Posted on

DPO – O que é que uma OPD vale para uma organização?

, Author

Se está a pensar qual é o significado de uma OPD em detalhe, então aqui vai você. Aqui está o que isso implica num maior comprimento para si. Vamos começar pelo princípio.
O Regulamento Geral de Protecção de Dados (GDPR) colocou um dever às organizações de nomear um responsável pela protecção de dados (RPD) que é responsável pelo cumprimento numa organização. Este é um requisito necessário para os escritórios que são uma autoridade ou organismo público. É também essencial se a sua organização realiza regularmente certos tipos de actividades de tratamento de dados que possam ser considerados pessoais ou sensíveis.
Se existir um RPD, este pode ajudar e assistir a sua organização como indivíduo com uma capacidade especial para monitorizar a conformidade interna, informar e aconselhar sobre as suas práticas de protecção de dados. São capazes de corrigir políticas no terreno, ajudam no cumprimento de obrigações legais e prestam aconselhamento sobre avaliações de impacto da protecção de dados (DPIAs) à medida que e quando novos projectos estão a ser iniciados. O RPD também pode ser o único ponto de contacto das pessoas em causa e a única autoridade de controlo.
O RPD refere-se a uma pessoa encarregada da protecção de dados numa organização. Por conseguinte, deve ser independente, especialista em protecção de dados, dispor de recursos adequados e reportar ao mais alto nível de gestão. Se houver uma grande cadeia de comando, isso pode complicar as coisas para a organização.
O que ajuda uma OPD a ser uma OPD adequada é que ela deve conhecer bem a estrutura organizacional para poder corrigir os problemas enfrentados diretamente em todos os níveis. Portanto, também é aconselhável que eles sejam nomeados entre os funcionários existentes. Um RPD nomeado externamente também pode desempenhar esta função.
Também é correto que uma organização nomeie um OPD compartilhado. Isto significa que um grupo ou organizações ou organizações variadas, não relacionadas e múltiplas também podem nomear um único OPD entre elas. As OPD podem ajudar as organizações a demonstrar a conformidade e ajudá-las com um maior enfoque na responsabilização.

Posição da OPD

Pode ser necessário certificar-se de que a posição da OPD é autónoma. O RPD reporta directamente ao mais alto nível de gestão. As organizações têm de dar ao RPD a independência necessária para desempenhar as suas tarefas com total conforto e liberdade.
É também essencial que o RPD seja contactado pelos membros da organização em tempo útil. Deve existir um sistema em que as pessoas possam contactar o RPD livremente. Assim, o significado do RPD implica também que o RPD seja contactável e possa ser contactado com facilidade em todas as questões relacionadas com a protecção de dados pessoais por toda a empresa.
Todas as organizações devem compreender que o seu RPD tem de dispor de recursos suficientes para poder desempenhar as suas tarefas. Isto significa que não devem ter qualquer tipo de penalização ou atitude negativa para restringir o RPD do desempenho das suas funções. Uma organização deve compreender que o RPD existe para as facilitar e para as ajudar a evitar quaisquer contratempos legais. Todas as empresas que dispõem de RPD e que lhes atribuem responsabilidades adicionais fora do seu papel de RPD devem também reconhecer que quaisquer outras tarefas ou deveres que atribuem ao seu RPD não resultam num conflito de interesses com o seu papel de RPD.

Tarefas do RPD

O RPD tem muitas tarefas pré-definidas. Todas elas estão relacionadas com a monitorização do cumprimento da GDPR e de outras leis de protecção de dados. O RPD tem de se manter a par das actualizações do sector. As principais tarefas de qualquer RPD incluem o conhecimento, compreensão e aplicação de políticas de protecção de dados, sensibilização, formação e auditorias.
A tarefa de um RPD é também assegurar que a empresa tenha em conta os conselhos do seu RPD e as informações que este fornece sobre as obrigações em matéria de protecção de dados. Todas as empresas que realizam uma PDIA devem obter aconselhamento do seu RPD, que também pode acompanhar o processo de conformidade no novo projecto.
Todas estas tarefas estão relacionadas com o artigo 36. O RPD deve manter-se em contacto com o cão de guarda da privacidade. O RPD deve também avisar a organização de quaisquer riscos associados às operações de processamento e ter em conta a natureza, o âmbito, o contexto e a finalidade do processamento de dados em todos os casos possíveis, minimizando-os.
Um RPD deve ser tão facilmente acessível como um ponto de contacto para os nossos funcionários, indivíduos e o respectivo cão de guarda da privacidade de dados, tanto quanto possível. Isto é tanto para a própria organização como para o RPD. Estes devem trabalhar em conjunto para publicar os dados de contacto úteis e activos do RPD e comunicá-los ao respectivo cão de guarda da privacidade dos dados.

Por que razão é importante nomear um encarregado da protecção de dados?

Nos termos do Regulamento Geral de Protecção de Dados (GDPR), é necessário nomear um RPD se:

  • é uma autoridade ou organismo público
  • as suas actividades principais requerem um controlo em larga escala, regular e sistemático dos indivíduos
  • as suas actividades principais consistem no tratamento em larga escala de categorias especiais de dados ou de dados relativos a condenações e infracções penais.

Isto aplica-se tanto aos responsáveis pelo tratamento como aos processadores. Algumas organizações podem também nomear voluntariamente um RPD; deve estar ciente de que os mesmos requisitos do cargo e das tarefas se aplicam caso a nomeação fosse obrigatória, pelo que pode utilizar este mesmo guia como ponto de referência para ver como e onde o RPD precisa de ser equipado.
É prática comum aceite certificar-se de que a GDPR o obriga ou não a nomear um RPD, as organizações devem assegurar-se de que dispõem de pessoal e recursos suficientes para cumprir as suas obrigações ao abrigo da GDPR.
Em suma, um RPD pode ajudar qualquer organização, avaliar o seu desempenho e operar dentro da lei através de aconselhamento. Este pode ser um aconselhamento especializado numa capacidade em que outros funcionários podem não ser capazes de ajudar. Especialmente quando ocorrem processos sensíveis que estão em conflito directo com o papel de um RPD e as próprias designações dos funcionários.
DPO não só ajuda a monitorizar o cumprimento. Também podem ser vistos como desempenhando um papel fundamental na estrutura de governação da protecção de dados da sua organização e ajudando a melhorar a responsabilização.
Não obstante, é absolutamente correcto que os critérios acima mencionados não correspondam à sua organização e que esta decida que a sua organização não necessita de nomear um RPD. Num caso voluntário ou porque uma organização não cumpre os critérios acima mencionados, é uma boa ideia registar esta decisão para ajudar a demonstrar a conformidade com o princípio da responsabilização. E ser capaz de explicar em tribunal porquê e quem efectuou uma verificação para garantir que a nomeação do RPD não é necessária se e quando chegar a altura.

Os videntes podem ajudá-lo com os requisitos do seu RPD, por isso contacte-nos em: [email protected]

Deixe uma resposta

O seu endereço de email não será publicado.