O papel do DPO à luz do regulamento geral sobre proteção de dados #cursofree #dpo

O papel do DPO à luz do regulamento geral sobre proteção de dados

Autor: Pierre Faller

Com a implementação do Regulamento Geral de Proteção de Dados (RGPD, Regulamento 2016/679, de 27 de abril de 2016, JO 119/1), que entra em vigor em 25 de maio de 2018, o papel do Responsável pela Proteção de Dados (DPO) entrará realmente em evidência .

Com a sua adoção em 1996, a Diretiva 95/46 / CE relativa à proteção de dados pessoais teve como objetivo iniciar um espírito de conformidade em matéria de privacidade e dados pessoais entre os Estados membros. Dentro da diretiva, o DPO já estava realmente bem estabelecido em seu papel, mas ainda ganhava um portfólio e tarefas bastante importantes nas empresas. Paralelamente, o Regulamento (CE) 45/2001, aplicável às instituições, organismos e agências da UE no domínio da proteção de dados, proporcionou, na realidade, mais prática e mais visibilidade ao papel do DPO. Isso foi feito principalmente através do seu papel na Autoridade Europeia para a Proteção de Dados (AEPD), uma instituição da UE dedicada no campo da proteção de dados que se tornou um participante essencial ao longo dos anos em conexão com o RGPD.

No nível nacional, o DPO era visto como um oficial de ligação entre uma empresa e a autoridade local de proteção de dados. O GDPR não coloca mais o DPO como oficial de ligação, mas como o único especialista no assunto da sua empresa ou da sua administração.

Um status especial em sua organização

Se navegarmos rapidamente pelo GDPR, poderemos contar cerca de 30 vezes o termo 'Responsável pela proteção de dados' espalhado em considerandos, capítulos, títulos e disposições reais. Embora a Seção 4 ( artigos 37 a 39 do Regulamento 2016/679) lide realmente com a designação, natureza e tarefas do DPO, o papel também está presente em ferramentas como o Register ( Art. 30 ) ou a Avaliação de Impacto na Proteção de Dados ( DPIA, Art.39 - a metodologia da Avaliação de Impacto na Proteção de Dados será objeto de um artigo distinto). Também está presente em outras seções, como os considerandos 77 e 97. O considerando 97 refere-se, por exemplo, à independência do DPO.

O que tudo isso significa significa que o DPO é seu consultor confiável em todas as questões relacionadas à privacidade e proteção de dados, especialmente se o seu negócio principal se basear no processamento de dados pessoais, como bancos, seguros, serviços de saúde ou TI. Não apenas o DPO poderá aconselhá-lo como advogado em questões (ou seja, aconselhamento), mas também o DPO poderá aconselhá-lo antes da implementação de um processamento de dados (ou seja, engenharia). É aqui que a força total do DPO é muito útil: você deve garantir que essa função seja usada adequadamente.

Competências e conhecimentos do DPO: um balcão único

O DPO pode ser visto como um balcão único ou, se você gosta de acampar, um canivete suíço. Em empresas maiores, é mais provável que o DPO possua uma sólida formação jurídica, mas a função não se baseia inteiramente nessa habilidade. De fato, a variedade de técnicas de avaliação no GDPR indica que, por exemplo, uma pessoa coletiva com a mente de um auditor (ou vice-versa), que possui fortes habilidades de comunicação e entendimento dos desenvolvimentos de TI e segurança, provavelmente terá um bom desempenho em suas tarefas.

Serão necessárias técnicas de auditoria e consulta, pois o DPO está envolvido nas avaliações de processamento de dados, como o DPIA mencionado acima. Nesse assunto, planejar, analisar e acompanhar serão algumas dessas habilidades importantes.

Além disso, a tarefa do DPO é manter um nível suficiente de conhecimento da segurança dos dados nas empresas ( artigo 39.1.b do Regulamento 2016/679). Alguém poderia argumentar que quanto mais a empresa depende de dados pessoais, mais conscientização se torna vital. Aqui, as habilidades de comunicação serão tão importantes quanto o aconselhamento. Ao informar, educar e compartilhar sobre a proteção de dados, o DPO busca diminuir as irregularidades nos casos em que dados pessoais estão envolvidos. De alguma forma, podemos mencionar o Dia da Proteção de Dados na Europa, a cada 28 de janeiro, marcando o aniversário da Convenção 108 do Conselho da Europa sobre dados pessoais .

Por fim, no caso em que sua empresa cria ou compõe software e tecnologias, convém que o DPO fale com seu departamento de TI. Também é reconhecido que em empresas menores (por exemplo, PME), o DPO pode até ser membro de seu departamento de TI. Isso dará um valor agregado, pois a tecnologia envolve todos. Um exemplo prático do papel do DPO é definido no DPIA. Embora o DPO seja informado sobre suas políticas e outros controles legais, o DPO também avaliará as ameaças, riscos e controles de segurança do software que utiliza dados pessoais. Em outras palavras, avaliar os riscos de uma violação de dados para uma solução de computação em nuvem requer um interesse em tecnologia pelo DPO.

As missões naturais do DPO: Proteger e aconselhar

A primeira missão do DPO é garantir que o processamento de dados pessoais não afete negativamente os titulares dos dados. É uma frase bastante técnica dizer simplesmente que o DPO não pode intervir pós-factum , ou seja, uma vez que o processamento já foi implementado. Como destacado acima, a verdadeira força do DPO não é aconselhar depois que o dano foi causado, mas aconselhar sobre as melhores práticas e criar "privacidade por design" e "privacidade por padrão" .

Essas duas expressões simplesmente significam que o processamento de dados pessoais precisa incorporar certas salvaguardas, que são validadas independentemente pelo DPO desde o início. Não fazer isso pode resultar em uma implementação mais rápida, mas ao custo de uma revisão negativa do DPO. Isso também pode resultar em um custo de sanções judiciais e financeiras. Com o DPR, o risco agora é alto demais: validar seu processamento pelo DPO ou seu Conselho de Privacidade antes que a implementação valha a pena. Você só precisa envolver essa pessoa em reuniões e revisões enquanto estiver testando o processamento.

Como CEO, você pode se imaginar no lugar de “ Quem Quer Ser Milionário ” , de frente para o público, enquanto o DPO ajuda você através de uma 'chamada para um amigo' sempre que tiver problemas com seu processamento. O host à sua frente é a Autoridade Nacional de Proteção de Dados. Você precisa acertar suas respostas, incorporar salvaguardas que estejam alinhadas à privacidade por padrão e por padrão.

Para saber os detalhes da função de DPO, consulte este treinamento on-line gratuito: Curso do Oficial de Proteção de Dados GDPR .