Protocolo estabelecido entre EPDServiços e AFInformática

EXPOSIÇÃO DE DADOS PESSOAIS: MILHÕES DE UTILIZADORES AFETADOS EM PORTUGAL

A AFInformática não estando habilitada nem autorizada a prestar o serviço de EPD/DPO estabeleceu um protocolo com EPDServiços.pt Prestação de serviços de EPD/DPO Encarregados de proteção de dados. No sentido de prestar esse serviço às empresas que o quiserem contratar e assim criar um preço especial exclusivo muito abaixo dos preços de mercado para os clientes SEGPLUS Gestão de carteiras de seguros. Valor anual 400 euros. Preço bastante reduzido em relação aos preços de mercado para este serviço. Este protocolo entra em vigor em 01/07/2021

A pessoa responsável pela marca comercial EPDServiços.pt é Manuel Antonio Freitas com as capacidades reconhecidas, competências adquiridas e experiência para o cargo.

E membro da APDPO Portugal e da ASSOFT Associação Portuguesa de Software.

A CNPD emitiu uma nota informativa sobre os recentes casos de exposição de dados pessoais das redes sociais Facebook e Linkedin e faz um conjunto de recomendações aos utilizadores e aos prestadores de serviços públicos e privados.

O Facebook e o Linkedin não têm estabelecimentos em Portugal, tendo ambas as empresas o seu estabelecimento principal na Irlanda. A CNPD tem trocado informações com a sua congénere irlandesa, no âmbito dos procedimentos de cooperação previstos no RGPD, e vai acompanhar os desenvolvimentos destes dois casos, que afetam milhões de utilizadores em Portugal.

Funções do EPD/DPO

O Regulamento Geral sobre a Proteção de Dados (RGPD) reforçou o papel atribuído ao encarregado de proteção de dados (EPD/DPO), figura criada pela Diretiva de 1995, mas que não granjeou, na altura, o estatuto de agente do mercado da proteção de dados. É apenas com o RGPD que este cargo ganha relevância e se torna numa verdadeira profissão.

O EPD/DPO assume uma posição independente em relação a cada entidade responsável pelo tratamento ou subcontratado, e tem como principal missão o acompanhamento do cumprimento das regras instituídas pelo RGPD.

O RGPD determina que o EPD/DPO é designado de acordo com as suas qualidades profissionais e em especial, com base nos seus conhecimentos especializados no domínio do direito e das práticas de proteção de dados (nacionais e europeias), bem como ainda na sua capacidade para desempenhar as funções que lhe são atribuídas pelo regulamento. O nível necessário de conhecimentos especializados deverá ser determinado em particular em função do tratamento de dados realizado e da proteção exigida para os dados pessoais tratados pelo responsável pelo tratamento ou pelo subcontratado.

No entanto, é fundamental que o EPD/DPO conheça o setor económico e a própria estrutura organizacional do responsável pelo tratamento, sob pena de não conseguir fazer uma implementação de medidas eficaz.

O EPD/DPO deve por isso ter um bom conhecimento das operações de tratamento efetuadas, bem como dos sistemas de informação, das medidas de segurança dos dados já adotadas e das necessidades de proteção de dados do responsável pelo tratamento.

O EPD/DPO deve estar em condições de desempenhar as suas funções e atribuições com autonomia, independência e isenção. E deve fazê-lo ao abrigo do sigilo e confidencialidade que lhe são exigíveis pelo direito da União Europeia e dos Estados Membros.

O RGPD previu a obrigação do responsável pelo tratamento ou do subcontratado assegurar que as funções e atribuições que o EPD/DPO possa vir a assumir não resultam num conflito de interesses.

Assumindo uma posição independente em relação a cada entidade responsável pelo tratamento ou subcontratado, o EPD/DPO não deve receber quaisquer instruções no exercício das suas funções.

Ademais, a entidade responsável pelo tratamento ou subcontratado devem assegurar que o EPD/DPO é envolvido de forma adequada e em tempo útil, em todas as questões relacionadas com a proteção de dados pessoais. Devem além disso apoiar o encarregado da proteção de dados no exercício das suas funções, facultando-lhe os recursos necessários ao desempenho das suas funções e à manutenção dos seus conhecimentos bem como permitir-lhe o acesso aos dados pessoais e às operações de tratamento. Nota-se que quanto mais complexas e/ou sensíveis forem as operações de tratamento, mais recursos devem ser concedidos ao EPD/DPO. A missão de proteção de dados deve ser eficaz e, para tal, dotada de recursos suficientes e adequados para o tratamento de dados efetuado.

O grau de independência do EPD/DPO encontra-se fortemente reforçado pelo RGPD já que se assegura que este não pode ser destituído, nem tão pouco penalizado pelo responsável pelo tratamento ou pelo subcontratado pelo facto de exercer as suas funções de forma rigorosa. Nega-se completamente a possibilidade de o EPD/DPO agir em conluio com o responsável pelo tratamento ou subcontratado com o propósito de emitir parecer positivo em relação às pretensões destes. Mas ao mesmo tempo, caso tal cenário venha a ocorrer e, portanto através dessas situações verificar-se o derrube das regras impostas pelo RGPD, a entidade responsável pelo tratamento e/ou o subcontratado correm o risco de ser alvo de um processo de contraordenação e de lhes ser aplicada uma sanção, e ainda o risco de lhes ser atribuída a responsabilidade civil pelos danos causados ao titular dos dados.

O EPD/DPO, no exercício das suas funções, não deve receber instruções quanto à forma de tratar uma questão, por exemplo quanto ao resultado que deve ser obtido, à forma de investigar uma queixa ou à necessidade de consultar a autoridade de controlo.

Do mesmo modo, o EPD/DPO não deve receber instruções no sentido de adotar determinada perspetiva sobre uma questão relacionada com as normas de proteção de dados, por exemplo determinada interpretação da legislação.

O EPD/DPO não é responsável perante o titular dos dados pessoais já que as funções de decisão de execução cabem ao responsável pelo tratamento de dados, sendo que este assumirá a responsabilidade em todas as situações.

O EPD/DPO não decide, não ordena. O DPO aconselha, recomenda. O DPO dá o seu parecer, pronuncia-se, verifica, alerta, audita, sensibiliza.

O EPD/DPO informa diretamente a direção ao mais alto nível do responsável pelo tratamento ou do subcontratado, o que significa que o seu trabalho não pode ser escrutinado por um nível intermédio de supervisão/chefia intermédia.

Quais são, as funções do EPD/DPO?

Informar e aconselhar todos aqueles que tratem dados

O EPD/DPO deve informar e aconselhar o responsável pelo tratamento ou o subcontratado bem como os trabalhadores que tratem os dados das suas obrigações, resultantes do RGPD bem como de outras disposições de proteção de dados da União ou dos Estados membros (p.e. a lei nacional).

Controlar a conformidade do tratamento

Compete-lhe ainda controlar a conformidade do tratamento, quer com o RGPD, quer com outras disposições de proteção de dados da União Europeia ou dos Estados membros, quer ainda com as políticas do responsável pelo tratamento ou do subcontratado, relativas à proteção de dados pessoais (repartição de responsabilidades, sensibilização, formação do pessoal implicado nas operações de tratamento de dados, auditorias).

Prestar aconselhamento e controlar a Avaliação de Impacto sobre a Proteção de Dados

Sempre que o responsável pelo tratamento efetue uma avaliação de impacto sobre a proteção de dados deve o mesmo solicitar o parecer do EPD/DPO. Por esta razão uma outra função do EPD/DPO é precisamente a de prestar aconselhamento no domínio da avaliação de impacto sobre a proteção de dados e controlar a sua realização.

Cooperar com a autoridade de controlo

Servindo de ponto de contacto com a autoridade de controlo, sempre que se afigure conveniente e necessário.

Ponto de contacto para os titulares dos dados

Por sua vez, os titulares dos dados podem contactar o EPD/DPO sobre todas questões relacionadas com o tratamento dos seus dados pessoais, e com o exercício dos direitos que lhe são conferidos pelo RGPD.

 

EPDServiços

Manuel António Freitas