Enquadramento
O que é o Delegado de Proteção de Dados em Espanha, e por que a lei o torna indispensável.
O Delegado de Proteção de Dados — em inglês, Data Protection Officer — é a figura a quem o Regulamento Geral sobre a Proteção de Dados confia informar e aconselhar a organização, fiscalizar o cumprimento e cooperar com a autoridade de controlo. Não decide os fins nem os meios do tratamento — essa responsabilidade recai sobre o responsável —, mas garante, com independência técnica, que a proteção de dados é levada a sério em toda a organização.
A figura nasce do próprio Regulamento, nos artigos 37.º a 39.º, e desenvolve-se em Espanha pelos artigos 34.º a 37.º da Lei Orgânica 3/2018 (LOPDGDD). A lei espanhola amplia consideravelmente os casos de designação obrigatória, exige comunicar a nomeação à Agência Espanhola de Proteção de Dados em dez dias e prevê uma intervenção específica do DPD em caso de reclamação.
A sua posição está rodeada de garantias de independência: não recebe instruções, não pode ser destituído nem sancionado por exercer as funções — salvo em casos de dolo ou negligência grave — e está sujeito a segredo profissional. Além disso, Espanha promove um Esquema de Certificação AEPD-DPD que acredita a qualificação profissional, atribuído por entidades acreditadas pela ENAC.
Funções do DPD
As funções legais do DPD, nos termos do art. 39.º do RGPD e do art. 37.º da LOPDGDD.
Informar e aconselhar
Informar e aconselhar o responsável, o subcontratante e os trabalhadores sobre as suas obrigações nos termos do RGPD e da LOPDGDD.
RGPD art. 39.º, n.º 1, al. a)
Fiscalizar o cumprimento
Fiscalizar o cumprimento do RGPD, da LOPDGDD e das políticas do responsável, incluindo a formação e a sensibilização do pessoal.
RGPD art. 39.º, n.º 1, al. b)
Aconselhar sobre a AIPD
Prestar aconselhamento, quando solicitado, sobre a avaliação de impacto sobre a proteção de dados e fiscalizar a sua realização.
RGPD art. 39.º, n.º 1, al. c)
Cooperar com a AEPD
Cooperar com a Agência Espanhola de Proteção de Dados e funcionar como ponto de contacto, incluindo a consulta prévia do artigo 36.º.
RGPD art. 39.º, n.º 1, als. d)-e)
Intervenção em reclamações
Atender, antes da reclamação à autoridade, as reclamações que o titular lhe dirija, comunicando a decisão no prazo máximo de dois meses.
LOPDGDD art. 37.º
Ponto de contacto do titular
Funcionar como ponto de contacto dos titulares para todas as questões relativas ao tratamento e ao exercício dos seus direitos.
RGPD art. 38.º, n.º 4
A posição do DPD (art. 38.º RGPD · art. 36.º LOPDGDD)
Envolvimento atempado
O DPD é envolvido de forma adequada e atempada em todas as questões relativas à proteção de dados.
RGPD art. 38.º, n.º 1Recursos e acesso
A organização disponibiliza os recursos necessários, o acesso aos dados e os meios para manter os conhecimentos especializados.
RGPD art. 38.º, n.º 2Independência — sem instruções
O DPD não recebe instruções sobre o exercício das funções e reporta ao mais alto nível hierárquico.
RGPD art. 38.º, n.º 3Inamovibilidade reforçada
O DPD não pode ser destituído nem sancionado por exercer as suas funções, salvo em casos de dolo ou negligência grave.
LOPDGDD art. 36.º, n.º 2Segredo profissional
O DPD está obrigado a manter o segredo ou a confidencialidade no exercício das funções.
RGPD art. 38.º, n.º 5Sem conflito de interesses
O DPD pode exercer outras funções desde que não gerem conflito; não pode ocupar um cargo que determine os fins e os meios do tratamento.
RGPD art. 38.º, n.º 6; WP243