Antes da entrada em vigor do novo Regulamento de Proteção de Dados (RGPD), a Comissão Estadual de Proteção de Dados da Bavária (“BayLDA”) anunciou que havia aplicado uma coima a uma organização relacionada com a indicação de um funcionário como Encarregado de Proteção de Dados (“EPD”), que ocupava também o cargo de diretor do departamento de TI.

De acordo com a Lei de Proteção de Dados alemã (BDSG), o EPD deve ser alguém independente no desempenho das suas funções, ou seja, um EPD não poderia cumprir as suas tarefas enquanto tivesse uma responsabilidade operacional significativa em atividades de processamento de dados.

O diretor de TI ao exercer funções como EPD teria de monitorizar o seu próprio trabalho para estar em conformidade com a lei de proteção de dados. Esta auto-monitorização de trabalho contradiz a independência exigida por parte de um EPD, que acaba por não ser viável por se tratar de um conflito de interesses.

Além de que, um EPD deve demonstrar a confiabilidade necessária para o desempenho das suas funções, a qual não pode ser expectável se o EPD tiver outras tarefas e deveres a cumprir incompatíveis com essa posição.

 Tal incompatibilidade surge associada a determinadas posições ocupadas, no seio das organizações, por pessoas que, independentemente do seu carácter e atitude, exercem funções de cargos superiores (CEO), de cargos de administração, de direção e de gerência, ou funções que potenciam conflito de interesses, como por exemplo, colaboradores que gerem tarefas em unidades operacionais que lidam com grandes quantidades de dados pessoais sensíveis.

Contudo, antes da imposição de uma coima por parte do BayLDA, a organização comprometeu-se a tomar medidas de forma a garantir a conformidade com o BDSG. No entanto, tal compromisso nunca foi cumprido, pois nunca chegaram a indicar um novo EPD, mantendo-se até então uma situação de conflito de interesses.

A fim de evitar um conflito de interesses, destacam-se duas profissões que serão as mais adequadas para desempenhar as tarefas de um EPD, a saber: advogados com experiência em privacidade e proteção de dados e os auditores de sistemas de informação certificados como revisores de contas ou contabilistas.

Qualquer recurso que preencha a função de EPD deverá possuir competências jurídicas especializadas no domínio do direito e das práticas de proteção de dados e técnicas suficientes para realizar uma avaliação independente das práticas de proteção de dados da organização, sem depender, inicialmente, da opinião do resto dos colaboradores da organização.

Com efeito, o melhor profissional para preencher o papel de EPD sob as indicações do RGPD seria, efetivamente, um advogado experiente em matérias de privacidade e tecnologia permitindo às organizações obter vantagens de sigilo profissional, ética e competência, podendo este trabalhar facilmente com advogados externos e corporativos no procedimento de execução, evitando assim o non-compliance das diretrizes do RGPD.

 No entanto, o advogado ao desemprenhar as funções de EPD deve evitar agir como consultor de um controlador ou processador em questões de proteção de dados.

Este caso na Alemanha demonstrou que o papel do gerente de TI é inadequado para o papel de EPD sob a atual lei alemã, dada a necessária independência do EPD das operações de TI.

De acordo com o BDSG, a falta de nomeação de um DPO está sujeita a coimas que podem chegar ao valor de € 50.000. Por outro lado, em conformidade com o RGPD, o valor das coimas pode chegar aos € 10 milhões ou a 2% da faturação anual do ano anterior.

Até há data não sabemos o valor exato da coima aplicada por parte do BayLAD.

Aviso Legal: A presente Informação destina-se a ser distribuída entre Clientes e Colegas e a informação nela contida é prestada de forma geral e abstrata, não devendo servir de base para qualquer tomada de decisão sem assistência profissional qualificada e dirigida ao caso concreto. O conteúdo desta Informação não pode ser reproduzido, no seu todo ou em parte, sem a expressa autorização do editor. Caso deseje obter esclarecimentos adicionais sobre este assunto contacte-nos através do endereço de e-mail: abclegal@abclegal.com.pt