A existência de uma função chamada Encarregado de Protecção de Dados (EPD) ou Data Protection Officer (DPO) não é obrigatória, mas é recomendada em todas as organizações que tratem dados pessoais ou sensíveis.
Tem o regime previsto nos Artigos 37º, 38º e 39º do RGPD, ficando sujeito ao dever e sigilo ou confidencialidade bem como ao dever de incompatibilidade, não podendo exercer quaisquer funções e atribuições que resultem de um conflito de interesses para o exercício das funções.
A designação do DPO deve ser realizada em função das competências profissionais em especial dos conhecimentos avançados de proteção de dados e que seja capaz de cumprir as tarefas atribuídas no Artigo 39º, relacionadas com a segurança e proteção de dados, por exemplo deve ter as seguintes funções:
– Sensibilização e informar todos os que tratem dados pessoais;
– Assegurar o comprimento das políticas de privacidade e proteção de dados;
– Controlar e regular a conformidade do RGPD;
– Recolher informação para identificar atividades de tratamento;
– Controlar e acompanhar a produção do AIPD – Avaliação de Impacto sobre Proteção de Dados;
– Promover as abordagens de Privacidade por Desenho e por Padrão;
– Realizar a avaliação na exposição aos riscos de violações de privacidade e mitigados com ações de melhoramento;
– Recolher informação para identificar atividades de tratamento;
– Manter actualizado os registos das atividade de tratamento de dados;
– Controlar o cumprimento de contratos escritos subcontratante;
– Promover formações de boas práticas para a proteção de dados;
– Ser o ponto de contacto com os titulares de dados de forma a esclarecer questões relacionadas com o tratamento dos dados;
– Ser o ponto de contacto com as autoridades de controlo;
Percebe-se que idealmente deveria ser alguém capaz de conciliar conhecimentos de, pelo menos, as seguintes áreas: tecnológica, gestão, e legal.
Embora seja uma dúvida nos termos do RGPD, é claro que uma das competências do DPO está relacionada com gestão, infraestruturas de TI e coordenação de auditorias SI, e por isso uma experiência nestas áreas é uma mais valia para qualquer profissional desempenhar as suas funções com agilidade e competência.
Todas as questões relacionadas com a segurança e proteção de dados, o DPO deve exercer com a máxima independência e ser sempre envolvido de forma adequada a tempo útil, apoiado por uma equipa multidisciplinar que reúna competências nas mais diversas áreas (financeira, recursos humanos, tecnológica, marketing, arquivo e entre outras) fornecendo os recursos necessários para o desempenho das funções tratadas pelo responsável pelo tratamento e subcontratantes.
O DPO assume, assim, a responsabilidade na aplicação da estratégia para proteção dos dados e conformidade do RGPD. Todo o descuido em eventuais não conformidades e incidentes ou violações serão imputadas ao responsável pelo tratamento, em última instância à administração.
Trata-se de uma função bastante exigente, mas aliciante e certamente será um perfil muito procurado nos próximos tempos.