O Regulamento Geral de Proteção de Dados da União Europeia (RGPD) exige que certas organizações nomeiem um encarregado pela proteção de dados (DPO). Mesmo quando esse compromisso não é obrigatório, ainda é aconselhável que as organizações que processam dados pessoais nomeiem um DPO. O Comitê Europeu de Proteção de Dados (EDPB), anteriormente o Grupo de Trabalho do Artigo 29, afirmou que os DPOs são a pedra angular das organizações em termos de conformidade com o RGPD. O DPO deve estar envolvido em todas as questões relacionadas à proteção de dados pessoais em uma organização o mais cedo possível. Os DPOs podem ser internos ou externos. Devido ao papel crítico que ele ou ela desempenha, o RGPD exige que o DPO possa exercer suas funções de forma independente. Então, qual é exatamente o papel de um DPO e por que é necessário que eles sejam independentes?
Responsabilidades do DPO
O DPO é responsável por verificar a conformidade da organização com o RGPD. Nesta função, eles devem coletar informações que identifiquem as atividades de processamento que estão ocorrendo, garantir que essas atividades satisfaçam os princípios do RGPD e aconselhar o controlador ou o processador de acordo com estes princípios. Como tal, o DPO desempenha um papel central na manutenção de registros referentes à proteção de dados na organização. A função deve criar inventários e registros que detalhem as operações de processamento de dados pessoais dos vários departamentos da organização. Claramente, esses registros não são apenas necessários para a organização cumprir suas obrigações gerais de responsabilidade, mas também são necessários para o DPO desempenhar suas funções.
O DPO também desempenha um papel importante ao aconselhar o controlador a respeito de questões relacionadas à avaliação de impacto na proteção de dados (DPIA). O DPO deve aconselhar sobre a realização da DPIA, quais métodos devem ser usados na sua realização e se é necessário contratar recursos externos para executá-la. Após a conclusão da DPIA, o DPO deve aconselhar se foi realizada de forma satisfatória e como proceder com base em suas conclusões. Se, por exemplo, foram identificados riscos significativos em algumas operações de processamento, o DPO deve aconselhar se essas operações devem ser abandonadas e que salvaguardas devem ser adotadas para garantir que a conformidade seja alcançada.
O DPO é o link entre a organização, as autoridades de supervisão e os titulares dos dados. Eles facilitam o acesso da autoridade supervisora a documentos e informações para permitir que ela desempenhe sua função de monitoramento, além de exercer seus poderes de investigação, correção, autorização e consultoria. Note-se que o fato de o DPO estar vinculado por obrigações de confidencialidade no desempenho de suas tarefas não o impede de procurar aconselhamento das autoridades de supervisão quando necessário. Em algumas situações, será necessário encontrar um equilíbrio cuidadoso entre essas duas prioridades.
O DPO também é o ponto de contato para os titulares de dados sobre questões relacionadas ao processamento de seus dados, incluindo a aplicação de seus direitos, conforme previsto no RGPD. É importante que o DPO possa ser facilmente acessado pelos titulares dos dados, seja por telefone, e-mail ou de qualquer outra forma. Além disso, o DPO deve aconselhar e treinar funcionários da organização no cumprimento do RGPD.
No desempenho de suas funções, o DPO deve adotar uma abordagem pragmática, concentrando-se em atividades de processamento de alto risco. Isso deve ser feito sem negligenciar as atividades que possam ser consideradas como apresentando níveis mais baixos de risco. Nesse dever, o DPO deve, portanto, aconselhar o controlador sobre a metodologia da DPIA, quais atividades requerem auditorias de proteção de dados e quais devem ser os focos do gerenciamento em relação a medidas aprimoradas de segurança, treinamento regular da equipe e alocação de recursos.
Independência do DPO e sua importância
O RGPD prevê que o DPO realize seu trabalho de maneira independente. Em outras palavras, o controlador não deve direcionar o DPO a respeito de como eles fazem seu trabalho. Por exemplo, o DPO não pode ser instruído a chegar a uma conclusão específica relativa à investigação de uma reclamação. O DPO deve reportar ao mais alto nível de gerenciamento. Idealmente, esse deveria ser o Conselho de Administração da organização. Isso visa à garantia da conformidade com os regulamentos, no sentido de que a gerência recebe aconselhamento oportuno sobre questões de proteção de dados. A razão dessa independência está no reconhecimento do papel fundamental que o DPO desempenha para garantir a conformidade com o regulamento.
Para alcançar a autonomia exigida pelo RGPD, o DPO deve receber alguma forma de segurança no emprego. Eles não podem ser demitidos ou penalizados pelo controlador ou processador como resultado do desempenho de suas funções. Isso não significa que o DPO desfrute de segurança permanente no emprego. Eles podem ser advertidos ou mesmo ter seus contratos rescindidos por outros motivos legítimos, como por exemplo infrações disciplinares. Além disso, disponibilizar ao DPO os recursos necessários não é apenas a chave para capacitá-lo a desempenhar suas funções, mas também é necessário para alcançar a independência desejada. A escala de recursos depende da complexidade e sensibilidade das atividades de processamento, mas incluiria finanças, equipamentos e equipe.
Além disso, deve-se tomar cuidado para não comprometer a autonomia do DPO colocando-os em uma posição que possa levar a um conflito de interesses. Isso é mais provável nos casos em que o DPO é interno. Embora seja permitido atribuir ao DPO outras tarefas, estas não devem, por exemplo, requerer que o DPO determine os meios e os propósitos do processamento dos dados, pois isso prejudicaria sua função com a do controlador.
Foi observado com precisão que o DPO é a manifestação da autoridade supervisora em uma organização. A importância do DPO para alcançar a conformidade com o RGPD não pode ser exagerada; no entanto, o DPO não é pessoalmente responsável pelo não cumprimento do regulamento, pois a responsabilidade geral é do controlador de dados. Qualquer decisão de não nomear um DPO deve ser assinada em nível sênior na organização. Além disso, a não nomeação de um DPO onde for necessário pode gerar uma multa de 10 milhões de euros ou 2% do faturamento global anual, o que for maior.
Para cumprir as rígidas obrigações impostas aos controladores e processadores de acordo com o RGPD, é importante que as organizações que processam dados pessoais capacitem e deem apoio aos seus DPOs e trabalhem em estreita colaboração com eles, em vez de vê-los como “guardas noturnos intrometidos”.
O DPO deve ser independente, mas como?
Por Dyann Heward-Mills, CIPP/E, CIPP/US, CIPM
Texto republicado com base no item 2.3 [sic] das “Conditions of Use” da IAPP.
Texto original disponível neste link.
Original: © 2019 International Association of Privacy Professionals. All rights reserved.
Tradução: © 2019 Matheus Passos Silva.