Autoridade Belga multa empresa por conflito na função de DPO

Autoridade Belga multa empresa por conflito na função do DPO. O órgão regulador das normas de proteção de dados da Bélgica, o DPA, multou, no último dia 11 de junho, uma empresa de logística em €15.000 por não garantir que seu DPO pudesse exercer as tarefas essências da função, descritas no artigo 38 do GDPR. A observação que chamou atenção do público e de especialistas, entretanto, consiste na menção da não participação do DPO em reuniões relevantes, bem como a falta de contato com a diretoria da empresa, além de possível conflito na função.

Para muitas organizações, a nomeação do DPO tem sido um dos requisitos mais complicados de lidar com o GDPR. A descrição detalhada da carga de trabalho, os elevados requisitos em termos de especialização, mas também as expectativas das diretrizes em termos de disponibilidade e competências linguísticas colocam a função em um decisão bem complicada. Adicione o fato de que essa função não existia na maioria dos Estados-Membros e / ou organizações da UE, criando uma enorme demanda para o número limitado de pessoas que atendiam aos requisitos legais, e é claro que muitas organizações tiveram grandes problemas para encontrar a pessoa certa para o trabalho.

Decisão do DPA

Diante dessas violações, o órgão regulador da Bélgica determinou que a empresa fosse multada administrativamente no montante de quinze mil euros (€ 15.000), bem como determinou que cumprisse os os artigos 38 (1), 38 (3), 39 (1) (a) e 39 (1) (b) do GDPR no prazo máximo de quatro meses a contar da notificação da decisão.

A empresa argumentou que não haveria conflito de interesses entre essas funções, pois o DPO não estaria envolvido em nenhuma tomada de decisão em torno do processamento de dados pessoais. Discordando do argumento da empresa, o DPA ainda ressaltou que capacidade de Chefe de Conformidade, Risco e Auditoria, o DPO seria o principal responsável pelo processamento de dados pessoais no contexto das atividades de conformidade, risco e auditoria da organização. Portanto, o DPA decidiu que seria impossível para o DPO exercer qualquer supervisão independente sobre essas atividades de processamento. O que foi considerado como “um grau significativo de negligência“, rendeu à empresa a maior multa já aplicada pela Autoridade Belga.

À luz do cenário brasileiro, a decisão mostra a tendência do regulador europeu em sancionar não só má condutas em casos de incidentes ou tratamentos excessivos do DPO, mas, também, a falta atuação comparado ao roll da legislação desse personagem importante dentro das empresas e instituições.

Conclusão

De acordo com a DPA belga, não pode haver dúvida sobre o fato de que “a combinação da função de DPO com a de chefe de qualquer Departamento sujeito à supervisão do DPO impede que o DPO atue de forma independente“.

No entanto é difícil concordar com uma interpretação tão estrita do conceito de ‘conflito de interesses‘, pois ao que vemos ela é muito mais severa do que a adotada pelo Grupo de Trabalho do Artigo 29 em suas Diretrizes sobre a função de DPO.

A decisão da DPAs belga torna quase impossível combinar o papel de DPO com qualquer outra função dentro de uma organização: coloque seu DPO em uma posição muito alto na organização, e a DPA pode alegar que ele / ela também está decidindo sobre influenciado por seus objetivos das outras funções. Coloque o DPO em um nível que é muito operacional, e o DPA pode argumentar que ele / ela está muito envolvido nas atividades reais de processamento (ou que ele / ela não é capaz de se reportar diretamente à alta administração).

A menos que as demais evidências coletadas que apontam a não participação do DPO em reuniões e decisões importante que envolvem dados pessoais, a decisão definitivamente nos parece inapropriada e perigosa para a consolidação da função dentro da empresa.

Fonte: Mindsecblog