DPD e RSII: são compatíveis?

1. Critérios da AEPD como ponto de partida

No âmbito das funções de supervisão e controlo exercidas pela Agência Espanhola de Proteção de Dados (AEPD), algumas resoluções sancionatórias fornecem critérios de particular relevância para a correta aplicação do Regulamento Geral de Proteção de Dados (RGPD) e da legislação nacional que o desenvolve.

Neste contexto, é particularmente interessante analisar a decisão datada de 20 de dezembro de 2025, relativa ao processo EXP2023167291, que aborda questões-chave relacionadas com a adoção de medidas preventivas destinadas a assegurar uma estrutura organizacional adequada que preserve a independência do Encarregado de Proteção de Dados (DPO) quando este assume, dentro da mesma organização, a função de responsável pelo sistema de informação interno (RSII). Nesta decisão, a AEPD sanciona um organismo público por não distinguir adequadamente as funções de uma mesma pessoa que actua simultaneamente como DPO e como RSII da organização.

Com base neste critério interpretativo, o objetivo da presente nota informativa é analisar as situações em que pode ser possível exercer simultaneamente as funções atribuídas a ambos os cargos sem incorrer em conflito de interesses, desde que sejam adoptadas as garantias e medidas de proteção exigidas pela regulamentação aplicável.

2. Principais considerações para avaliar a compatibilidade entre o RPD e o CISO

A AEPD parte da premissa de que o quadro regulamentar distingue claramente entre as funções do RPD e as do CISO, o que geralmente significa que ambos os cargos devem ser ocupados por pessoas diferentes dentro da organização. Esta separação responde à necessidade de preservar a independência do Gabinete de Proteção de Dados (EPD) e de evitar assumir funções que possam comprometer o seu papel de supervisão, especialmente quando essas funções envolvem decisões operacionais ou a gestão direta do tratamento de dados pessoais.

A este respeito, pode inferir-se da decisão que, em certos contextos organizacionais muito específicos, pode ser considerada a compatibilidade entre as funções de RPD e de CISO, desde que essa atribuição seja precedida de uma análise específica e devidamente documentada. No entanto, em qualquer caso, a compatibilidade não pode ser presumida e só pode ser mantida se a ausência de conflito de interesses e a plena garantia de independência substancial do RPD forem efetivamente comprovadas.

Tendo em conta a abordagem restritiva da AEPD, a avaliação da compatibilidade deve basear-se em determinados factores-chave que devem ser analisados conjuntamente e no seu contexto:

• Recursos disponíveis e estrutura organizacional: A dimensão da organização, o seu grau de complexidade interna e os recursos disponíveis podem influenciar a distribuição de funções. Em organizações de pequena dimensão ou com limitações organizacionais, pode ser necessário concentrar determinadas responsabilidades, embora tal não isente a organização de assegurar a independência funcional do RPD ou de analisar expressamente os riscos de incompatibilidade.
• Delimitação clara e efectiva das funções: É essencial definir com precisão as funções atribuídas a cada cargo. A este respeito, é importante salientar que o RSII não é obrigado a elaborar ou aprovar políticas, procedimentos ou regras internas relativas ao sistema. De acordo com o artigo 5 da Lei 2/2023, a responsabilidade pela implementação adequada de um Sistema de Informação Interno (SII) - que inclui, entre outras coisas, a conceção e aprovação de uma política, um procedimento de gestão da comunicação ou protocolos de ação - cabe ao órgão administrativo ou de direção da entidade. Esta distinção é particularmente importante, uma vez que a participação na conceção ou aprovação destas regras pode colocar uma pessoa que actue simultaneamente como RPD e RSII da organização numa posição incompatível com a sua função de supervisão, tal como estabelecido no artigo 39º do RGPD. Neste cenário, é essencial que o CISO não participe na tomada de decisões relativas à conceção, implementação ou modificação do sistema de informação interno (IIS), limitando a sua participação a tarefas que não comprometam a sua independência como DPO, o que permite uma autonomia suficiente para exercer a sua função consultiva e de supervisão em matéria de proteção de dados. Esta abordagem é reforçada pela decisão n.º 1355/2026, de 18 de março, do Tribunal Superior Nacional, que interpreta de forma rigorosa a proibição de conflitos de interesses estabelecida no artigo 38.º, n.º 6, do RGPD. Neste acórdão, o Tribunal Nacional conclui que existe um conflito quando a pessoa nomeada como DPO participa, direta ou indiretamente, na tomada de decisões relativas às finalidades e meios de tratamento de dados pessoais, mesmo quando essa participação decorre das funções inerentes ao seu cargo e não de um ato específico ou intencional. A este respeito, quando o cargo que se pretende acumular com a função de RPD é definido num estatuto, regulamento interno ou documento organizacional semelhante, é essencial rever previamente as funções atribuídas a este cargo para garantir que não conferem poderes de decisão que comprometam a independência e a objetividade exigidas ao RPD. Caso contrário, a mera atribuição legal destas funções pode colocar o RPD numa posição incompatível com o seu papel de controlo, independentemente da forma como são exercidas na prática.
• Externalização da gestão do SII. A externalização da gestão do SII a um terceiro especializado é um fator adicional que pode promover a conformidade, separando as operações diárias das funções internas de supervisão e aconselhamento. Este modelo reduz significativamente o risco de o RPD assumir funções operacionais ou de tomada de decisão relativamente ao tratamento de dados associado ao SII e está previsto no artigo 6.º da Lei 2/2023.
• Criação do RSII como órgão colegial. A existência de um gestor de sistema estabelecido como órgão colegial facilita uma melhor segregação de funções e reduz os riscos de concentração da tomada de decisões numa única pessoa. Nestes casos, a repartição interna das responsabilidades permite atenuar os conflitos potenciais e clarificar o papel do RPD no âmbito do sistema.

Estes factores devem ser analisados em conjunto e caso a caso, permitindo à organização avaliar, com uma abordagem prática, se num contexto organizacional específico é possível conciliar a compatibilidade de ambas as posições sem comprometer a independência do RPD ou gerar um conflito de interesses.

3. Conclusão

O acórdão supramencionado sublinha a importância de examinar com especial cautela a configuração de certas funções na organização, especialmente quando estas afectam diretamente a independência do RPD. Embora a regulamentação estabeleça, como regra geral, a separação entre os cargos de DPO e CISO, este critério não deve ser interpretado de forma automática ou rígida, mas sim à luz das circunstâncias específicas de cada organização. Para o efeito, a compatibilidade de ambos os cargos só pode ser considerada em circunstâncias excepcionais e após uma análise prévia, específica e devidamente documentada que permita identificar e mitigar potenciais conflitos de interesses. Assim, uma clara delimitação de funções, o reforço das garantias organizacionais e, se for caso disso, a externalização ou a configuração colegial do sistema, são elementos fundamentais para assegurar um modelo de compliance sólido, alinhado com os requisitos do RGPD e com os critérios interpretativos estabelecidos pela AEPD. Nos casos em que uma organização se depara com este tipo de situação, é altamente recomendável que procure o aconselhamento de profissionais especializados que possam avaliar com precisão os riscos e definir uma solução adaptada aos requisitos regulamentares e às circunstâncias específicas da organização.

Nota informativa dos departamentos de Proteção de Dados e de Governação e Conformidade da ECIJA Madrid.