Funções do EPD Externo — O Que o RGPD Realmente Exige

O Artigo 37(1) do RGPD exige a designação de um EPD em três casos: quando o tratamento é efetuado por uma autoridade ou organismo público, quando as atividades principais exigem um controlo regular e sistemático dos titulares dos dados em grande escala, ou quando as atividades principais consistem no tratamento em grande escala de categorias especiais de dados (Artigo 9) ou dados relativos a condenações penais (Artigo 10). Muitos Estados-Membros da UE expandiram estes requisitos através de legislação nacional. A Alemanha, por exemplo, exige um EPD para qualquer organização com 20 ou mais colaboradores regularmente envolvidos no tratamento automatizado de dados pessoais. Outros países têm limiares semelhantes ou requisitos setoriais específicos. As organizações podem designar um EPD interno ou externo. Um EPD externo opera ao abrigo de um contrato de serviços (Artigo 37(6)) e pode servir múltiplas organizações — tornando-o um modelo de negócio viável para profissionais de privacidade. O RGPD permite expressamente isto, desde que o EPD seja acessível a cada organização e consiga desempenhar as suas tarefas eficazmente. A tendência para EPDs externos está a acelerar. Organizações de pequena e média dimensão frequentemente não conseguem justificar um papel de EPD interno a tempo inteiro, e a NIS2 trouxe milhares de empresas adicionais para o âmbito de aplicação. EPDs externos que consigam servir 10-50 clientes eficientemente estão a preencher uma necessidade crítica do mercado.

O Artigo 39 define as tarefas mínimas de um EPD: informar e aconselhar o responsável pelo tratamento ou subcontratante e os seus colaboradores sobre as obrigações do RGPD, monitorizar a conformidade com o RGPD e com as políticas de proteção de dados da organização, aconselhar sobre Avaliações de Impacto sobre a Proteção de Dados (AIPD) e monitorizar a sua execução, cooperar com a autoridade de controlo e servir como ponto de contacto para a autoridade de controlo em questões relacionadas com o tratamento. É importante notar o que o EPD não é responsável: o EPD não garante a conformidade — o responsável pelo tratamento é que o faz. O EPD aconselha, monitoriza e reporta, mas a responsabilidade última pela conformidade com a proteção de dados recai sobre a administração da organização. Esta distinção é juridicamente significativa e deve ser claramente documentada em todo contrato de serviço de EPD. Para além das tarefas obrigatórias, os EPDs externos tipicamente também tratam: manutenção do RAT (Artigo 30), gestão de pedidos de exercício de direitos (Artigos 15-22), revisão e acompanhamento de contratos de subcontratação (Artigo 28), realização ou supervisão de auditorias, formação de colaboradores e aconselhamento sobre proteção de dados desde a conceção e por defeito (Artigo 25). Estas tarefas adicionais devem ser explicitamente definidas no contrato de serviço com estruturas de honorários correspondentes.

O Artigo 38(3) é claro: o EPD não pode receber instruções relativamente ao exercício das suas funções. Não pode ser destituído ou penalizado por desempenhar as suas funções, e deve reportar diretamente ao mais alto nível de gestão do responsável pelo tratamento ou subcontratante. Para EPDs externos, a independência é geralmente mais fácil de manter do que para EPDs internos — não está na folha de pagamento do cliente e não tem incentivos de carreira para suavizar o seu aconselhamento. No entanto, conflitos de interesses podem ainda surgir: se uma parte significativa da sua receita provém de um único cliente, pode inconscientemente hesitar em apresentar constatações desconfortáveis. A melhor prática é diversificar o seu portefólio de clientes para que nenhum cliente individual represente mais de 20-25% da sua receita. Documente todas as recomendações e respostas da administração por escrito. Se a administração anula o seu aconselhamento, registe isto claramente — protege-o profissionalmente se surgirem problemas mais tarde. O Artigo 38(6) estabelece que o EPD pode desempenhar outras tarefas e funções, desde que estas não resultem em conflito de interesses. Para EPDs externos, isto significa que não deve servir simultaneamente como EPD e prestador de segurança de TI para o mesmo cliente, ou como EPD e analista de dados de marketing. Os papéis consultivo e operacional devem permanecer separados.

A economia de uma prática de EPD externo depende da eficiência. A maioria dos EPDs externos cobra entre 500 e 2 000 EUR por cliente por mês, dependendo da dimensão e complexidade do cliente. A estes valores, gerir 15-20 clientes pode gerar 10 000-30 000 EUR em receita mensal — mas apenas se a sobrecarga administrativa não consumir todo o seu tempo. Os maiores consumidores de tempo para EPDs externos são: manter RATs em múltiplos clientes (resolvido por modelos e ferramentas estruturadas), acompanhar prazos de pedidos (resolvido por lembretes automáticos), produzir relatórios de auditoria (resolvido por exportações com um clique) e alternar contexto entre clientes (resolvido por painéis multi-tenant). EPDs externos que usam ferramentas dedicadas reportam gastar 40-60% menos tempo em tarefas administrativas comparado com os que usam Excel e e-mail. Isto traduz-se em maior rentabilidade com o mesmo número de clientes, ou na capacidade de aceitar clientes adicionais sem aumentar proporcionalmente a carga de trabalho. À medida que a sua prática cresce para além de 20 clientes, considere standardizar os seus pacotes de serviço. Defina níveis claros (monitorização básica, standard com formação, premium com suporte de auditoria) e use a sua ferramenta de conformidade para entregar qualidade de serviço consistente em todos os clientes. O Trustee.eu foi concebido especificamente para este fluxo de trabalho — desde práticas de EPD individual a agências que gerem mais de 50 mandatos.