Autoridade Belga multa empresa por conflito na função do DPO. O órgão regulador das normas de proteção de dados da Bélgica, o DPA, multou, no último dia 11 de junho, uma empresa de logística em €15.000 por não garantir que seu DPO pudesse exercer as tarefas essências da função, descritas no artigo 38 do GDPR. A observação que chamou atenção do público e de especialistas, entretanto, consiste na menção da não participação do DPO em reuniões relevantes, bem como a falta de contato com a diretoria da empresa, além de possível conflito na função.
A Autoridade de Proteção de Dados Belga (DPA) multou uma empresa por ter nomeado seu chefe de conformidade, auditoria e risco como Oficial de Proteção de Dados (DPO). De acordo com a DPA, essa combinação de funções cria um conflito de interesses e, portanto, constitui uma violação do artigo 38.6 do GDPR.
Para muitas organizações, a nomeação do DPO tem sido um dos requisitos mais complicados de lidar com o GDPR. A descrição detalhada da carga de trabalho, os elevados requisitos em termos de especialização, mas também as expectativas das diretrizes em termos de disponibilidade e competências linguísticas colocam a função em um decisão bem complicada. Adicione o fato de que essa função não existia na maioria dos Estados-Membros e / ou organizações da UE, criando uma enorme demanda para o número limitado de pessoas que atendiam aos requisitos legais, e é claro que muitas organizações tiveram grandes problemas para encontrar a pessoa certa para o trabalho.
Portanto, não é de se admirar que muitas organizações decidiram nomear o DPO de dentro da organização. Afinal, o artigo 38.6 do GDPR permite expressamente que as organizações indiquem um DPO que cumpra “outras tarefas e deveres“, desde que isso não resulte em conflito de interesses.
O Grupo de Trabalho do Artigo 29 elaborou mais sobre este princípio em suas Diretrizes sobre Responsáveis pela Proteção de Dados dizendo que “Haverá um conflito de interesses em situações em que um DPO ocupe uma posição dentro da organização que o leve a determinar os objetivos e os meios do tratamento de dados pessoais “. Embora o Grupo de Trabalho do Artigo 29 reconheça que esta avaliação é feita caso a caso, como regra prática, ele identificou cargos de gestão sênior, como CEO, COO, Chefe de Marketing, Chefe de RH ou Chefe de TI como posições conflitantes.
Como resultado dessas diretrizes, centenas, senão milhares de organizações que não exigiam um DPO em tempo integral optaram por nomear seu chefe de conformidade ou chefe jurídico como DPO.
Isso parecia lógico. Pessoas nessas posições poderiam facilmente se tornar “especialistas em legislação de proteção de dados” (art. 37.5 GDPR), se ainda não o fossem. Normalmente, eles têm muita afinidade com a conformidade legal e como ela é implementada na prática. Além disso, em sua função de chefe do departamento jurídico / de conformidade, eles não estão envolvidos na tomada de decisões para as principais atividades de processamento de dados (como dados de RH, dados do cliente, dados do paciente, etc.).
Com base na última decisão da DPA belga, todas essas organizações correm o risco de multas, tendo demonstrado um “alto grau de negligência” ao nomear o seu chefe de conformidade / legal como DPO.
Investigação
Após a abertura de uma investigação sobre o papel desempenhado pelo DPO na empresa de logística, foi constatado que:
- O DPO da empresa não parece ter sido convidado para todas as reuniões relevantes e que, portanto, não se pode considerar que ele estivesse envolvido de forma adequada e em tempo hábil em todas as questões relacionadas à proteção de dados pessoais, conforme exigido pelo Artigo 38 (1) GDPR;
- O GDPR não se reportava diretamente ao nível mais alto de gestão da empresa, não garantindo, dessa forma, que o DPO pudesse atuar sem receber as instruções quanto ao exercício de suas funções nos termos do art. 38 (3) GPDR;
- Embora pudesse ser razoavelmente esperado que o DPO fizesse um relatório formal e frequente sobre suas atividades para a diretoria, tal relatório não havia sido estabelecido como medida padrão na empresa e que, portanto, não atendia aos requisitos do Artigo 39 (1) (a ) GDPR , que afirma que o DPO tem o dever de informar e aconselhar o controlador;
- A empresa, por fim, não foi capaz de demonstrar que tinha um plano de auditoria anual no que tange a área de Privacidade, violando, assim, o Artigo 39 (1) (b) do GDPR em relação às obrigações do DPO de monitoramento e cumprimento do GPDR.
Decisão do DPA
Diante dessas violações, o órgão regulador da Bélgica determinou que a empresa fosse multada administrativamente no montante de quinze mil euros (€ 15.000), bem como determinou que cumprisse os os artigos 38 (1), 38 (3), 39 (1) (a) e 39 (1) (b) do GDPR no prazo máximo de quatro meses a contar da notificação da decisão.
A empresa argumentou que não haveria conflito de interesses entre essas funções, pois o DPO não estaria envolvido em nenhuma tomada de decisão em torno do processamento de dados pessoais. Discordando do argumento da empresa, o DPA ainda ressaltou que capacidade de Chefe de Conformidade, Risco e Auditoria, o DPO seria o principal responsável pelo processamento de dados pessoais no contexto das atividades de conformidade, risco e auditoria da organização. Portanto, o DPA decidiu que seria impossível para o DPO exercer qualquer supervisão independente sobre essas atividades de processamento. O que foi considerado como “um grau significativo de negligência“, rendeu à empresa a maior multa já aplicada pela Autoridade Belga.
À luz do cenário brasileiro, a decisão mostra a tendência do regulador europeu em sancionar não só má condutas em casos de incidentes ou tratamentos excessivos do DPO, mas, também, a falta atuação comparado ao roll da legislação desse personagem importante dentro das empresas e instituições.
Você pode consultar a decisão na íntegra aqui.
Conclusão
De acordo com a DPA belga, não pode haver dúvida sobre o fato de que “a combinação da função de DPO com a de chefe de qualquer Departamento sujeito à supervisão do DPO impede que o DPO atue de forma independente“.
No entanto é difícil concordar com uma interpretação tão estrita do conceito de ‘conflito de interesses‘, pois ao que vemos ela é muito mais severa do que a adotada pelo Grupo de Trabalho do Artigo 29 em suas Diretrizes sobre a função de DPO.
A decisão da DPAs belga torna quase impossível combinar o papel de DPO com qualquer outra função dentro de uma organização: coloque seu DPO em uma posição muito alto na organização, e a DPA pode alegar que ele / ela também está decidindo sobre influenciado por seus objetivos das outras funções. Coloque o DPO em um nível que é muito operacional, e o DPA pode argumentar que ele / ela está muito envolvido nas atividades reais de processamento (ou que ele / ela não é capaz de se reportar diretamente à alta administração).
A menos que as demais evidências coletadas que apontam a não participação do DPO em reuniões e decisões importante que envolvem dados pessoais, a decisão definitivamente nos parece inapropriada e perigosa para a consolidação da função dentro da empresa.
Fonte: LGPD News & PrivacyTech & FiledFisher
Veja também:
- Falha na Akamai deixa fora do ar diversos site e serviços online
- Justiça determina que Serasa deve deixar de vender dados pessoais
- PIS e Cofins pode ser abatidos para investimentos com a LGPD
- Quando as sanções da LGPD passarão a valer?
- O que fazer em meio a um ataque de ransomware?
- Decreto institui Rede Federal de Gestão de Incidentes Cibernéticos
- Ataques cibernéticos aumentam workload de TI e SI
- LGPD – Procon do Mato Grosso multa Droga Raia por irregularidade na obtenção de consentimento
- Sodimac é condenada a pagar indenização, com base na LGPD, decorrente de falha de segurança
- Cuba, Política e liberdade de acessos às redes sociais e a internet
- Nova vulnerabilidade Zero Day crítica da SolarWinds sob ataque ativo
- Patch emergencial da Microsoft não corrige vulnerabilidade PrintNightmare RCE
Deixe sua opinião!