A perspetiva da Cyber Academy
O DPO é o cargo exigido pelo GDPR que monitoriza a conformidade, aconselha o responsável pelo tratamento e atua como ponto de contacto com a autoridade de controlo. Obrigatório para entidades públicas e para tratamentos que impliquem monitorização sistemática em grande escala ou dados de categorias especiais. A independência e o acesso à gestão de topo são os dois aspetos que os auditores efetivamente verificam.
Para que serve a função
O Data Protection Officer é a pessoa que uma organização nomeia para manter a integridade do seu tratamento de dados pessoais ao abrigo do GDPR. A função não é conduzir projetos de privacidade nem dar aval à conformidade, mas sim monitorizar se a organização faz o que a lei e as suas próprias políticas exigem, aconselhar o responsável pelo tratamento e o subcontratante, formar e sensibilizar, e ser o ponto de contacto único para a autoridade de controlo e para os titulares dos dados que pretendam exercer os seus direitos. O DPO informa e aconselha, mas a responsabilidade pelo tratamento permanece no responsável pelo tratamento.
Um DPO é obrigatório em três situações: quando o tratamento é efetuado por uma autoridade pública, quando as atividades principais exigem um controlo regular e sistemático de pessoas em larga escala, e quando as atividades principais envolvem o tratamento em larga escala de categorias especiais de dados, como dados de saúde, biométricos ou relativos a condenações penais. As organizações que não se enquadram nestes critérios podem, ainda assim, nomear um DPO de forma voluntária, e muitas fazem-no porque lhes confere um responsável interno claro para as questões de privacidade.
Independência e acesso, os dois pontos que os auditores verificam
Quando um regulador ou um auditor interno analisa a função do DPO, dois pontos decidem se ela é real ou cosmética. O primeiro é a independência. O DPO não deve receber instruções sobre a forma de desempenhar a função, não pode ser destituído nem penalizado por desempenhar bem o seu trabalho, e não deve ser colocado numa posição em que audite as suas próprias decisões. É por isso que um DPO normalmente não deve ser também o CISO, o responsável de TI ou o responsável de marketing, porque essas funções definem as finalidades e os meios do tratamento que o DPO tem de examinar. O segundo é o acesso. O DPO deve reportar ao mais alto nível da direção e ser envolvido, atempadamente e de forma adequada, em todas as questões relativas à proteção de dados pessoais.
- Monitoriza a conformidade com o GDPR e com as políticas internas de proteção de dados.
- Aconselha sobre as avaliações de impacto sobre a proteção de dados (DPIA) e ajuda a revê-las.
- Coopera com a autoridade de controlo e é o seu ponto de contacto.
- Gere a comunicação com os titulares dos dados sobre os seus direitos.
Como o DPO se articula com conceitos vizinhos
O DPO é uma pessoa e um dever, não um quadro de controlo. O GDPR é o regulamento que cria a função e fixa as suas tarefas. A DPIA é um dos instrumentos sobre os quais o DPO aconselha, uma avaliação estruturada realizada antes de iniciar um tratamento de alto risco. ISO 27701 é a norma de gestão de informações de privacidade segundo a qual uma organização se pode certificar, e uma função de DPO bem gerida alinha-se naturalmente com os seus requisitos sem ser a mesma coisa.
A CDPSE é uma certificação profissional que valida que um engenheiro de privacidade ou um DPO sabe integrar a privacidade nos sistemas. Um DPO pode ser um colaborador ou um prestador de serviços externo, e um grupo de empresas pode nomear um único DPO, desde que essa pessoa permaneça contactável a partir de cada estabelecimento e mantenha independência e recursos suficientes para os cobrir a todos.
Frequently asked questions
01Um DPO é obrigatório para todas as empresas?
Não. O GDPR exige um para as autoridades públicas, para as organizações cujas atividades principais envolvem um controlo regular e sistemático de pessoas em larga escala, e para aquelas cujas atividades principais envolvem o tratamento em larga escala de dados de categoria especial ou relativos a condenações penais. As restantes organizações podem nomear um de forma voluntária.
02O CISO ou o responsável de TI podem ser também o DPO?
Normalmente não. Essas funções decidem as finalidades e os meios do tratamento, pelo que combiná-las com a de DPO cria um conflito de interesses, porque a pessoa acabaria por supervisionar as suas próprias decisões. O DPO deve manter a independência face às escolhas operacionais de tratamento de dados.
03O DPO pode ser externalizado?
Sim. O DPO pode ser um membro do pessoal ou cumprir as tarefas ao abrigo de um contrato de prestação de serviços. Em ambos os casos aplicam-se os mesmos requisitos de independência, acesso e contactabilidade, e a organização deve publicar os dados de contacto do DPO e comunicá-los à autoridade de controlo.
04O DPO é pessoalmente responsável pelas violações?
Não. A responsabilidade pelo tratamento permanece no responsável pelo tratamento e no subcontratante. O DPO aconselha e monitoriza, mas não assume responsabilidade jurídica pessoal pela decisão da organização de ignorar esse aconselhamento.
05Um único DPO pode cobrir todo um grupo de empresas?
Sim, um único DPO pode servir um grupo de empresas, desde que permaneça facilmente acessível a partir de cada estabelecimento e disponha de independência, recursos e tempo suficientes para supervisionar todos os tratamentos envolvidos.