Diretores Técnicos podem ser responsabilizados por falhas no RGPD?

Introdução

Imagine que chega uma carta da CNPD. Não para a sua instituição em abstrato. Para si. Com o seu nome.

Pode parecer improvável. Para muitos Diretores Técnicos, parece mesmo impossível. "A responsabilidade é da instituição", costuma dizer-se. Mas esta ideia está, em muitos casos, errada — e essa crença pode custar caro.

O RGPD não distingue apenas entre organizações cumpridoras e organizações incumpridoras. Identifica também as pessoas que, dentro de cada organização, são responsáveis pelo tratamento de dados. E em muitas IPSS e lares, essa pessoa é o Diretor Técnico — seja porque está definido formalmente, seja porque é quem gere a operação no dia a dia.

Este artigo explica, de forma simples, o que está realmente em causa e o que pode fazer para se proteger.

O problema real

Durante anos, o RGPD foi tratado como uma questão administrativa. Alguém assinou uns documentos. A instituição tem uma política de privacidade algures num servidor. Talvez até tenha feito uma formação em 2018.

Mas o regulamento não avalia intenções. Avalia práticas.

E quando há uma queixa, um incidente ou uma auditoria, a CNPD não pergunta se a instituição quis cumprir. Pergunta se cumpriu. E se não cumpriu, quem era responsável por garantir que isso acontecia.

O Diretor Técnico ocupa, na maioria das IPSS e lares, uma posição central na gestão operacional. Gere equipas, aprova procedimentos, supervisiona o atendimento a utentes e famílias. É precisamente esta posição que o coloca no centro das questões de conformidade — e que pode torná-lo o primeiro a ser identificado num processo.

A lei portuguesa e o próprio RGPD permitem que as autoridades de supervisão identifiquem e responsabilizem as pessoas singulares que, dentro de uma organização, exercem funções de controlo sobre o tratamento de dados. Não é uma possibilidade teórica. É uma realidade que já se verificou noutros países europeus.

O que está em causa

A responsabilidade em questão não é apenas institucional. É profissional e, em determinadas circunstâncias, pessoal.

A CNPD pode aplicar sanções às organizações e pode igualmente identificar os responsáveis pelo tratamento de dados dentro dessas organizações. Isso significa que o nome de um Diretor Técnico pode aparecer num processo de investigação.

As consequências variam. Podem incluir coimas, ordens de correção, recomendações públicas ou simplesmente o desgaste de estar envolvido num processo que pode durar meses. Nenhuma dessas situações é neutra para a carreira ou para a reputação de um profissional.

Há ainda outra dimensão que raramente é discutida: a responsabilidade civil. Se um utente, familiar ou colaborador sofrer dano concreto em resultado de uma falha de proteção de dados, pode recorrer aos tribunais e pedir indemnização. Quem exercia funções de controlo e não tomou as medidas adequadas pode ser chamado a responder.

Não é catastrofismo. É o quadro legal vigente, e qualquer profissional que gere uma organização que trata dados sensíveis deve conhecê-lo.

Onde a maioria falha

O erro mais comum é assumir que a proteção de dados é responsabilidade de outra pessoa.

"Isso é com o departamento jurídico." Mas a maioria das IPSS não tem departamento jurídico.

"Isso é com os serviços de informática." Mas a proteção de dados vai muito além da segurança informática. Envolve processos, pessoas e decisões organizacionais.

"Já tratámos disso." Mas tratar implica manter. Um sistema de conformidade que foi implementado e depois abandonado não protege ninguém.

O segundo erro é confundir documentação com conformidade. Ter uma política de privacidade escrita não é o mesmo que aplicar essa política. Ter um formulário de consentimento não é o mesmo que garantir que todos os consentimentos estão a ser recolhidos corretamente, por todas as pessoas, em todas as situações.

O terceiro erro — e talvez o mais perigoso — é não saber o que fazer quando algo corre mal. Em caso de incidente de segurança, a lei exige notificação à CNPD em 72 horas. A maioria das instituições não tem este procedimento definido. Não sabe quem deve notificar, o que deve comunicar, nem como documentar o acontecimento. Quando isso se descobre, já é tarde.

O que fazer na prática

A proteção de dados eficaz assenta em três pilares que qualquer Diretor Técnico pode construir, independentemente do tamanho da instituição.

O primeiro pilar é o conhecimento. Saber que dados a instituição trata, quem tem acesso a eles e com que propósito. Não é necessário ser especialista em direito. É necessário ter uma visão clara do que acontece na prática — e essa visão é uma responsabilidade de gestão, não uma questão técnica.

O segundo pilar é o processo. Ter regras definidas, documentadas e aplicadas. Quem pode aceder ao processo de um utente? O que acontece quando um colaborador sai da organização? Como se responde a um pedido de acesso aos dados por parte de um familiar? Se estas perguntas não têm resposta clara e conhecida por toda a equipa, há vulnerabilidade.

O terceiro pilar é a formação contínua. A maioria dos incidentes de proteção de dados não acontece por má intenção. Acontece por desconhecimento. Um email enviado para o destinatário errado. Um processo clínico deixado visível. Uma senha partilhada entre vários utilizadores. A formação regular — não uma sessão anual, mas momentos frequentes de atualização — é a medida preventiva mais eficaz e mais económica que existe.

Para além destes três pilares, é fundamental ter um plano de resposta a incidentes. Mesmo que simples. Mesmo que nunca venha a ser necessário usar. Tê-lo é, em si mesmo, uma demonstração de diligência.

Conclusão

A questão não é se um Diretor Técnico pode ser responsabilizado por falhas no RGPD. Em determinadas circunstâncias, pode.

A questão é o que fazer com essa informação.

A resposta não é o pânico. É a prevenção.

Quem tem processos definidos, equipa formada e documentação atualizada está em posição de demonstrar diligência. E demonstrar diligência é, na prática, a proteção mais robusta disponível — tanto perante a CNPD como perante qualquer outra entidade.

A responsabilidade profissional é real. Mas é gerível. E geri-la começa por reconhecê-la.