Como nomear o DPO?

O papel do Encarregado de Proteção de Dados, ou o EPD ou "DPO" abreviado em Inglês, é crucial para a conformidade com o Regulamento Geral de Proteção de Dados da UE para algumas organizações.

por Marbral Advisory

É um papel muito debatido e muitas organizações têm algumas dúvidas sobre qual o papel exato, onde se "senta" o DPO a quem reporta e quais os recursos que terá disponível.O regulamento GDPR entra em vigor a 25 de maio de 2018 e, neste momento, se precisar de um DPO, é necessário nomeá-lo.

É um papel designado para certos tipos de responsáveis pelo tratamento e subcontratantes, conforme detalhado abaixo:

O responsável pelo tratamento e o subcontratante designam um encarregado da proteção de dados sempre que:

a) O tratamento for efetuado por uma autoridade ou um organismo público, excetuando os tribunais no exercício da sua função jurisdicional;

b) As atividades principais do responsável pelo tratamento ou do subcontratante consistam em operações de tratamento que, devido à sua natureza, âmbito e/ou finalidade, exijam um controlo regular e sistemático dos titulares dos dados em grande escala; ou
=> razão: 24

c) As atividades principais do responsável pelo tratamento ou do subcontratante consistam em operações de tratamento em grande escala de categorias especiais de dados nos termos do artigo 9.o e de dados pessoais relacionados com condenações penais e infrações a que se refere o artigo 10.o. 
=> razão: 91

Mesmo sendo uma organização pequena, o seu processamento de informações pessoais pode ser de grande escala, de modo que a dimensão do processamento de dados é importante. Em consonância com o princípio da responsabilidade de proteção de dados, precisará registar a sua consideração sobre se deve nomear um DPO. Nós temos uma ferramenta para ajudá-lo a avaliar, entre em contato conosco , mas, como não é o objetivo deste artigo, vamos seguir em frente.

 

QUAL A PRINCIPAL FUNÇÃO DO DPO?

O DPO existe para proteger os direitos e liberdades fundamentais dos titulares cujos dados estão a ser processados or um responsável pelo tratamento ou subcontratante.

COMO O DPO É DESIGNADO NO RGPD?

O artigo 37 estabelece:

2. Um grupo empresarial pode também designar um único encarregado da proteção de dados desde que haja um encarregado da proteção de dados que seja facilmente acessível a partir de cada estabelecimento. , 

3. Quando o responsável pelo tratamento ou o subcontratante for uma autoridade ou um organismo público, pode ser designado um único encarregado da proteção de dados para várias dessas autoridades ou organismos, tendo em conta a respetiva estrutura organizacional e dimensão.

4. Em casos diferentes dos visados no n.o 1, o responsável pelo tratamento ou o subcontratante ou as associações e outros organismos que representem categorias de responsáveis pelo tratamento ou de subcontratantes podem, ou, se tal lhes for exigido pelo direito da União ou dos Estados-Membros, designar um encarregado da proteção de dados. O encarregado da proteção de dados pode agir em nome das associações e de outros organismos que representem os responsáveis pelo tratamento ou os subcontratantes.

5. O encarregado da proteção de dados é designado com base nas suas qualidades profissionais e, em especial, nos seus conhecimentos especializados no domínio do direito e das práticas de proteção de dados, bem como na sua capacidade para desempenhar as funções referidas no artigo 39.o. 
=> razão: 97

6. O encarregado da proteção de dados pode ser um elemento do pessoal da entidade responsável pelo tratamento ou do subcontratante, ou exercer as suas funções com base num contrato de prestação de serviços.

Poderemos considerar o DPO como sendo a Voz do Titular dos Dados dentro da organização. Ele representa os titulares e garante que o responsável pelo tratamento está a processar os dados de acordo com o regulamento. Esta posição é multi-facetada e combina não só dar formação como também dar apoio e conselhos estratégicos, monitorizar, e acompanhar, tendo uma relação muito próxima com a Entidade Supervisora.

laptop-3087585_960_720.jpg

 

A POSIÇÃO DO DPO

A posição do DPO está claramente exposta no regulamento:

1. O responsável pelo tratamento e o subcontratante asseguram que o encarregado da proteção de dados seja envolvido, de forma adequada e em tempo útil, a todas as questões relacionadas com a proteção de dados pessoais.

2. O responsável pelo tratamento e o subcontratante apoia o encarregado da proteção de dados no exercício das funções a que se refere o artigo 39.o, fornecendo-lhe os recursos necessários ao desempenho dessas funções e à manutenção dos seus conhecimentos, bem como dando-lhe acesso aos dados pessoais e às operações de tratamento.

3. O responsável pelo tratamento e o subcontratante asseguram que da proteção de dados não recebe instruções relativamente ao exercício das suas funções. O encarregado não pode ser destituído nem penalizado pelo responsável pelo tratamento ou pelo subcontratante pelo facto de exercer as suas funções. O encarregado da proteção de dados informa diretamente a direção ao mais alto nível do responsável pelo tratamento ou do subcontratante.

4. Os titulares dos dados podem contactar o encarregado da proteção de dados sobre todas questões relacionadas com o tratamento dos seus dados pessoais e com o exercício dos direitos que lhe são conferidos pelo presente regulamento.

5. O encarregado da proteção de dados está vinculado à obrigação de sigilo ou de confidencialidade no exercício das suas funções, em conformidade com o direito da União ou dos Estados-Membros.

6. O encarregado da proteção de dados pode exercer outras funções e atribuições. O responsável pelo tratamento ou o subcontratante assegura que essas funções e atribuições não resultam num conflito de interesses.

Pode não ser claro para algumas organizações entender, através do RGPD, qual exatamente o cargo e a que nível na estrutura deverá estar o DPO. No entanto as empresas devem decidir:

Qual o nível a que o DPO deve reportar - o DPO deve ser capaz de reportar ao mais alto nível da gestão da empresa, no entanto o facto de reportar é diferente de onde ele se encaixa exatamente na organização

Qual a função que deve ter - A gestão de Informação Pessoal Identificável é transversal em várias áreas passado por Recursos Humanos, Segurança de Informação, Risco, Jurídica, Operações, etc. Onde o DPO deve estar situado na organização depende da empresa e deve ser analisado de acordo com as estruturas definidas.

Quão Senior é esta posição - O DPO deverá ser capaz de influenciar as práticas do RGPD ao mais alto nível. Privacy by design é algo que ele terá de implementar na empresa aquando de um novo processo ou sistema é posto em prática.

pencil-3207346_960_720.jpg

QUAIS OS REQUISITOS PARA A POSIÇÃO DO DPO?

Os requisitos do papel estão estabelecidos no RGPD e estes deverão ser traduzidos para uma descrição do trabalho, ou um contrato de serviços, se for externo.

1. O encarregado da proteção de dados tem, pelo menos, as seguintes funções:

a) Informa e aconselha o responsável pelo tratamento ou o subcontratante, bem como os trabalhadores que tratem os dados, a respeito das suas obrigações nos termos do presente regulamento e de outras disposições de proteção de dados da União ou dos Estados-Membros; 
=> Artigo: 35

b) Controla a conformidade com o presente regulamento, com outras disposições de proteção de dados da União ou dos Estados-Membros e com as políticas do responsável pelo tratamento ou do subcontratante relativas à proteção de dados pessoais, incluindo a repartição de responsabilidades, a sensibilização e formação do pessoal implicado nas operações de tratamento de dados, e as auditorias correspondentes; 
=> Artigo: 5

c) Presta aconselhamento, quando tal lhe for solicitado, no que respeita à avaliação de impacto sobre a proteção de dados e controla a sua realização nos termos do artigo 35.o;

d) Coopera com a autoridade de controlo;

e) Ponto de contacto para a autoridade de controlo sobre questões relacionadas com o tratamento, incluindo a consulta prévia a que se refere o artigo 36.o, e consulta, sendo caso disso, esta autoridade sobre qualquer outro assunto. , 

2. No desempenho das suas funções, o encarregado da proteção de dados tem em devida consideração os riscos associados às operações de tratamento, tendo em conta a natureza, o âmbito, o contexto e as finalidades do tratamento.

Existem várias formas em que a Dayzero poderá ajudá-lo a definir se a sua empresa realmente necessita de um DPO. Se não necessita ajudamos a justificar o porquê dessa decisão. Se necessita, ajudamos a identificar onde encaixa o DPO na sua organização, quais as funções que deverá ter, o que deve ser considerado ao contratar alguém ou algum serviço externo e a definir o papel exato desta nova posição.

O Grupo do Artigo 29 para a Proteção de Dados publicou mais informações úteis neste sentido: