Disponibilizamos recursos para as funções de Encarregado de Proteção de Dados (DPO) | DPO as a Service

Quanto à nomeação do Encarregado da Protecção de Dados / Data Protection Officer (DPO), o desafio inicial passa por saber que entidades são obrigadas a nomear, e neste caso, conseguirem identificar um profissional com as competências necessárias ao exercício da função.

A decisão pela “pessoa certa” exige também o evitar de conflitos de interesses, caso seja nomeado alguém que já pertence ao quadro de colaboradores permanentes da entidade nomeante e que, por isso, já exerce outras funções potencialmente conflituantes com as funções que vai passar a exercer.

O desafio será conseguir que um eventual profissional independente seja designado com base nas suas qualidades profissionais e, em especial, nos conhecimentos especializados de legislação, das práticas de proteção de dados, profundo conhecimento em tecnologias e sistemas informáticos e conhecedor de processos de negócio.

Mesmo nas organizações em que não seja mandatório a nomeação de um Encarregado de Proteção de Dados/Data Protection Officer (EPD / DPO), a organização deverá designar um responsável de contato para assuntos da Proteção de  Dados Pessoais, que será um Gestor da Protecção de Dados (GPD).

 Encarregado de Proteção de Dados  (EPD)  ou  o Gestor da Proteção de Dados (GDP) poderá ser um colaborador do quadro permanente da organização  responsável pelo tratamento ou do subcontratante, ou poderá ser um elemento externo à organização a exercer as suas funções com base num contrato de prestação de serviços (outsourcing).

Deve ficar claro, em todas as comunicações no seio da organização, com as autoridades de proteção de dados, com a CNPD,  com os titulares de dados que o cargo Gestor da Proteção de Dados (GDP), não corresponde à função de Encarregado da Proteção de Dados (EPD).

Que organizações devem nomear?

O responsável pelo tratamento dos dados e o subcontratante designam um Encarregado da Protecção de Dados / Data Protection Officer (DPO) sempre que:

  • O tratamento for efetuado por uma autoridade ou um organismo público, excetuando os tribunais quando atuem no exercício das sua funções jurisdicionais; ou
  • As atividades principais do responsável pelo tratamento dos dados ou do subcontratante consistam em operações de tratamento que, devido à sua natureza, âmbito e/ou finalidade, exijam um controlo regular e sistemático dos titulares dos dados em grande escala; ou
  • As atividades principais do responsável pelo tratamento dos dados ou do subcontratante consistam em operações de tratamento em grande escala de categorias especiais de dados.

Comunicação à autoridade de controlo

O responsável pelo tratamento ou o subcontratante tem que publicar os contactos do Encarregado da Protecção de Dados / Data Protection Officer (DPO) e comunicar os mesmos  à autoridade de controlo.

Posição do Encarregado da Protecção de Dados / Data Protection Officer (DPO)

Artigo 38º:

(…)

3.O responsável pelo tratamento e o subcontratante asseguram que da proteção de dados não recebe instruções relativamente ao exercício das suas funções. O encarregado não pode ser destituído nem penalizado pelo responsável pelo tratamento ou pelo subcontratante pelo facto de exercer as suas funções. O encarregado da proteção de dados informa diretamente a direção ao mais alto nível do responsável pelo tratamento ou do subcontratante.

4.Os titulares dos dados podem contactar o encarregado da proteção de dados sobre todas questões relacionadas com o tratamento dos seus dados pessoais e com o exercício dos direitos que lhe são conferidos pelo presente regulamento.

5.O encarregado da proteção de dados está vinculado à obrigação de sigilo ou de confidencialidade no exercício das suas funções, em conformidade com o direito da União ou dos Estados-Membros.

6.O encarregado da proteção de dados pode exercer outras funções e atribuições. O responsável pelo tratamento ou o subcontratante assegura que essas funções e atribuições não resultam num conflito de interesses.

Funções do Encarregado da Protecção de Dados / Data Protection Officer (DPO)

Artigo 39º:

  1. O encarregado da proteção de dados tem, pelo menos, as seguintes funções:

a) Informa e aconselha o responsável pelo tratamento ou o subcontratante, bem como os trabalhadores que tratem os dados, a respeito das suas obrigações nos termos do presente regulamento e de outras disposições de proteção de dados da União ou dos Estados-Membros;

b) Controla a conformidade com o presente regulamento, com outras disposições de proteção de dados da União ou dos Estados-Membros e com as políticas do responsável pelo tratamento ou do subcontratante relativas à proteção de dados pessoais, incluindo a repartição de responsabilidades, a sensibilização e formação do pessoal implicado nas operações de tratamento de dados, e as auditorias correspondentes;

c) Presta aconselhamento, quando tal lhe for solicitado, no que respeita à avaliação de impacto sobre a proteção de dados e controla a sua realização nos termos do artigo 35.º;

d) Coopera com a autoridade de controlo;

e) Ponto de contacto para a autoridade de controlo sobre questões relacionadas com o tratamento, incluindo a consulta prévia a que se refere o artigo 36.º, e consulta, sendo caso disso, esta autoridade sobre qualquer outro assunto.

2. No desempenho das suas funções, o encarregado da proteção de dados tem em devida consideração os riscos associados às operações de tratamento, tendo em conta a natureza, o âmbito, o contexto e as finalidades do tratamento.

O que fazer quando não for mandatório nomear DPO?

Mesmo nas organizações em que não seja mandatório a nomeação de um Encarregado de Proteção de Dados/Data Protection Officer (EPD / DPO), a organização deverá designar um responsável de contato para assuntos da Proteção de  Dados Pessoais, que será um Gestor da Protecção de Dados (GPD).

O  Encarregado de Proteção de Dados  (EPD)  ou  o Gestor da Proteção de Dados (GDP) poderá ser um colaborador do quadro permanente da organização  responsável pelo tratamento ou do subcontratante, ou poderá ser um elemento externo à organização a exercer as suas funções com base num contrato de prestação de serviços (outsourcing).

Deve ficar claro, em todas as comunicações no seio da organização, com as autoridades de proteção de dados, com a CNPD,  com os titulares de dados que o cargo Gestor da Proteção de Dados (GDP), não corresponde à função de Encarregado da Proteção de Dados (EPD).

Serviço Encarregado Proteção Dados - DPO as a Service

O Encarregado de Proteção de Dados  (DPO) auxilia internamente em todos os assuntos relacionados à privacidade e proteção de dados, bem como a conformidade com RGPD.

O DPO da CONTROLGAL assume tarefas de proteção de privacidade e dados, formação de colaboradores e pode servir como um perito independente, tanto internamente como para clientes ou para a Autoridade de Controlo de Proteção de Dados.

O DPO da CONTROLGAL pode assumir todas as tarefas exigidas pelo RGPD  e todas as funções podem ser ajustadas em relação a necessidades específicas de uma Organização. O papel de um DPO totalmente terceirizado inclui as tarefas descritas no Regulamento Geral de Proteção de Dados, artigos 37, 38  e 39.

Tem dúvidas?

Pretende mais informações sobre os nossos serviços de DPO as a Service?

Preencha o formulário com os seus dados e as suas questões e entraremos em contacto consigo para lhe darmos todas as informações pretendidas.