Compliance
A Comissão Nacional de Proteção de Dados (“CNPD”) publicou, no início deste mês, cinco novas orientações com especial relevo para o setor público, entre as quais uma orientação relativa à incompatibilidade da acumulação das funções do encarregado de proteção de dados (“EPD”) e do responsável pelo acesso à informação (“RAI”)
Por Carolina Malheiro Dias, Associada Júnior de TMT da CCA Law Firm, e Sílvia Lencastre, Associada Sénior de TMT da CCA Law Firm . 17/05/2023
Em suma, a CNPD entende que o exercício da função de RAI põe em causa a indispensável independência do EPD no controlo das operações de tratamento de dados pessoais realizadas dentro da entidade pública, sendo suscetível de gerar um conflito de interesses, em violação do disposto do n.º 6 do artigo 38.º do Regulamento Geral de Proteção de Dados (“RGPD"). Como se sabe, o EPD tem como missão auxiliar o responsável pelo tratamento ou o subcontratante em todas as questões relacionadas com a proteção de dados pessoais. Por outro lado, o RGPD estabelece como obrigatória a designação de um EPD quando o tratamento for efetuado por uma autoridade ou um organismo público. Ora, o art. 38.º n.º 6 do RPGD estabelece que o EPD pode exercer outras funções, desde que as mesmas não resultem num conflito de interesses, questão que está intimamente ligada ao requisito de independência dos EPD. Assim, o EPD - que desempenha funções consultivas e de fiscalização relativamente ao tratamento de dados pessoais em curso numa organização -, não poderá, na mesma organização, exercer outro cargo que o leve a determinar as finalidades e os meios do tratamento de dados pessoais no contexto da atividade dessa mesma organização (situação que deverá ser apreciada casuisticamente, em função da estrutura organizacional de cada entidade). Nesse sentido, a CNPD considerou estar em manifesto conflito de interesses o EPD que, na mesma organização, acumula funções ou atribuições que implicam tomar decisões sobre concretas operações de tratamento de dados, pois tal é suscetível de colocar o EPD na posição (conflituante) de se ter de fiscalizar a si próprio. Entre as funções que estão em conflito com o papel do EPD numa organização, no caso, numa autoridade ou organismo público, a CNPD incluiu as funções do RAI, figura prevista no artigo 9.º da Lei n.º 26/2016, de 22 de agosto, que regula o regime de acesso à informação administrativa e ambiental e de reutilização dos documentos administrativos. De acordo com este diploma, compete ao RAI organizar e promover as obrigações de divulgação ativa de informação a que está vinculado o órgão ou a entidade do qual faz parte, bem como, acompanhar a tramitação dos pedidos de acesso e reutilização e estabelecer a articulação necessária ao exercício das competências da Comissão de Acesso aos Documentos Administrativos. Daqui resulta que as atribuições do RAI incluem a tomada de decisão sobre o acesso ou o fornecimento de documentos administrativos, os quais poderão incluir documentos com dados pessoais. Ao decidir sobre o acesso ou fornecimento de documentos que contêm dados pessoais, o RAI estará também a decidir sobre uma operação de tratamento de dados pessoais, o que, de acordo com a CNPD, prejudica a indispensável isenção na monitorização das operações de tratamento de dados pessoais realizadas dentro da entidade pública, a que o EPD está obrigado, sendo, por isso, suscetível de gerar um conflito de interesses. Ainda neste contexto, está a decorrer, até ao dia 9 de junho de 2023, uma consulta pública da CNPD sobre o projeto de orientação relativa à avaliação de desempenho de trabalhadores de entidades públicas que exerçam funções de EPD. O que levou a CNPD a querer emitir orientações sobre esta matéria é o facto de não existirem, à data, normas legais que regulem o estatuto jurídico do EPD dentro da organização das entidades públicas, em particular os termos em que se processa a sua avaliação de desempenho quando acumule outras funções na organização. |