Serviço DPO externo
Encarregado da Proteção de dados
Organismos da Administração Pública Local e Central
Gestão terceirizada de privacidade
Serviços de Consultoria e Operacionais, direccionados aos organismos da Administração Pública Local e Central
Sou um Jurísta, especialista em Direito da Privacidade e da Proteção de Dados, que actua como DPO externo e como representante dos responsáveis pelo tratamento e subcontratantes não estabelecidos na União Europeia, ao abrigo do Artigo 27.º RGPD
Qual é a função do Encarregado da Proteção de dados (DPO)?
O papel de Encarregado da Proteção de dados (EPD ou DPO) é um papel de liderança em segurança empresarial (abrangendo organismos da Administração Pública Local e Central), definido pelo RGPD. Os Encarregados da proteção de dados são responsáveis por supervisionar a estratégia e a implementação dos sistemas de privacidade e da proteção de dados de forma a garantir a conformidade com os requisitos do RGPD. Os DPO são também responsáveis por formar a organização e os seus funcionários em relação aos requisitos essenciais de conformidade e por formar a equipa envolvida no processamento de dados, bem como realizar auditorias periodicas de segurança. Servem também como ponto de contato entre a organização e a Autoridade Supervisora (a CNPD supervisiona as atividades relacionadas com a proteção de dados em Portugal).
Quem tem de nomear um DPO?
Nos termos do artigo 37.º do RGPD, existem três cenários em que a nomeação de um DPO por um responsável pelo tratamento ou subcontratante é obrigatória:
- O tratamento for efetuado por uma autoridade ou um organismo público, excetuando os tribunais no exercício da sua função jurisdicional;
- As atividades principais do responsável pelo tratamento ou do subcontratante consistam em operações de tratamento que, devido à sua natureza, âmbito e/ou finalidade, exijam um controlo regular e sistemático dos titulares dos dados em grande escala; ou
- As atividades principais do responsável pelo tratamento ou do subcontratante consistam em operações de tratamento em grande escala de categorias especiais de dados nos termos do artigo 9.º e de dados pessoais relacionados com condenações penais e infrações a que se refere o artigo 10.º.
Lei n.º 58/2019, de 08 de Agosto –
LEI DA PROTEÇÃO DE DADOS PESSOAIS
Artigo 12.º
Encarregados de proteção de dados em entidades públicas
1 – Nos termos da alínea a) do n.º 1 do artigo 37.º do RGPD, é obrigatória a designação de encarregados de proteção de dados nas entidades públicas, de acordo com o disposto nos números seguintes.
2 – Para efeitos do número anterior, entende-se por entidades públicas:
a) O Estado;
b) As regiões autónomas;
c) As autarquias locais e as entidades supranacionais previstas na lei;
d) As entidades administrativas independentes e o Banco de Portugal;
e) Os institutos públicos;
f) As instituições de ensino superior públicas, independentemente da sua natureza;
g) As empresas do setor empresarial do Estado e dos setores empresariais regionais e locais;
h) As associações públicas.
3 – Independentemente de quem seja responsável pelo tratamento, existe pelo menos um encarregado de proteção de dados:
a) Por cada ministério ou área governativa, no caso do Estado, sendo designado pelo respetivo ministro, com faculdade de delegação em qualquer secretário de Estado que o coadjuvar;
b) Por cada secretaria regional, no caso das regiões autónomas, sendo designado pelo respetivo secretário regional, com faculdade de delegação em dirigente superior de 1.º grau;
c) Por cada município, sendo designado pela câmara municipal, com faculdade de delegação no presidente e subdelegação em qualquer vereador;
d) Nas freguesias em que tal se justifique, nomeadamente naquelas com mais de 750 habitantes, sendo designado pela junta de freguesia, com faculdade de delegação no presidente;
e) Por cada entidade, no caso das demais entidades referidas no número anterior, sendo designada pelo respetivo órgão executivo, de administração ou gestão, com faculdade de delegação no respetivo presidente.
4 – Nos termos do n.º 3 do artigo 37.º do RGPD, pode ser designado o mesmo encarregado de proteção de dados para vários ministérios ou áreas governativas, secretarias regionais, autarquias locais ou outras pessoas coletivas públicas.
5 – Cabe a cada entidade a designação do encarregado de proteção de dados, não sendo obrigatório o exercício de funções em regime de exclusividade.
6 – O encarregado de proteção de dados de uma entidade pública que tenha atribuições de regulação ou controlo não pode exercer essas funções simultaneamente em entidade sujeita ao controlo, ou inserida no perímetro regulatório daquela entidade.
Artigo 10.º da Lei n.º 58/2019, de 08 de Agosto – Dever de sigilo e confidencialidade:
1 – De acordo com o disposto no n.º 5 do artigo 38.º do RGPD, o encarregado de proteção de dados está obrigado a um dever de sigilo profissional em tudo o que diga respeito ao exercício dessas funções, que se mantém após o termo das funções que lhes deram origem.
Regulamento Geral da Proteção de Dados
Artigo 37 (5) RGPD: O encarregado da proteção de dados é designado com base nas suas qualidades profissionais e, em especial, nos seus conhecimentos especializados no domínio do direito e das práticas de proteção de dados, bem como na sua capacidade para desempenhar as funções referidas no artigo 39.o.
Artigo 37 (6) RGPD: O encarregado da proteção de dados pode ser um elemento do pessoal da entidade responsável pelo tratamento ou do subcontratante, ou exercer as suas funções com base num contrato de prestação de serviços.
Lei n.º 58/2019, de 08 de Agosto
LEI DA PROTEÇÃO DE DADOS PESSOAIS
Artigo 11.º Funções do encarregado de proteção de dados |
Para além do disposto nos artigos 37.º a 39.º do RGPD, são funções do encarregado de proteção de dados: a) Assegurar a realização de auditorias, quer periódicas, quer não programadas; |
Actuarei como especialista externo e independente na sua Autarquia, dando assim cumprimento aos requisitos formais previstos no Artigo 37.º do RGPD e no Artigo 12.º da Lei n.º 58/2019, de 08 de Agosto.
EPD
Encarregado da proteção de dados externo: DPO como serviço (DPOaaS)
Ofereço um serviço de curto ou médio prazo (geralmente por um período de 2 a 4 anos), no qual atuarei como seu DPO externo.
O serviço “Outsourced Data Protection Officer (DPO)” é projetado para satisfazer a responsabilidade legal de uma organização em designar um DPO, seja de forma obrigatória ou voluntária.
Fale comigo hoje e veja como o poderei ajudar a cumprir as responsabilidades da sua organização em relação à privacidade e proteção de dados.
Outsourcing
Gestão dos sistemas de Privacidade
Se o organismo da Administração Pública Local e Central for legalmente obrigado a nomear um DPO, ou escolher nomear um voluntariamente – considere um acordo de terceirização.
Possuo comprovada experiência internacional em consultoria em privacidade, proteção de dados e segurança da informação. A minha equipe está envolvida em projectos de representação RGPD e DPO em diferentes setores de negócios e na administração pública e encontra-se apta a fornecer consultoria especializada inestimável.
Desde que possa desempenhar a função de DPO conforme previsto por lei, trabalharei consigo para projetar e implementar um sistema de privacidade adequado, enquadrado às necessidades operacionais da organização e ao orçamento estipulado, de forma a garantir que a sua organização permaneça dentro da lei no que diz respeito ao papel e às responsabilidades do DPO.
Serviços
Serviços terceirizados de privacidade
Enquanto DPO terceirizado comprometo-me a levar a cabo as seguintes tarefas:
- Rever a sua documentação (por exemplo, políticas e procedimentos);
- Monitorizar a conformidade das práticas de trabalho;
- Fornecer formação profissional / aumentar a consciencialização sobre questões / prioridades da proteção de dados em contexto laboral;
- Realizar ou aconselhar sobre DPIAs, investigações de incidentes de segurança ou solicitações para o exercicio de direitos dos titulares dos dados;
- Aconselhar sobre a realização de contratos com subcontratantes e acordos de partilha / transferência de dados;
- Realizar auditorias de conformidade periódicas;
- Produzir relatórios periódicos de garantia de conformidade para a Administração;
- Facultar a ligação com e representar a Empresa junto das autoridades competentes e dos titulares dos dados;
- Testar os controles de segurança da informação.
Manter ou verificar a manutenção de:
- Registos de ativos de informação;
- Existência de informação de privacidade apropriada;
- Registos de violação de dados pessoais;
- Registos de solicitação de direitos dos titulares dos dados pessoais;
- Registo de risco de informação / privacidade;
- Registo de outros elementos da estrutura de governança da informação.
Serviços terceirizados de privacidade?
Os benefícios de terceirizar as funções de DPO
Baixo Custo
A terceirização é uma solução económica que reduz custos de recrutamento, despesas gerais e férias de pessoal.
Consultor Qualificado
Sou um profissional certificado. Ofereço a garantia de aconselhamento e suporte especializado
Conhecimento Técnico
Habilitado a fornecer consultoria técnica e orientação em matérias de gestão empresarial, além da proteção de dados.