JUL'2021

Encarregado ou Responsável pela Proteção de Dados Pessoais

A Câmara Municipal de Lisboa tem estado debaixo de fogo devido à proteção de dados pessoais. Deste assunto que muito que se fala, parece tão óbvia a violação de dados pessoais nos termos do Regulamento Europeu de Proteção de Dados Pessoais (RGPD), como a confusão lançada entre as figuras do responsável e do encarregado de proteção de dados.

O Responsável pela Proteção de Dados Pessoais é, nos termos do Regulamento Europeu de Proteção de Dados Pessoais, “a pessoa singular ou coletiva, a autoridade pública, a agência ou outro organismo que, individualmente ou em conjunto com outras, determina as finalidades e os meios de tratamento de dados pessoais”. Por outras palavras, o responsável será aquele que determina as finalidades e os meios de tratamento dos dados pessoais, seja ele uma pessoa individual ou coletiva. No caso de um município, de uma empresa, de uma Instituição, será a organização em si, na figura, por exemplo, do seu responsável máximo: o Presidente da Câmara, o Sócio-Gerente, o Presidente da Direção.

É ao responsável pelo tratamento de dados que incumbe a tarefa de “aplicar as medidas técnicas e organizativas que forem adequadas para assegurar e poder comprovar que o tratamento é realizado em conformidade com o… regulamento”, incluindo “a aplicação de políticas adequadas em matéria de proteção de dados”.
Uma das tarefas atribuídas ao responsável pelo tratamento de dados é a nomeação do encarregado de proteção de dados, sempre que esta seja obrigatória ou considerada relevante para a correta aplicação do RGPD. 

Neste pressuposto, o responsável pelo tratamento de dados deve:

• Assegurar “que o encarregado da proteção de dados seja envolvido, de forma adequada e em tempo útil, a todas as questões relacionadas com a proteção de dados pessoais”;
• Apoiar “o encarregado da proteção de dados no exercício das funções …, fornecendo-lhe os recursos necessários ao desempenho dessas funções e à manutenção dos seus conhecimentos, bem como dando-lhe acesso aos dados pessoais e às operações de tratamento”;
• Assegurar “que … não recebe instruções relativamente ao exercício das suas funções”;
• Assegurar que o encarregado da proteção de dados pode exercer outras funções, desde que essas funções e atribuições não resultam num conflito de interesses.
O Encarregado de Proteção de Dados (EPD/DPO), por sua vez, é a pessoa singular ou coletiva nomeada pelo responsável pelo tratamento de dados pessoais, “com base nas suas qualidades profissionais e, em especial, nos seus conhecimentos especializados no domínio do direito e das práticas de proteção de dados, bem como na sua capacidade para desempenhar as funções atribuídas pelo Regulamento.

São funções do EPD/DPO, as seguintes:

• Informar e aconselhar o responsável pelo tratamento e todos aqueles que tratam dados pessoais;
• Garantir e controlar a conformidade com o regulamento;
• Sensibilizar e formar o pessoal implicado nas operações de tratamento de dados; 
• Aconselhar, quando tal lhe for solicitado, no que respeita à avaliação de impacto sobre a proteção de dados e controlar a sua realização;
• Cooperar com a autoridade de controlo.

Este profissional, “pode ser um elemento do pessoal da entidade responsável pelo tratamento …, ou exercer as suas funções com base num contrato de prestação de serviços” e “não pode ser destituído nem penalizado pelo responsável pelo tratamento ou pelo subcontratante pelo facto de exercer as suas funções”. Informa diretamente a direção ao mais alto nível do responsável pelo tratamento ou do subcontratante. 

Voltando ao exemplo inicial, será que foi o responsável que não definiu as finalidades, os meios, as medidas, as políticas de tratamento de dados pessoais ou foi o encarregado que não monitorizou o cumprimento do RGPD?


António Filipe Cruz | Gestor de Formação e Coordenador Pedagógico
F3M Information Systems, S.A.



Voltar