O papel do Encarregado da Proteção de Dados (EPD)

Trecho do livro de Bruno DUMAY: DESCRIÇÃO DO RGPD – Para gestores, departamentos estratégicos e funcionários de empresas e organizações – Prefácio de Gaëlle MONTEILLER

Juntamente com a Avaliação de Impacto, o Encarregado da Proteção de Dados (DPO) é a segunda criação emblemática do GDPR. Na França, ele substitui logicamente o Encarregado da Proteção de Dados (CIL), o Encarregado da Proteção de Dados (CPL). No entanto, vale ressaltar que a União Europeia há muito recomenda a nomeação de um DPO em grandes estruturas administrativas e econômicas, e que algumas têm seguido essa recomendação.

O G29 trabalhou no papel do DPO e adotou algumas "diretrizes" finalizadas em 5 de abril de 2017. Esses detalhes nos ajudam a delinear os contornos e o conteúdo dessa posição fundamental.

A designação de um DPO é obrigatória para (art. 37-1):

– organismos públicos;

– organizações cujas atividades principais exigem o monitoramento regular e sistemático de indivíduos em larga escala. O G29 distingue entre atividades de suporte, como folha de pagamento ou TI, e atividades principais, que dizem respeito ao negócio principal da organização (dados de saúde para um hospital, por exemplo). Da mesma forma, adota uma visão muito ampla do conceito de “monitoramento regular e sistemático”, que não se limita ao ambiente online;

– organizações cujas atividades principais as levam a processar dados “sensíveis” ou dados relacionados a condenações e infrações penais em larga escala (o G29 fornece elementos significativos para determinar o que se entende por “grande escala”).

Um grupo de empresas, ou um conjunto de órgãos públicos, pode nomear um único DPO (artigos 37-2 e 37-3). É claro que a nomeação de um DPO é fortemente recomendada pelo G29, como boa prática aqui também.

O encarregado da proteção de dados é nomeado pelo responsável pelo tratamento e, se for o caso, pelo subcontratante, com base nas suas qualidades profissionais, “em especial, no seu conhecimento especializado da legislação e das práticas de proteção de dados, e na sua capacidade para desempenhar as suas funções” (art. 37-5). Quanto mais complexas forem as operações de tratamento, maiores serão as competências exigidas.

O EPD pode ser interno ou externo à organização e, neste último caso, executar sua missão com base em um contrato. Se o prestador de serviços for uma equipe, as tarefas de cada membro devem ser especificadas e um líder de equipe deve ser designado. O WP29 recomenda que o EPD seja facilmente "acessível" e, portanto, que esteja estabelecido na União Europeia. No entanto, especialmente quando o controlador ou o processador estão sediados fora da União Europeia, é aceitável que o EPD esteja sediado fora da UE, se puder atuar de forma mais eficaz dessa forma.

O EPD não desempenha apenas um papel simbólico. Ele deve ser envolvido, pelo controlador de dados e pelo processador, "em todas as questões relacionadas à proteção de dados pessoais" (art. 38-1). Ele pode ser contatado por qualquer pessoa cujos dados pessoais sejam tratados (art. 38-4). Ele dispõe dos "recursos necessários" para o desempenho de suas funções, tem acesso aos dados e às operações de tratamento e deve até mesmo ser capaz de "manter seus conhecimentos especializados" (art. 38-2). Por "recursos necessários", o G29 também se refere a apoio por meio de supervisão, tempo suficiente, condições materiais e treinamento. O EPD é, de certa forma, santificado.

Tanto mais que sua independência está garantida. Ele não pode, de fato, "receber quaisquer instruções relativas ao exercício das suas funções" (art. 38-3). O responsável pelo tratamento e o subcontratante não têm poder sobre ele (mas têm o poder de o nomear), que responde apenas perante o "nível mais alto" da sua gestão. Está também sujeito ao sigilo profissional e à obrigação de confidencialidade (art. 38-5).

Apesar de seu status, o DPO não é responsável pelo descumprimento do GDPR pela organização que o contratou. Somente o controlador de dados e/ou o processador são responsáveis. A responsabilidade criminal só pode ser incorrida em caso de cumplicidade em uma violação intencional.

O encarregado da proteção de dados pode desempenhar outras funções e tarefas, que não devem implicar conflitos de interesses (art. 38-6). É, portanto, impossível para ele desempenhar funções que o levem a decidir sobre as finalidades e os meios de tratamento de dados pessoais. Um DPO dificilmente pode exercer funções de gestão da organização ou trabalhar dentro do departamento responsável pela gestão de dados. Em 2015, a CNIL realizou um estudo para determinar os perfis dos encarregados da proteção de dados; verificou-se que não havia um perfil típico: 47 % tinham um perfil técnico, 19 % um perfil jurídico, 10 % um perfil administrativo. É provável que, pelo menos inicialmente, essa ausência de um perfil típico seja encontrada entre os DPOs.

O artigo 39 do RGPD enumera os deveres do delegado:

– informar e aconselhar o responsável pelo tratamento, o subcontratante e os funcionários que efetuam o tratamento sobre as suas obrigações relativas às regras sobre o tratamento de dados pessoais;

– monitorar o cumprimento da regulamentação, mas também conscientizar e treinar o pessoal envolvido nas operações de processamento;

– prestar assessoria, se solicitado, sobre a avaliação de impacto. As diretrizes do WP29 atribuem claramente ao DPO um papel fundamental nessa avaliação. Ele ou ela deve ser consultado sobre a pontualidade, a metodologia e o conteúdo, e então avaliar sua qualidade;

– cooperar com a autoridade de supervisão e ser o seu ponto de contato. No momento da redação deste documento, a CNIL está desenvolvendo um formulário para designar o DPO.

Não está no artigo, mas o G29 acrescenta uma missão adicional e opcional ao DPO: "Nada impede que o controlador ou o processador confie ao DPO a missão de manter o registro das operações de processamento realizadas sob a responsabilidade do controlador ou do processador." Talvez esta seja uma sugestão para facilitar o fluxo de informações entre os diferentes atores?

Isso não seria inútil. Porque, ao final da análise dessa função, dizemos a nós mesmos que não será fácil encontrar, mesmo em uma grande empresa, uma pessoa competente para desempenhar esse papel fundamental e isenta de qualquer responsabilidade no processamento de dados, a fim de evitar conflitos de interesse. De fato, não é fácil estar ciente das disposições de um regulamento, e especialmente de suas consequências, quando não se precisa aplicá-las pessoalmente no contexto do próprio trabalho.

Neste ponto, a declaração do problema para nomear seu DPO é simples, embora na verdade sejam três declarações separadas:

Ao nomeá-lo internamente, há múltiplos obstáculos a superar, como o aspecto social e a renegociação do contrato de trabalho. De fato, neste caso, é seguro apostar que o escopo desta nova missão não era conhecido quando o contrato foi inicialmente assinado. Se adicionarmos a noção de risco, a subordinação direta e exclusiva à governança da empresa e nenhuma outra, trata-se de uma modificação substancial do contrato, trata-se, portanto, de um novo contrato de trabalho. E quem o avaliará internamente, o controlará? E quem fará o seu trabalho, já que não pode mais ser juiz e árbitro...

Ao recrutá-lo, a demanda dispara. O perfil é tão procurado por grandes e médias empresas que há uma verdadeira inflação, devido à escassez. E o problema permanece: quem irá avaliá-lo e monitorá-lo?

Portanto, por que não delegar essa função de DPO a um profissional juramentado, que possa desempenhar sua função com competência e independência difíceis de conciliar internamente? O regulamento nada diz sobre essa possibilidade, e será necessário verificar na prática se ela é concebível e prevista (nada nos impede de questionar a CNIL sobre o assunto). De qualquer forma, parece-nos interessante uma garantia de uma relação virtuosa entre o responsável pelo tratamento e o encarregado da proteção de dados.

E, finalmente, podemos simplesmente decidir não nomear um DPO, porque você simplesmente não é estritamente obrigado a fazê-lo.