Incompatibilidades e conflitos de interesses entre a DPP e o RSII segundo os critérios da AEPD

1. Resumo da decisão e das infracções ao RGPD constatadas pela AEPD

A resolução do procedimento sancionatório no Processo EXP202316729[1] tratado pela Agência Espanhola de Proteção de Dados (AEPD) centra-se em dois aspectos fundamentais que são particularmente relevantes do ponto de vista da conformidade regulamentar. Por um lado, a violação de segurança que expôs dados pessoais e, por outro, a existência de um conflito de interesses na estrutura de governação da Diputación Foral, derivado da acumulação de funções do Delegado de Proteção de Dados (doravante, "DPD"):

• Falha de segurança e violação do artigo 5.1.f) RGPD. A AEPD considera acreditado que a violação teve origem no facto de o Conselho Provincial não ter implementado previamente controlos técnicos e organizacionais suficientes para impedir o acesso indevido à pasta SPEIS. A configuração das permissões permitiu que trabalhadores de diferentes quartéis de bombeiros acedessem e descarregassem documentos cuja utilização deveria ter sido limitada ao pessoal administrativo e de gestão do serviço. A Agência considera que, com medidas adequadas, a violação "não teria ocorrido", pelo que a falta de medidas preventivas constitui uma violação direta do artigo 5. Embora a Diputación tenha reagido rapidamente quando o incidente foi detectado, bloqueando o acesso, iniciando análises internas, notificando a AEPD e as pessoas afectadas, estas acções foram de natureza reactiva e não impedem a existência da violação, uma vez que o acesso não autorizado já tinha ocorrido.
• Conflito de interesses e violação do artigo 38º do RGPD. O aspeto mais relevante da decisão é a apreciação de um conflito de interesses na figura do Encarregado da Proteção de Dados. O Conselho Provincial tinha também designado o seu DPD como responsável pelo Sistema de Informação Interno (RSII), função que implica a gestão das queixas internas, a tomada de decisões operacionais sobre o seu tratamento e o acesso aos dados pessoais tratados durante a tramitação do processo, funções que afectam diretamente as finalidades e os meios do tratamento e que são incompatíveis com a supervisão independente exigida pelo artigo 38.º do RGPD. A Agência salienta que a própria Delegada alertou para a possível incompatibilidade, o que levou o Conselho Provincial a consultar formalmente a AEPD. No entanto, a Diputación manteve o duplo papel até depois do início do procedimento, sem efetuar uma análise de risco prévia para garantir que não havia conflito de interesses.

2. Conflito de interesses entre as funções

Uma vez expostos os elementos gerais da resolução, vale a pena analisar a forma como a AEPD avalia a independência da DPD quando as suas funções estão relacionadas com o Sistema de Informação Interno (a seguir designado "SII") previsto na Lei n.º 2/2023 , de 20 de fevereiro, que regula a proteção das pessoas que denunciam infracções regulamentares e a luta contra a corrupção.

Especificamente, a Agência examina de que forma determinadas tarefas operacionais podem ter impacto na autonomia exigida pelo RGPD e quais os critérios relevantes para identificar potenciais conflitos de interesses nos termos do artigo 38.

Os principais pontos do raciocínio jurídico da AEPD para avaliar este conflito de interesses são os seguintes:

• Controlo funcional e não nominal. A AEPD insiste em que a compatibilidade deve ser avaliada com base nas funções efectivas e não no título formal do cargo. Neste caso, governar o SII significava tomar decisões sobre a forma como a informação é gerida, como os dados introduzidos no canal são tratados e quando é apropriado transmiti-los a organismos internos ou externos. Todas estas decisões têm uma relação direta com as finalidades e os meios de tratamento, um aspeto fundamental da análise de incompatibilidade de acordo com as Orientações do antigo Grupo de Trabalho do artigo 29.º (WP243) e a doutrina do Tribunal de Justiça da União Europeia (Processo C-453/21).
• A DPD não pode supervisionar o que também gere. O RGPD exige que a DPD mantenha uma posição neutra e de controlo, actuando como garante do cumprimento. Se, ao mesmo tempo, for ele ou ela que gere operacionalmente uma operação de tratamento (como o canal interno), o seu poder de controlo é anulado. A AEPD resume-o claramente: a DPD não pode ser simultaneamente juiz e parte no mesmo sistema de tratamento. Esta incompatibilidade é agravada no caso de um sistema que envolva dados particularmente sensíveis e decisões de intervenção disciplinar ou judicial. De igual modo, a AEPD traz à colação a redação do n.º 4 do artigo 8.º da Lei 2/2023, preceito que estabelece o seguinte: "O controlador do sistema deve exercer as suas funções de forma independente e autónoma dos restantes órgãos da entidade ou organismo, não pode receber instruções de qualquer natureza no seu exercício e deve dispor de todos os meios pessoais e materiais necessários à sua realização".
• Falta de garantias e ausência de análise prévia. A Agência recorda que é da exclusiva responsabilidade da organização, e não da DPP, provar que as funções adicionais não geram um conflito de interesses. Para tal, é necessária uma análise prévia, documentada e baseada em critérios objectivos. O Conselho Provincial não efectuou tal análise, nem estabeleceu salvaguardas internas (por exemplo, regras de abstenção, limites funcionais, separação de acessos) que permitissem avaliar e, se necessário, atenuar o risco. Esta ausência de medidas é decisiva para concluir que o artigo 38.º do RGPD foi violado.
• Independência material versus independência formal. A AEPD rejeita a ideia de que a independência do RPD possa ser garantida apenas com elementos formais, como reportar ao nível hierárquico mais elevado ou não ter voto em determinados comités, se, na prática, desempenha funções que o colocam dentro do circuito operacional que deve fiscalizar. A independência, recorda a Agência, é material, prática e verificável, não declarativa.

De referir que a AEPD recorda na referida deliberação que "Face à questão levantada pelo próprio DPD sobre a eventual incompatibilidade, foi consultada a AEPD, mantendo-se a nomeação do DPD até à obtenção de resposta. Esta consulta foi resolvida em 25 de fevereiro de 2025, concluindo-se não ser possível atribuir as funções de chefe do sistema de informação interno ao DPD".

Ou seja, a AEPD já se tinha pronunciado sobre este caso concreto, concluindo em consulta anterior que a manutenção de ambas as funções sobre a mesma pessoa gerava uma incompatibilidade nos termos estabelecidos na regulamentação aplicável.

Por fim, é necessário mencionar as referências feitas tanto pelo Conselho Provincial como pela AEPD ao relatório 2018-0170[2] desta última, que analisou a compatibilidade entre o DPD e o Oficial de Segurança no âmbito do Regime de Segurança Nacional, no qual - em síntese - se concluiu que, em geral, deve haver a necessária separação entre o Encarregado de Proteção de Dados regulado no RGPD e o Oficial de Segurança da ENS, As suas funções não podem recair sobre a mesma pessoa ou órgão colegial, podendo apenas recair sobre a mesma pessoa no caso de organizações de pequena dimensão e/ou escassos recursos, adoptando-se as medidas técnicas e organizativas necessárias para evitar eventuais conflitos de interesses que possam surgir no exercício das respectivas funções.

3. Conclusão

Em jeito de conclusão, pode afirmar-se que a resolução da AEPD oferece um critério claro sobre a importância de dispor de medidas preventivas sólidas e de garantir que o responsável pela proteção de dados mantém uma verdadeira independência no desempenho das suas funções.

O caso mostra que certas acumulações de funções podem gerar incompatibilidades nem sempre evidentes à primeira vista, sobretudo quando envolvem tarefas operacionais ou de decisão e que, mediante a realização de uma análise prévia adequada, bem como a adoção de medidas apropriadas para garantir a gestão adequada do conflito de interesses, pode ser viável compatibilizar as funções de um e de outro.

A interpretação da AEPD reforça a necessidade de rever a arquitetura interna de compliance e de documentar adequadamente a atribuição de funções, com o objetivo de garantir um modelo de governação sólido, transparente e alinhado com o RGPD. Ao mesmo tempo, a Agência recorda que este tipo de situações deve ser avaliado através de uma análise detalhada das funções e estudado caso a caso, tendo em conta as particularidades de cada organização e o âmbito efetivo das funções desempenhadas.

Isto significa que, regra geral, a figura do Encarregado da Proteção de Dados não pode ser assumida pelo Chefe do Sistema de Informação Interno e vice-versa, a não ser que a análise da falta de meios e recursos, da eventual incompatibilidade existente e dos mecanismos implementados para evitar que a assunção de ambas as funções interfira com o seu correto funcionamento seja devidamente acreditada e justificada.

Por último, importa esclarecer que a AEPD em momento algum refere a existência de incompatibilidade entre a função do Compliance Officer e a do DPD, sendo o Compliance Officer uma figura completamente distinta do responsável pelo canal de informação ou de reclamação. Embora sejam dois cargos que podem ocasionalmente entrar em conflito, este conflito pode ser devidamente gerido através da adoção das medidas e controlos adequados de natureza material, na medida em que ambas as funções são exercidas na segunda linha de defesa.