O Regulamento Geral de Proteção de Dados entrou em vigor com carácter obrigatório na União Europeia no dia 25 de maio e ainda existem algumas dúvidas relativamente ao seu âmbito de atuação. Uma das questões que mais úvidas tem gerado relaciona-se com o DPO – Data Protection Officer – uma figura que surge com a criação desta nova legislação. No artigo de hoje, vamos abordar todas as questões relacionadas com o DPO, a nova profissão criada pelo RGPD!
Quem é o DPO?
Esta figura desempenha um papel essencial no período de transição da lei antiga para a nova legislação. A pessoa responsável pela proteção dos dados deve garantir que tudo se encontra perfeitamente legal à data de entrada em vigor do RGPD. Esta função é atribuída sempre que o processamento dos dados acontecer numa entidade pública; sempre que haja monitorização constante de pessoas em grande escala e sempre que há processamento de dados sensíveis em grande escala. Este profissional deve formar a sua equipa, realizar auditorias e ser o ponto de contacto com as autoridades de proteção de dados.
Quando é que a nomeação de um DPO é obrigatória?
O novo regulamento exige que seja designado um DPO se um destes casos se verificar:
- O processamento de dados é levado a cabo por uma entidade pública (exceto tribunais que agem na sua capacidade judicial);
- As atividades centrais da empresa consistem na monitorização regular e sistemática de dados pessoais de sujeitos numa larga escala;
- As atividades centrais da empresa consistem no processamento numa larga escala de dados relacionados com atividade criminal/queixas/ofensas/etc previstos nos artigos 9 e 10.
O DPO pode desempenhar as suas funções em tempo parcial ou a tempo inteiro e pode ser um colaborador interno da empresa ou contratado externamente. Deve ser um profissional com formação relevante para a área e é a pessoa responsável por todas as questões relacionadas com os dados pessoais na empresa.
Principais funções de um DPO
- Definir um plano de ação estratégico para a implementação e avaliação constante do RGPD. Todas as áreas da empresa deverão estar envolvidas e neste plano deve constar a identificação, avaliação e categorização dos dados privados que a empresa tem armazenados.
- Adaptar ou criar processos para que os dados sejam protegidos. A metodologia a utilizar deve ser privacy by design, para facilitar a monitorização de comunicação dos eventos relacionados com os dados pessoais.
- Atualizar a política de privacidade dos dados. A política de privacidade dos dados deve ser atualizada de acordo com as novas exigências da legislação. Deve ser definida uma escala de classificação e de tratamento dos dados pessoais. O departamento jurídico da empresa deve estar envolvido neste processo e nesta política devem constar todas as informações relacionadas com o tratamento real dos dados, incluindo a sua finalidade.
- Implementar processos que permitam detetar, reportar e resolver problemas de violação de dados pessoais, mantendo sempre presente a questão da segurança. Neste caso, aconselha-se a utilização de serviços de recovery as a service.
Faça download do nosso e-book sobre o novo RGPD e fique a par de tudo aquilo que tem que saber para receber a nova lei em conformidade!
Sobre o autor