Oficial de proteção de dados

Na legislação europeia , o Delegado para Proteção de Dados (abreviado DPD ou DPO para Oficial de Proteção de Dados ) é a pessoa responsável pela proteção de dados pessoais dentro de uma organização.

A regulamentação europeia entrou em vigor em 25 de maio de 2018. Uma nova redação da Lei de Proteção de Dados de 6 de janeiro de 1978 está em vigor desde 1º de junho de 2019 e define o princípio da proteção de dados. O regulamento europeu é válido a nível europeu e prevê que as empresas que desenvolvam atividades no domínio dos dados pessoais sejam controladas por um RPD especialmente designado para o efeito. O artigo 37.º do regulamento europeu estabelece as disposições relativas ao responsável pela proteção de dados, ao abrigo das quais as empresas em causa devem cumprir as suas obrigações legais.

Missões

As suas principais missões são, por um lado, informar e aconselhar a sua organização e, por outro, controlar a aplicação dos textos jurídicos e das normas internas em matéria de dados pessoais. Ele atua como um ponto de contato entre sua organização e uma autoridade supervisora ​​nacional, como a CNIL .

A nomeação de um oficial de proteção de dados às vezes é obrigatória. O Delegado pode ser membro da organização que assessora ou trabalhar como consultor externo. Também pode ser compartilhado , quando o mesmo Delegado é nomeado por várias estruturas. Em todos os casos, o Delegado deve ser dotado dos meios para cumprir a sua missão e ser capaz de agir com independência.

A nível europeu, o Data Protection Officer é a pessoa responsável pelo cumprimento do Regulamento Europeu sobre a Proteção de Dados Pessoais (GDPR) dentro de uma organização.

Terminologia

Profissional proteção de dados pessoais estão actualmente designada sob os nomes de Beauftragter für Datenschutz em Alemanha , Personuppgiftsombude na Suécia , functionaris voor de gegevensbescherming a Holanda , Personas datu aizsardzības specialista na Lituânia , Isikuandmete kaitse eest vastutav isik na Estónia , Encarregado de Dados de Protecção Oficial no Luxemburgo , Oficial de proteção de dados na Bélgica , Datenschutzberater / responsile della protezione dei dati na Suíça, Rapprezentant ta'data personali em Malta , Belső adatvédelmi fele lős na Hungria , Dohľad nad ochranou osobných údajov na Eslováquia e Responsável pela segurança na Espanha .

Os Responsáveis ​​pela Proteção de Dados são formal e oficialmente nomeados para a Comissão Nacional de Informática e Liberdades ( CNIL ). Os seus contactos são tornados públicos na data.gouv.fr plataforma .

O relatório anual da CNIL de 2015 indica que 4.321 Correspondentes de Proteção de Dados foram nomeados para a Comissão por 16.406 controladores de dados, privados ou públicos. Em seu relatório anual para 2018 “A CNIL em resumo”, a CNIL indica que 39.500 organizações nomearam um Delegado, o que representa 16.000 Delegados de Proteção de Dados. Espera-se que esse número ultrapasse 21.000 até o final de 2019.

Como parte da mudança para as novas regras, a Associação Francesa de Correspondentes para a Proteção de Dados Pessoais (AFCDP), uma associação que reúne na França os profissionais de conformidade e liberdade de TI e proteção de dados pessoais , havia solicitado que um seria fornecida " cláusula avô "   que teria permitido aos CILs que assim o desejassem e que atendessem aos novos requisitos fossem confirmados em sua função de DPO, a fim de capitalizar o trabalho já realizado e garantir a mais ampla divulgação possível do espírito da lei. O Secretário-Geral da CNIL, em janeiro de 2017, declarou publicamente em uma conferência que reuniu quatrocentos CILs: "Temos todo o interesse em que muitos de vocês sejam confirmados como DPOs".

Designação de acordo com GDPR

Antes do regulamento europeu, nomear um correspondente informático não era uma obrigação legal. Com o regulamento europeu, a designação pode ser feita de forma não escrita. O empresário nomeia o Responsável pela Proteção de Dados de acordo com o regulamento e compromete-se a informar imediatamente a autoridade de supervisão e a publicar os contactos do representante. Como alternativa, os empresários podem optar por um Diretor de Proteção de Dados Corporativos, desde que sejam facilmente acessíveis de qualquer agência. Esta opção é particularmente vantajosa para empresas europeias com múltiplos escritórios, uma vez que elimina a necessidade de múltiplos contactos, garantindo maior transparência e segurança no processamento e gestão.

Uma atribuição externa não é necessariamente necessária se houver um DPO interno com as qualificações adequadas. O método mais adequado depende da forma e do tamanho da empresa, bem como da carga de trabalho do DPO.

Benefícios de nomear um oficial de proteção de dados

A designação de uma pessoa responsável pelo cumprimento da Lei de Proteção de Dados e as futuras disposições do Regulamento Geral de Proteção de Dados tem, portanto, vários benefícios:

• Reforçar a segurança jurídica: a nomeação de um RPD permite identificar um ponto de referência para questões de proteção de dados pessoais e está integrado em novas práticas de governação em termos de compliance. Isso resulta na redução dos riscos de contencioso contratual, administrativo e judicial.
• Fortalecimento da segurança de TI: o DPO aconselha a organização sobre novas maneiras de usar os dados. Permite evitar erros estratégicos no lançamento de novos serviços ou produtos e, consequentemente, otimizar os investimentos, a política de arquivamento e terceirização e os procedimentos internos relativos à segurança da informação.
• Um vetor de confiança com as partes interessadas: a criação de um oficial de proteção de dados em 2018 pode tranquilizar pessoas de fora da organização (clientes, cidadãos, fornecedores, alunos, potenciais parceiros, etc.) e funcionários internos sobre as garantias tomadas para os responsáveis recolha e tratamento de dados pessoais .

É também a prova de um compromisso ético e cívico e um instrumento de valorização do património informacional.

Atividades

Funções

A função de Responsável pela Proteção de Dados é definida no Regulamento Geral de Proteção de Dados (GDPR) 2016/679 de 27 de abril de 2016, principalmente pelo considerando 97 e pela sua seção 4. A nomeação de um Responsável pela Proteção de Dados é obrigatória para qualquer organização atendendo a um dos seguintes critérios:

• o órgão é uma autoridade pública ou um órgão público, com exceção dos tribunais que atuam no exercício da sua função judicial;
• as atividades básicas da organização incluem tratamentos que requerem acompanhamento regular e sistemático em grande escala das pessoas envolvidas;
• as atividades básicas da organização envolvem o processamento em grande escala de categorias especiais de dados (origem racial ou étnica, opiniões políticas, crenças religiosas ou filosóficas, filiação sindical, dados genéticos, dados biométricos para fins de identificação, dados relativos à saúde, dados relativos vida sexual ou orientação sexual, condenações criminais, ofensas).

Em outros casos, as organizações podem nomear voluntariamente um responsável pela proteção de dados. Um oficial de proteção de dados pode ser compartilhado entre várias organizações. O responsável pela proteção de dados pode ser um membro da equipe ou exercer suas funções com base em um contrato de serviço.

Missões

As principais missões do Responsável pela Proteção de Dados são as seguintes (Art. 39):

• Informar e sensibilizar, difundir uma cultura de “Tecnologias de Informação e Liberdades”: o Responsável pela Protecção de Dados realiza ou gere acções destinadas a sensibilizar a direcção e os colaboradores para as regras a observar em matéria de protecção de dados pessoais;
• Garantir o cumprimento do quadro jurídico: o responsável pela proteção de dados monitoriza de forma independente a conformidade com o Regulamento Europeu (RGPD), outras disposições da legislação da União ou dos Estados-Membros e as regras internas da sua organização em matéria de proteção de dados pessoais. As suas análises e aconselhamento estendem-se aos subcontratados e prestadores de serviços que participam no processamento decidido pelo controlador. Em particular, está intimamente associado aos seguintes assuntos: EIVP (estudo de impacto na privacidade), “Privacidade desde o design” (consideração dos impactos na privacidade desde a fase de design) e notificação de violações de dados e comunicação aos interessados. Ele deve ser consultado antes da implementação de um novo tratamento ou da modificação substancial de um tratamento em andamento e pode fazer qualquer recomendação ao Controlador de Dados.
• Informar e responsabilizar, alertar se necessário, o seu controlador: o Data Protection Officer informa imediatamente o controlador de qualquer risco que as iniciativas do pessoal operacional ou o não cumprimento das suas recomendações possam causar à organização e aos seus dirigentes. Para tanto, pode fazer qualquer recomendação ao Controlador de Dados e apresentar pedidos de arbitragem (cabe ao Controlador de Dados assumir a responsabilidade pela implementação de um tratamento, apesar das recomendações do DPO).
• Analisar, investigar, auditar, controlar: o Oficial de Proteção de Dados realiza, executou ou pilotou, de forma controlada e independente, qualquer ação que permita julgar o grau de conformidade da organização, para evidenciar qualquer possível não conformidade • conformidade (gravidade, possíveis impactos para as pessoas em causa, origem, responsabilidade, etc.), para verificar o cumprimento do quadro jurídico ou a correta aplicação de procedimentos, métodos ou instruções relativos à proteção de dados pessoais.
• Estabelecer e manter a documentação sob "Responsabilidade": o Oficial de Proteção de Dados estabelece e mantém a documentação relativa ao processamento de dados pessoais (incluindo o registro de processamento), sob a responsabilidade do Controlador de Dados. Processamento ("Responsabilidade") e garante sua acessibilidade para autoridade de supervisão.
• Mediar com as pessoas envolvidas: o Responsável pela Proteção de Dados recebe reclamações de pessoas envolvidas nas operações de tratamento para as quais foi nomeado e garante que os direitos das pessoas são respeitados. Ele trata essas reclamações e reclamações de maneira imparcial ou implementa os procedimentos apropriados para garantir seu tratamento adequado.
• Interagir com a autoridade de supervisão: o Responsável pela Proteção de Dados é o ponto de contacto privilegiado da autoridade de supervisão, com a qual comunica com total independência sobre questões relacionadas com o tratamento efectuado pela entidade que 'designou, incluindo a consulta prévia a que se refere no Artigo 36 do RGPD, e realizar consultas, se necessário, sobre qualquer outro assunto.

Perfis

Os atuais responsáveis ​​pela proteção de dados têm perfis muito heterogêneos.

Estudo realizado a pedido da CNIL por ocasião do décimo aniversário da profissão de correspondente de informática e liberdades, em outubro de 2015, revelou que 47% dos profissionais possuíam formação técnica (informática), seguidos de pessoas com formação jurídica. Estudo semelhante, realizado em 2012 pela AFCDP, mostrou que os restantes CILs seguiram estudos iniciais de qualidade, gestão de riscos, controlo de gestão e gestão de recursos humanos.

Esta diversidade persiste no seio dos OPD, visto que o inquérito realizado em 2019 pela Delegação Geral do Emprego e Formação Profissional (DGEFIP) mostra uma distribuição equilibrada entre jurídicos (31,1%), informáticos (34,9%) e outros (34%). Esta diversidade encontra-se em diferentes setores, com um aumento do perfil jurídico confirmado pelos inquéritos realizados entre 2011 e 2019 pela rede SupDPO  : em 2019, era composta por 38% de DPOs com perfil jurídico e 41% de DPOs com perfis legais. Perfil de TI.

Embora não seja obrigatório, existem certificações para se tornar um DPO. Em 20 de setembro de 2018, o CNIL adotou duas normas para a certificação das competências do oficial de proteção de dados:

• Um sistema de referência de certificação, definindo as condições de admissibilidade das candidaturas e uma lista de 17 competências e know-how que se espera para ser certificado DPO.
• Um referencial de acreditação, que estabelece os critérios aplicáveis ​​às organizações que desejam ser autorizadas pelo CNIL, para certificar as competências do DPO com base no referencial de certificação.

Os cursos superiores também são dedicados à profissão, como mestrados especializados e diplomas universitários.

Remunerações

O estudo "Profissionais de privacidade - Pesquisa de funções, funções e salários 2011" conduzido pela IAPP ( Associação Internacional de Profissionais de Privacidade ) indica que os profissionais de privacidade dos EUA ganham mais de $ 300.000  por ano para 1% destes, entre 200.000  $ e 300.000  $ por ano a 5% entre eles, entre 150 000  $ e 200 000  $ para 13% e entre 100 000  $ e 150 000  $ a 37%.

O estudo "Profissionais de privacidade - Pesquisa de funções, funções e salários 2011" IAPP Canadá indica que a proteção profissional canadense da privacidade ganha entre 100.000  $ e 200.000  $ por ano no setor privado (mais o bônus), e entre 75.000  $ e 150 000  $ por ano no setor público.

O estudo "Privacy Professional's - Role, Function and Salary Survey 2010" IAPP Europe, diz que os profissionais europeus para proteger a privacidade ganham entre 150 000  $ e 200 000  $ por ano a 9% deles, entre 100 000  $ e 150 000  $ por 26% e entre 50.000  $ e 100.000  $ a 49%. Além disso, 30% desses profissionais também recebem opções de ações e 60% bônus.

De acordo com o estudo realizado pela AFCDP em 2012, o salário médio de um CIL era de 47.000  € bruto por ano.

Principais desenvolvimentos em relação ao correspondente de TI e liberdades

Sendo o Data Protection Officer uma evolução do destacado para a protecção de dados pessoais da Directiva 95/46 / CE , foram mantidas muitas características, como a sua independência, a possibilidade de realizar missões a tempo parcial, o facto de dever permanecer isento de conflitos de interesses, a sua ligação o mais directamente possível ao responsável pelo tratamento ou órgão de decisão, o seu papel de interface com a CNIL , a sua ausência de responsabilidade pessoal. É também provável que o Responsável pela Proteção de Dados continue as tarefas do CIL: preparação de processos de formalidades com o CNIL para tratamento não isento de formalidades, desenvolvimento de uma política de proteção de dados pessoais , sensibilização do pessoal para as disposições da lei, desenvolvimento e controle da aplicação de códigos de conduta específicos.

As principais evoluções do oficial de proteção de dados em relação ao correspondente de TI e liberdades atuais são:

• De opcional, o Delegado passa a ser obrigatório em vários casos;
• Os subcontratados, caso atendam aos critérios, também deverão designar um;
• Os detalhes de contato do Delegado serão tornados públicos;
• Será mais fácil para grupos de empresas nomear um Diretor de Proteção de Dados que será comum a eles;
• Os controladores de dados terão total liberdade para nomear um Delegado externo à organização, enquanto essa possibilidade só foi oferecida a organizações com menos de cinquenta funcionários com acesso aos dados (DPOs externos devem assinar um seguro de responsabilidade profissional).

Outras alterações não são explicitamente mencionadas no regulamento, mas decorrem das suas disposições. Assim, o oficial de proteção de dados:

• assegurar a realização e atualização regular de análises de risco e estudos de impacto para as pessoas em causa no que diz respeito às operações de tratamento mais sensíveis;
• garante a nova obrigação de prestação de contas prevista no Regulamento Geral de Dados, que exige a comprovação do cumprimento, mediante o fornecimento à autoridade supervisora, a pedido desta, de evidências (documentação, procedimentos e processos, plano de controle interno, inventário de riscos, resultados de auditorias e medidas corretivas tomadas como resultado, etc.);
• garante que o órgão notifique a CNIL, quando necessário, de violações do tratamento de dados pessoais, ou mesmo comunique às pessoas em causa quando a violação é susceptível de criar um elevado risco para os direitos e liberdades de uma pessoa física.

Sanções em caso de violação do GDPR

Até agora, foi imposta uma multa máxima de 50.000 euros por omissão intencional ou negligente de nomear um oficial de proteção de dados. A partir de 25 de maio de 2018, a multa aumentará para 2% do volume de negócios anual global até 10 milhões de euros. A autoridade supervisora ​​reserva-se o direito de impor uma multa mais elevada. Os responsáveis ​​pela proteção de dados devem demonstrar diferentes qualificações e estar preparados para se adaptar às mudanças na tecnologia da informação. A educação continuada e a experiência jurídica são essenciais. Pessoas que não fazem parte do conselho fiscal ou da administração da empresa são responsáveis ​​pela proteção de dados. Mesmo se a combinação for permitida, esta constelação pode levar a enviesamentos e impedir o cumprimento do regulamento básico de proteção de dados.

As agências de crédito e as empresas de processamento de dados devem, com a entrada em vigor do OVDS da UE, estar sujeitos ao controlo de um responsável pela proteção de dados, garantindo assim a integridade e a competência da respetiva gestão de dados. O não cumprimento desta obrigação resultará em multas significativas para a empresa em questão.

O GDPR traz novos requisitos relativos à demissão e rescisão do contrato de trabalho de um Oficial de Proteção de Dados para autoridades públicas e organizações privadas. Os DPOs estão sujeitos a proteção especial contra demissão, ao dever de confidencialidade e ao direito de se recusar a testemunhar.

Bibliografia

• O oficial de proteção de dados. Um novo cargo na empresa , Bruxelas, edições Bruylant, coleção Minilex, 3ª edição, 2020.
• Coletivo, Data Protection Officer: very more than a job , AFCDP edition, Paris, 2015, 574 p. ( ISBN  978-2-9552430-0-8 )
• Guillaume Desgens-Pasanau, Le Correspondant Informatique et Libertés , edições Lexis Nexis, coleção “Droit & Professionnels”, 2013, 374 p. ( ISBN  978-2711018864 )

Notas e referências

1. "  RGPD - Artigo 37 - Designação do responsável pela proteção de dados  " , em colibri-dpo.com (acessado em 22 de setembro de 2020 )
2. Análise comparativa de oficiais de proteção de dados , CEDPO, 2012
3. Conjunto de dados CNIL de organizações que nomearam um oficial de proteção de dados (DPD / DPO)
4. Relatório anual da CNIL para 2015
5. O CNIL em breve 2019
6. "  RGPD - Considerant 97  " , em colibri-dpo.com (acessado em 22 de setembro de 2020 )
7. "  RGPD - Seção 4  " , em colibri-dpo.com (acessado em 22 de setembro de 2020 )
8. "  RGPD - Artigo 39 - Missões do Oficial de Proteção de Dados  " , em colibri-dpo.com (acessado em 22 de setembro de 2020 )
9. "  RGPD - Artigo 36 - Consulta prévia  " , em colibri-dpo.com (acessado em 22 de setembro de 2020 )
10. "  CNIL: Uma profissão do futuro  " , em cnil.fr ,13 de outubro de 2015(acessado em 25 de abril de 2016 )
11. Resultados da pesquisa "Implementar o Regulamento Geral de Proteção de Dados", fevereiro-abril de 2019
12. Artigo e resultados da pesquisa de 2019 da rede de OPDs para o Ensino Superior, Pesquisa e Inovação
13. “  Certificação de competências de DPO: o CNIL adota duas normas | CNIL  ” , em www.cnil.fr (consultado em 22 de setembro de 2020 )
14. Artigo "Quatro perguntas sobre o trabalho de ... oficial de proteção de dados", de 7 de março de 2020
15. Levantamento da formação realizada pela rede SupDPO, no âmbito de uma parceria entre a CNIL e a CPU
16. "  Privacy Professional's: Role, Function and Salary Survey 2011  " , em iapp.org ,14 de fevereiro de 2012(acessado em 25 de abril de 2016 )
17. "  Pesquisa de função, função e salário do profissional de privacidade 2011  " , em iapp.org ,14 de fevereiro de 2012(acessado em 25 de abril de 2016 )
18. “  Pesquisa de função, função e salário do profissional de proteção de dados 2010  ” , em iapp.org ,14 de fevereiro de 2012(acessado em 25 de abril de 2016 )

Veja também

Artigos relacionados

• Lei de Proteção de Dados
• Dados pessoais
• Anonimato na Internet
• Correspondente de TI e liberdades
• Cartas do direito ao esquecimento digital
• AFCDP Associação Francesa de Correspondentes para Proteção de Dados Pessoais
• GDPR (o regulamento na origem do DPD / DPO)
• PIA (método e ferramenta de computador)

links externos

• Seção CNIL "  Data Protection Officer (DPO)  "
• Site da associação francesa de correspondentes de proteção de dados pessoais
• CEDPO, Confederação das Organizações Europeias de Proteção de Dados
• “  Data Protection Officer  ” , na Comissão Europeia - Comissão Europeia (consultado em 9 de junho de 2018 )