Registo das atividades de tratamento – visão espanhola

A despeito das particularidades de adoção do RGPD em cada país da União Europeia, a visão de cada região a respeito da norma será cada vez mais útil para nortear procedimentos, tanto para empresas e controladores de dados quanto para as autoridades envolvidas.

Na Espanha, a Agência Espanhola de Proteção de Dados (AEPD), criou documentos extensos, porém didáticos, para auxiliar na informação a respeito do RGPD. Em seu excelente guia para DPOs, a agência espanhola detalha disposições, obrigações e oferece recomendações para os encarregados da proteção de dados, de forma simples e direta.

Em relação ao registo das atividades de tratamento de dados, em particular, o documento espanhol analisa de forma muito mais objetiva as necessidades e obrigações para acompanhamento de tais informações – uma luz para muitas perguntas que ainda seguem a responder em Portugal.

Números e precisão na informação

A informação disponível até agora a respeito do RGPD e particularidades que envolvem as responsabilidades do DPO e dos controladores de dados tem sido generalista e mesmo vaga. A AEPD oferece algumas referências quantitativas e qualitativas que poderão responder a algumas questões que seguem em aberto. No caso do registo das atividades – qualquer empresa precisará fazê-lo?

É difícil e mesmo injusto imaginar que uma padaria ou um café terá de efetuar registos frequentes de todos os dados que processa ou deixa de processar. Bem, a obrigação desses procedimentos, na visão da AEPD, recai sobre qualquer empresa, porém há algumas exceções nas quais há isenção da obrigação de tal registo.

Para a AEPD, estão isentas de tal obrigação empresas com menos de 250 empregados. Sim – um número! Entretanto, tal isenção anula-se uma vez que a empresa, ainda que com menos empregados que o citado, processe dados que possam causar riscos diretos aos direitos do usuário ou incluam dados classificados como sensíveis, segundo a óptica do RGPD.

Artigo 38º – Posição do encarregado da proteção de dados

Artigo 38º

Posição do encarregado da proteção de dados

1. O responsável pelo tratamento e o subcontratante asseguram que o encarregado da proteção de dados seja envolvido, de forma adequada e em tempo útil, a todas as questões relacionadas com a proteção de dados pessoais.

2. O responsável pelo tratamento e o subcontratante apoia o encarregado da proteção de dados no exercício das funções a que se refere o artigo 39º, fornecendo-lhe os recursos necessários ao desempenho dessas funções e à manutenção dos seus conhecimentos, bem como dando-lhe acesso aos dados pessoais e às operações de tratamento.

3. O responsável pelo tratamento e o subcontratante asseguram que da proteção de dados não recebe instruções relativamente ao exercício das suas funções. O encarregado não pode ser destituído nem penalizado pelo responsável pelo tratamento ou pelo subcontratante pelo facto de exercer as suas funções. O encarregado da proteção de dados informa diretamente a direção ao mais alto nível do responsável pelo tratamento ou do subcontratante.

4. Os titulares dos dados podem contactar o encarregado da proteção de dados sobre todas questões relacionadas com o tratamento dos seus dados pessoais e com o exercício dos direitos que lhe são conferidos pelo presente regulamento.

5. O encarregado da proteção de dados está vinculado à obrigação de sigilo ou de confidencialidade no exercício das suas funções, em conformidade com o direito da União ou dos Estados-Membros.

6. O encarregado da proteção de dados pode exercer outras funções e atribuições. O responsável pelo tratamento ou o subcontratante assegura que essas funções e atribuições não resultam num conflito de interesses.

Competências e atributos do encarregado da proteção de dados

A figura do DPO tornar-se-á cada vez mais frequente, especialmente em grandes empresas. Seja um contratado em prestação de serviços ou empregado que é parte do quadro, esse profissional precisa reunir características bastantes para atender ao disposto no Regulamento Geral de Proteção de Dados, mas também para conduzir suas tarefas dentro da empresa.

Chamado em Portugal de “Encarregado da Proteção de Dados”, o DPO é geralmente um profissional ligado à área de engenharia informática ou similar, conhecedor não apenas dos detalhes do RGPD, mas também de outras padronizações ligadas à segurança da informação.

Encarregado da proteção de dados – competências

O DPO é um profissional que precisa de reunir um certo rol de competências. Além de um background informático, precisa de liderança e certa flexibilidade para lidar com problemas que costumeiramente são parte da rotina de segurança da informação. Além de formação ou domínio no teor do RGPD, um bom profissional a assumir uma posição de DPO precisa também:

  • Possuir experiência notória em sistemas informáticos.
  • Ter grande conhecimento de segurança da informação, incluindo normas e padrões como a ISO 27001.
  • Proatividade no sentido de detetar problemas de segurança e privacidade e agir, independentemente dos requisitos do RGPD.
  • Quando interno, conhecimento vasto das rotinas de controlo e processamento da informação pela empresa.
  • Quando externo, tempo para conduzir investigações a respeito das rotinas de controlo e processamento da informação pela empresa.

Organizações que já possuem departamentos de informática e segurança da informação bem organizados podem considerar a nomeação de um de seus profissionais líderes na área para assumir as responsabilidades do DPO, do mesmo modo que companhias com prestadores de serviço especializados externos podem relegar aos prestadores de serviço a responsabilidade, mas sempre nomeadamente.

Em Portugal, fala-se muito no uso de juristas e advogados na função de DPO. Para algumas empresas, a utilização de profissionais desse segmento pode ser útil. Contudo, em empresas maiores que precisam lidar com problemas de segurança da informação de um ponto de vista mais técnico de aplicabilidade, o DPO jurista nada mais constitui do que um profissional suficiente para apontar riscos, mas nunca resolvê-los do ponto de vista objetivo.

Certificações mundiais na área de segurança da informação já estabeleciam, há tempos, recomendações que em muitos aspetos igualam-se às exigências do RGPD. Nesse sentido, um encarregado da proteção de dados com conhecimento nessas padronizações informáticas é capaz não apenas de atender às disposições legais do GDPR europeu, mas inclusive implementar melhorias aos processos que vão além do disposto em lei. Dentro do disposto nos guias e documentos do RGPD, as competências do DPO devem incluir:

  • Competências no domínio das normas e práticas de proteção de dados nacionais e europeias, incluindo um conhecimento profundo do RGPD
  • Conhecimento das operações de tratamento efetuadas
  • Conhecimento das tecnologias da informação e da segurança dos dados
  • Conhecimento do setor empresarial e da organização
  • Capacidade para promover uma cultura de proteção de dados no seio da organização.
Encarregado da proteção de dados – recursos alocados

A simples nomeação de um DPO não garante o cumprimento com as normas do RGPD. O trabalho é continuado, como ocorre com processos de implementação de normas para certificação, como ISO 9000, ISO 14000 e ISO 27001 (segurança da informação). Para que possa desempenhar seu papel e manter a empresa longe de coimas e também problemas, o encarregado da proteção de dados precisará sempre de:

  • Ter acesso a todos os sistemas informáticos da empresa
  • Ter apoio da direção da empresa
  • Livre trânsito entre departamentos
  • Formação contínua
  • Uma equipa em consonância com o tamanho e porte da organização
  • Recursos financeiros e tecnológicos bastantes para lidar com os problemas e questões que irá detetar
Encarregado da proteção de dados – quanto ganha um DPO

A extensão das responsabilidades, o porte da empresa e das rotinas de processamento de dados e também o grau de expertise do DPO irão definir seu salário – por isso é difícil falar de forma imediata em valores. Contudo, tendo em vista que formações em DPO já existentes em território português têm custos que podem facilmente exceder os € 1.500 por algumas horas de treinamento, há de se concordar que profissionais dessa gama não terão ordenados inferiores a alguns milhares de euros ao mês.

Para empresas que necessitem de contratar um DPO, mas possuam menor porte, consultorias e prestadores de serviço serão uma solução mais viável. Quando o processamento de dados é considerável, mas não volumoso o suficiente para justificar um DPO em tempo inteiro, contratar um terceiro pode ser suficiente e reduzir os custos de adequação à nova norma. Desse modo, um mesmo consultor poderá assumir o papel de DPO em mais de uma organização, que na prática partilharão os custos de seus rendimentos.

Outra possibilidade, especialmente para empresas que já possuem departamentos informáticos organizados, é nomear outro executivo ou profissional como responsável. A lei não aponta especificamente um conjunto de formações necessário para o DPO, apenas seu papel dentro da organização. Um diretor de outra área qualquer, em tese, pode assumir tal papel, contudo os prejuízos do desconhecimento de rotinas legais e informáticas podem colocar em situação de desconformidade a organização.

Artigo 39º – Funções do encarregado da proteção de dados

Artigo 39º

Funções do encarregado da proteção de dados

1. O encarregado da proteção de dados tem, pelo menos, as seguintes funções:

a) Informa e aconselha o responsável pelo tratamento ou o subcontratante, bem como os trabalhadores que tratem os dados, a respeito das suas obrigações nos termos do presente regulamento e de outras disposições de proteção de dados da União ou dos Estados-Membros;

b) Controla a conformidade com o presente regulamento, com outras disposições de proteção de dados da União ou dos Estados-Membros e com as políticas do responsável pelo tratamento ou do subcontratante relativas à proteção de dados pessoais, incluindo a repartição de responsabilidades, a sensibilização e formação do pessoal implicado nas operações de tratamento de dados, e as auditorias correspondentes;

c) Presta aconselhamento, quando tal lhe for solicitado, no que respeita à avaliação de impacto sobre a proteção de dados e controla a sua realização nos termos do artigo 35º;

d) Coopera com a autoridade de controlo;

e) Ponto de contacto para a autoridade de controlo sobre questões relacionadas com o tratamento, incluindo a consulta prévia a que se refere o artigo 36º, e consulta, sendo caso disso, esta autoridade sobre qualquer outro assunto.

2. No desempenho das suas funções, o encarregado da proteção de dados tem em devida consideração os riscos associados às operações de tratamento, tendo em conta a natureza, o âmbito, o contexto e as finalidades do tratamento.

Artigo 37º – Designação do encarregado da proteção de dados

Artigo 37º

Designação do encarregado da proteção de dados

1. O responsável pelo tratamento e o subcontratante designam um encarregado da proteção de dados sempre que:

a) O tratamento for efetuado por uma autoridade ou um organismo público, excetuando os tribunais no exercício da sua função jurisdicional;

b) As atividades principais do responsável pelo tratamento ou do subcontratante consistam em operações de tratamento que, devido à sua natureza, âmbito e/ou finalidade, exijam um controlo regular e sistemático dos titulares dos dados em grande escala; ou

c) As atividades principais do responsável pelo tratamento ou do subcontratante consistam em operações de tratamento em grande escala de categorias especiais de dados nos termos do artigo 9º e de dados pessoais relacionados com condenações penais e infrações a que se refere o artigo 10º.

2. Um grupo empresarial pode também designar um único encarregado da proteção de dados desde que haja um encarregado da proteção de dados que seja facilmente acessível a partir de cada estabelecimento.

3. Quando o responsável pelo tratamento ou o subcontratante for uma autoridade ou um organismo público, pode ser designado um único encarregado da proteção de dados para várias dessas autoridades ou organismos, tendo em conta a respetiva estrutura organizacional e dimensão.

4. Em casos diferentes dos visados no nº 1, o responsável pelo tratamento ou o subcontratante ou as associações e outros organismos que representem categorias de responsáveis pelo tratamento ou de subcontratantes podem, ou, se tal lhes for exigido pelo direito da União ou dos Estados-Membros, designar um encarregado da proteção de dados. O encarregado da proteção de dados pode agir em nome das associações e de outros organismos que representem os responsáveis pelo tratamento ou os subcontratantes.

5. O encarregado da proteção de dados é designado com base nas suas qualidades profissionais e, em especial, nos seus conhecimentos especializados no domínio do direito e das práticas de proteção de dados, bem como na sua capacidade para desempenhar as funções referidas no artigo 39º.

6. O encarregado da proteção de dados pode ser um elemento do pessoal da entidade responsável pelo tratamento ou do subcontratante, ou exercer as suas funções com base num contrato de prestação de serviços.

7. O responsável pelo tratamento ou o subcontratante publica os contactos do encarregado da proteção de dados e comunica-os à autoridade de controlo.