Com o regulamento geral de proteção de dados, entrámos numa nova era, nova cultura, e novos comportamentos, com novas relações, novos direitos, obrigações e princípios e ainda um novo espectro de responsabilidade potencialmente concretizado em medidas de coimas que implicam atenção redobrada por parte dos agentes económicos.
Este regulamento, em determinadas circunstâncias implica ainda o surgimento de novas figuras no meio organizacional. Entre as quais o encarregado de proteção de dados. Estes EPD (DPO) são responsáveis, livres e autónomos, por monitorar a conformidade de uma organização face ao RGPD, informar e aconselhar sobre as suas obrigações de proteção de dados e agir como um ponto de contato para os titulares de dados e a autoridade supervisora relevante.
Face à sua posição relativa dentro das organizações são os garantes da conformidade das entidades face ao regulamento.
Das várias análises feitas ao regime jurídico do encarregado de proteção de dados enumeras questões têm surgido de modo recorrente e sistemático, implicando, por isso, o compromisso da vontade em encontrar soluções. Soluções que, a este passo do caminho interpretativo, apenas têm a pretensão pequena de ser um prólogo fugaz, resultante mais da intuição jurídica livre que a construção de um regime jurídico completo e totalmente estruturado.
Refira-se então que o presente trabalho tem como fito principal uma perspetiva jurídico-laboral e as questões apontadas não têm objetivo superior que o mero registo de pensamentos jurídico-laborais soltos resultantes do aprofundamento possível.
Em primeiro lugar e por ordem lógico temporal deixe-se claro que o encarregado de proteção de dados não deve, não pode, ser nomeado por “decreto”, ordem de serviço ou decisão unilateral do empregador, nas situações em que é nomeado internamente (quando se trata de contrato de prestação de serviços pressupõe-se a negociação, logo o acordo de vontades). Este “limite” à nomeação é um pressuposto.
Várias questões se colocarão caso este pressuposto não seja respeitado. Atente-se no caso de o encarregado ser nomeado, sem aferição da sua vontade? Está obrigado a aceitar a nomeação? Está obrigado a aceitar como se de uma ordem se tratasse? Se no plano factual se tratar mesmo de uma ordem, pode o candidato escolhido, considerar que se trata – no limite - de uma ordem ilícita? Ilícita por violação do RGPD (n.º 3 do art.º 38) e da alínea b) do n.º 2 do art.º 394º do código do trabalho, podendo inclusive levar o trabalhador a decidir-se pela resolução com justa causa do contrato de trabalho? Mais complexa será a situação em que o empregador “nomeia” aquele “quadro incómodo” com a intenção “estratégica” de levar o nomeado a avançar para a resolução com justa causa! Caso assim seja e face ao grau de ilicitude do comportamento do empregador, pode o trabalhador pedir uma indemnização (n.º1 do art.º 396º do código do trabalho) que se aproxime dos 45 dias por cada ano de antiguidade? Por outro lado e caso o trabalhador não aceite “a nomeação”, pode o empregador entender que há uma violação do contrato por parte do trabalhador e nessa medida tomar legitimamente medidas para por fim ao contrato?
Suponha-se agora que o encarregado de proteção de dados foi “nomeado por decreto”, com acumulação de funções. O empregador contrariando as melhores práticas não específica o número de horas destinado a cada uma das funções (as originárias e as novas). Caso isto suceda e uma vez que o agora encarregado de proteção de dados tem que assegurar ambos os postos, com o máximo de eficiência e produtividade, não nos parece complexo prever que uma ou outra das funções ou mesmo ambas serão prejudicadas pelo défice de planeamento por parte do empregador. Para evitar que tal suceda o empregador deverá, previamente ao início do exercício conjunto das funções, ajustar:
- (i) tempos de trabalho (dedicados a cada uma das funções),
- (ii) as tarefas propriamente ditas de cada função (agora ainda mais especificadas), retirando eventualmente uma parte das funções originárias face à previsível complexidade da acumulação,
- (iii) objetivos de cada uma das funções.
Atente-se agora numa situação em que o empregador não promove o ajuste suprarreferido e o exercício conjunto das funções (originárias e novas) acaba por prejudicar o exercício das funções originárias, por diminuição da produtividade dessas funções. Pergunta-se: pode o empregador avançar legitimamente para um processo disciplinar nos termos da alínea m) do n.º 2 do art.º 351º do código do trabalho, tendo em vista o despedimento do trabalhador que não conseguiu assegurar o exercício conjunto e que tem “reduções anormais de produtividade”? O que poderá invocar o trabalhador visado? E se forem as novas funções (de encarregado de proteção de dados) a ser prejudicadas, contrariando as expetativas do empregador? Pode este invocar exercício não diligente de funções por parte do encarregado de proteção de dados e consequentemente “destitui-lo” (n.º3 do art.º 38º do RGPD)?
Estão deste modo enumeradas algumas questões jurídico-laborais, diríamos iniciais, no âmbito das relações entre Responsável pelo Tratamento de Dados e o Encarregado de Proteção de Dados.
Em breve continuaremos a indicar outras, talvez mais complexas.
