grande escala e de forma sistemática. (ex: Bancos)
3. Tratar categorias especiais de dados pessoais em grande escala. (ex: dados pessoais que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, ou a filiação sindical, bem como o tratamento de dados genéticos, dados biométricos para identificar uma pessoa de forma inequívoca, dados relativos à saúde ou dados relativos à vida sexual ou orientação sexual de uma pessoa e os dados pessoais relacionados com condenações penais e infrações).
 
Face a esta explicação, é fácil concluir que caso Portugal não acrescente essa suposta obrigatoriedade (à imagem do que foi feito na Alemanha), e que não é expectável face às características do tecido empresarial português, teremos uma percentagem reduzida de empresas com um DPO nomeado.
Isto não significa que o RGPD não seja de aplicação em todas as entidades que tratem dados pessoais, ou seja, a quase totalidade das empresas. Significa apenas que existem um conjunto de pontos obrigatórios a cumprir no RGPD mais importantes do que a figura do DPO.

A “Proteção de Dados”  tem estado a desenvolver um profundo conhecimento desta matéria e presta serviços de consultoria e implementação do RGPD à medida de cada empresa. Por outro lado, conscientes das dificuldades de orçamento com que se debate a maioria do tecido empresarial português, está disponível um workshop  cujo tema é “Aprenda a implementar o RGPD”. O desafio deste evento é fazer com que os participantes voltem às suas empresas e iniciem o processo interno de implementação do RGPD.