A Diretiva 95/46/CE, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, após vinte anos de validade, exigiu um quadro jurídico novo, coerente e homogéneo, para garantir o direito fundamental à proteção de dados na União Europeia.
Por conseguinte, acaba de ser revogado através da aprovação de um novo e relevante Regulamento Geral de Proteção de Dados (RGPD). O seu âmbito de aplicação será europeu e terá efeito direto em cada Estado-Membro. O seu objetivo será superar a fragmentação regulatória existente e modernizar os princípios de privacidade na União Europeia. O texto oficial foi publicado em 2016 e entrará em vigor em 2018.
Entre as medidas mais recentes contempladas neste Regulamento Geral, destaca-se o facto de o responsável e a pessoa encarregada pelo processamento dos dados passarem a ser obrigados a designar um "Encarregado de Proteção de Dados" (EPD), ou Data Protection Officer (DPO), para garantir o cumprimento dos regulamentos em certos casos.
De seguida dizemos-lhe quais as características principais desta nova figura:
O que é o EPD?
O Encarregado de Proteção de Dados é uma figura de liderança empresarial introduzida no Regulamento Geral de Proteção de Dados (RGPD). A sua missão é projetar e implementar uma estratégia de proteção de dados para garantir o cumprimento dos requisitos do RGPD. O EPD pode ser um funcionário da empresa desde que cumpra os requisitos necessários, explicados acima, e não existam conflitos de interesses entre o seu trabalho como EPD e o resto das tarefas que executa, como é o caso de cargos de direção de topo ou outros cargos com responsabilidade na determinação de objetivos e meios de processamento. Não, os EPDs não são pessoalmente responsáveis pela violação do RGPD, mas sim a própria entidade.
O RGPD não exige um grau específico para poder desempenhar o papel de EPD, embora existam já formações específicas para preparar os trabalhadores para o desempenho do cargo, quer no âmbito da Administração Pública, quer no setor privado. No entanto, o nível de preparação do EPD deve ser proporcional à complexidade e especificidade das atividades de cada organização. O conhecimento do EPD, em qualquer caso, deve incluir os seguintes pontos:
- Conhecimento das leis de proteção de dados, nacionais e europeias, especialmente o RGPD.
- Compreensão das operações de processamento de dados que são realizadas.
- Domínio de tecnologias de informação e segurança de dados.
- Conhecimento do setor e da própria organização.
- Capacidade de promover uma cultura de proteção de dados dentro da organização.
O RGPD contempla a possibilidade de um grupo empresarial nomear um único EPD para servir diferentes escritórios/sucursais, desde que esteja prontamente disponível para todas as partes interessadas. Essas partes incluem indivíduos a quem os dados pertencem, as autoridades e as próprias organizações.
O que acontece se eu não nomear um DPO?
Se uma empresa cumpre os requisitos que exigem que ele tenha um EPD e não nomeie nenhum, está exposta a ser penalizada pelas autoridades de proteção de dados. O RGPD introduz um novo regime de sanções, muito mais elevado e amplo do que os atuais.
O EPD é obrigatório para associações profissionais e para os seus conselhos gerais?
Sim, e isso está claramente estabelecido na nova legislação. Além disso, nos casos em que os membros são obrigados a ter EPD, existe a possibilidade de o EPD da associação ser também o dos associados, desde que este aceite individual e voluntariamente a prestação de serviços desse EPD. Desta forma, por exemplo, as avaliações de impacto podem ser analisadas globalmente (análise de riscos na matéria com o objetivo de evitar que ocorram), uma vez que a casuística dentro do setor profissional e territorial pode ser recorrente. Além disso, os custos do serviço para as entidades obrigadas a ter EPD podem ser reduzidos.
Será também obrigatório designar um EPD em centros de saúde, centros de ensino, universidades públicas e privadas, entidades de seguros e resseguros, prestadores de serviços da sociedade da informação, entre outros.
Escreva um comentário
O seu comentário será analisado pelos nossos editores antes de ser publicado. O seu endereço de e-mail nunca será publicado.