A existência de uma função chamada Encarregado de Proteção de Dados (EPD) ou Data Protection Officer (DPO) não é obrigatória, mas é recomendada em todas as organizações que tratem dados pessoais ou sensíveis.

Tem o regime previsto nos Artigos 37º, 38º e 39º do RGPD, ficando sujeito ao dever e sigilo ou confidencialidade bem como ao dever de incompatibilidade, não podendo exercer quaisquer funções e atribuições que resultem de um conflito de interesses para o exercício das funções.

A designação do DPO deve ser realizada em função das competências profissionais em especial dos conhecimentos avançados de proteção de dados e que seja capaz de cumprir as tarefas atribuídas no Artigo 39º, relacionadas com a segurança e proteção de dados, por exemplo deve ter as seguintes funções:

    – Sensibilização e informar todos os que tratem dados pessoais;

    – Assegurar o comprimento das políticas de privacidade e proteção de dados;

    – Controlar e regular a conformidade do RGPD;

    – Recolher informação para identificar atividades de tratamento;

    – Controlar e acompanhar a produção do AIPD – Avaliação de Impacto sobre Proteção de Dados;

    – Promover as abordagens de Privacidade por Desenho e por Padrão;

    – Realizar a avaliação na exposição aos riscos de violações de privacidade e mitigados com ações de melhoramento; 

    – Recolher informação para identificar atividades de tratamento;

    – Manter atualizado os registos das atividade de tratamento de dados;

    – Controlar o cumprimento de contratos escritos subcontratante;

    – Promover formações de boas práticas para a proteção de dados;

    – Ser o ponto de contacto com os titulares de dados de forma a esclarecer questões relacionadas com o tratamento dos dados;

    – Ser o ponto de contacto com as autoridades de controlo;

Percebe-se que idealmente deveria ser alguém capaz de juntar conhecimentos de, pelo menos, as seguintes áreas: tecnológica, gestão, e legal.

Embora seja uma dúvida nos termos do RGPD, é claro que uma das competências do DPO está relacionada com gestão, infraestruturas de TI e coordenação de auditorias SI, e por isso uma experiência nestas áreas é melhor para qualquer profissional desempenhar as suas funções com agilidade e competência.

Todas as questões relacionadas com a segurança e proteção de dados, o DPO deve exercer com a máxima independência e ser sempre envolvido de forma adequada a tempo útil, apoiado por uma equipa multidisciplinar que reúna competências em diversas áreas (financeira, recursos humanos, tecnológica, marketing, arquivo, etc.) fornecendo os recursos necessários para o desempenho das funções tratadas pelo responsável pelo tratamento e subcontratantes.

O DPO assume a responsabilidade na aplicação da estratégia para proteção dos dados e conformidade do RGPD. Qualquer descuido em eventuais não conformidades e incidentes ou violações serão imputadas ao responsável pelo tratamento, em última instância à administração.

Trata-se de uma função bastante exigente, mas aliciante e certamente será um perfil muito procurado nos próximos tempos.