No passado dia 5 de maio de 2023 foi publicada uma Orientação da Comissão Nacional de Proteção de Dados (CNPD) relativa à “Incompatibilidade da acumulação de funções EPD/RAI”, após serem levantadas dúvidas sobre a possibilidade de um trabalhador acumular as funções de responsável pelo acesso à informação (RAI) com as de encarregado de proteção de dados (EPD).
Na sua Orientação, a CNPD começa por clarificar que o EPD é, enquanto titular de competências próprias legalmente atribuídas, um órgão administrativo interno, consultivo e de fiscalização – desde logo, com poder de controlar os tratamentos de dados pessoais e de realizar auditorias, bem como de informar e de fazer recomendações quanto às obrigações do responsável pelo tratamento, nomeadamente no âmbito da realização de avaliações de impacto (cf. artigo 39.º do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016 (RGPD) e artigo 11.º da Lei n.º 58/2019, de 8 de agosto (LPDP).
Tendo em conta as competências atribuídas ao EPD, a CNPD realça que é necessário assegurar que as suas funções não implicam a tomada de decisão sobre operações concretas de tratamento de dados pessoais, sob pena de o EPD monitorizar a sua própria atividade, em manifesto conflito de interesses.
As funções do RAI implicam a tomada de decisão sobre o acesso ou o fornecimento de documentos administrativos. Uma vez que tais documentos administrativos podem corresponder a documentos nominativos com dados pessoais, o RAI estará, nesses casos, a proceder à tomada de decisão sobre operações de tratamento de dados pessoais sujeitas a controlo e auditoria do EPD.
Conclui a CNPD na sua Orientação que, por este motivo, o exercício da função de RAI «[…] prejudica a indispensável isenção na monitorização das operações de tratamento de dados pessoais realizadas […]», sendo suscetível de gerar conflito de interesses, em violação do disposto no n.º 6 do artigo 38.º do RGPD, razão pela qual é incompatível com a acumulação da função de EPD.
Apesar de a Orientação da CNPD apenas abranger expressamente entidades públicas, prevê-se como possível que, por identidade de razão, a CNPD venha a entender que a mesma incompatibilidade se possa aplicar a entidades privadas. Assim, afigura-se recomendável que as empresas com EPD designado revejam internamente as funções atribuídas, de modo a evitar a acumulação de funções que se revelem incompatíveis com o desempenho do cargo, e que, por esse motivo, gerem conflito de interesses, na medida em que esse conflito de deveres poderá implicar a prática de uma infração punida com coima cujo limite máximo abstratamente aplicável ascende a 10 000 000 EUR ou 2% do volume de negócios anual a nível mundial correspondente ao exercício financeiro anterior, consoante o que for mais elevado.
