Skip BreadcrumbHome / Fiscalidade / RGPD: encarregados da proteção de dados

Empresas

RGPD: encarregados da proteção de dados


Nos termos do novo Regulamento Geral de Dados (RGPD), que entrará em vigor no próximo mês, o encarregado da proteção de dados (EPD) deve ser independente; a ausência de conflitos de interesses está ligada ao requisito de independência.

Assim, embora os EPD estejam autorizados a desempenhar outras tarefas, só podem ser incumbidos de outras funções e atribuições se estas não derem origem a conflitos de interesses.

Um EPD não pode, nomeadamente, exercer um cargo dentro da organização que o leve a determinar as finalidades e os meios do tratamento de dados pessoais. Devido à estrutura organizacional específica de cada organização, este aspeto deve ser apreciado caso a caso.

Os conflitos de interesses podem assumir formas diferentes em função do vínculo laboral do EPD enquanto colaborador interno ou externo.

Os cargos suscetíveis de gerar conflitos no seio da organização podem incluir os cargos de gestão superiores como diretor executivo, diretor de operações, diretor financeiro, diretor do departamento médico, diretor de marketing, diretor dos recursos humanos ou diretor informático, bem como outras funções em níveis inferiores da estrutura organizacional - se esses cargos ou funções levarem à determinação das finalidades e dos meios de tratamento.

Pode também surgir um conflito de interesses se um EPD externo for chamado a representar o responsável pelo tratamento ou o subcontratante perante os tribunais no âmbito de processos respeitantes a questões de proteção de dados.

Como boa prática, consoante as atividades, a dimensão e a estrutura da organização, é aconselhável, , que os responsáveis pelo tratamento ou os subcontratantes:
- identifiquem os cargos que se afigurariam incompatíveis com as funções de EPD;
- aprovem normas internas para o efeito, com o intuito de evitar conflitos de interesses;
- incluam uma explicação mais geral sobre os conflitos de interesses;
declarem que os respetivos EPD não têm conflitos de interesses no que se refere às suas funções enquanto EPD, como forma de divulgação deste requisito;
- incluam salvaguardas no regulamento interno da organização e assegurem que o anúncio de vaga para o lugar de EPD ou o contrato de prestação de serviços seja suficientemente preciso e pormenorizado, com vista a evitar conflitos de interesses.

A independência do EPD

Os responsáveis pelo tratamento/subcontratantes devem assegurar que o EPD não recebe instruções relativamente ao exercício das suas funções. Sejam ou não empregados do responsável pelo tratamento, os EPD devem estar em condições de desempenhar as suas funções e atribuições com independência, ou seja, não devem receber instruções quanto à forma de tratar uma questão, por exemplo quanto ao resultado que deve ser obtido, à forma de investigar uma queixa ou à necessidade de consultar a autoridade de controlo.

Nem devem receber instruções no sentido de adotarem determinada perspetiva sobre uma questão relacionada com as normas de proteção de dados, por exemplo determinada interpretação da legislação.

Contudo, a autonomia dos EPD não implica que lhes sejam conferidos poderes decisórios que extravasem as suas funções.

O EPD não pode ser destituído nem penalizado pelo responsável pelo tratamento ou pelo subcontratante pelo facto de exercer as suas funções, um requisito que reforça a autonomia dos EPD e ajuda a garantir que estes atuam de forma independente e beneficiam de proteção suficiente no desempenho das suas funções de proteção de dados.

O RGPD proíbe as penalizações mas apenas se forem impostas em resultado do efetivo exercício das funções de EPD. Por exemplo, o EPD pode considerar que determinado tratamento é suscetível de gerar elevado risco e aconselhar o responsável pelo tratamento ou o subcontratante a realizar uma avaliação de impacto sobre a proteção de dados, mas dar-se o caso de o responsável pelo tratamento ou o subcontratante discordar da apreciação do EPD. Nesta situação, o EPD não pode ser destituído por ter emitido o seu parecer.

As penalizações poderiam assumir diversas formas e poderiam ser diretas ou indiretas. Poderiam ser aplicadas, por exemplo, através da inexistência ou demora na atribuição de promoções, do impedimento da progressão na carreira ou da recusa dos benefícios concedidos a outros trabalhadores. Não é necessário que estas penalizações sejam efetivamente aplicadas; uma simples ameaça é suficiente na medida em que seja utilizada para penalizar o EPD por motivos relacionados com as suas atividades.
Como regra normal de gestão, à semelhança de qualquer outro funcionário ou contratante, nos termos e sob reserva da legislação nacional aplicável em matéria contratual ou laboral e penal, um EPD pode ser legitimamente destituído por outras razões que não o exercício das suas funções - em caso de roubo, assédio físico, psicológico ou sexual ou outra falta grave.
O RGPD não especifica como e quando o EPD pode ser afastado ou substituído por outra pessoa mas, quanto mais estável for o contrato do EPD e quanto mais garantias existirem contra a destituição abusiva, maior será a probabilidade de o EPD poder atuar de forma independente.

 

Referências
Regulamento (UE) 2016/679, do Parlamento Europeu e do Conselho, de 27.04.2016

 

 

Informação da responsabilidade de LexPoint
© Todos os direitos reservados à LexPoint, Lda
Este texto é meramente informativo e não constitui nem dispensa a consulta ou apoio de profissionais especializados.


 

11.05.2018