Empresa é multada por não envolver DPO em reuniões relevantes
O órgão regulador das normas de proteção de dados da Bélgica, o DPA, multou, no último dia 11 de junho, uma empresa de logística em € 15.000 por não garantir que seu DPO pudesse exercer as tarefas essencias da função, descritas no artigo 38 do GDPR. A observação que chamou atenção do público e de especialistas, entretanto, consiste na menção da não participação do DPO em reuniões relevantes, bem como a falta de contato com a diretoria da empresa.
Investigação
Após a abertura de uma investigação sobre o papel desempenhado pelo DPO na empresa de logística, foi constatado que:
- O DPO da empresa não parece ter sido convidado para todas as reuniões relevantes e que, portanto, não se pode considerar que ele estivesse envolvido de forma adequada e em tempo hábil em todas as questões relacionadas à proteção de dados pessoais, conforme exigido pelo Artigo 38 (1) GDPR;
- O GDPR não se reportava diretamente ao nível mais alto de gestão da empresa, não garantindo, dessa forma, que o DPO pudesse atuar sem receber as instruções quanto ao exercício de suas funções nos termos do art. 38 (3) GPDR;
- Embora pudesse ser razoavelmente esperado que o DPO fizesse um relatório formal e frequente sobre suas atividades para a diretoria, tal relatório não havia sido estabelecido como medida padrão na empresa e que, portanto, não atendia aos requisitos do Artigo 39 (1) (a ) GDPR , que afirma que o DPO tem o dever de informar e aconselhar o controlador;
- A empresa, por fim, não foi capaz de demonstrar que tinha um plano de auditoria anual no que tange a área de Privacidade, violando, assim, o Artigo 39 (1) (b) do GDPR em relação às obrigações do DPO de monitoramento e cumprimento do GPDR.

Decisão do DPA
Diante dessas violações, o órgão regulador da Bélgica determinou que a empresa fosse multada administrativamente no montante de quinze mil euros (€ 15.000), bem como determinou que cumprisse os os artigos 38 (1), 38 (3), 39 (1) (a) e 39 (1) (b) do GDPR no prazo máximo de quatro meses a contar da notificação da decisão.
À luz do cenário brasileiro, a decisão mostra a tendência do regulador europeu em sancionar não só má condutas em casos de incidentes ou tratamentos excessivos do DPO, mas, também, a falta atuação comparado ao roll da legislação desse personagem importante dentro das empresas e instituições.
Você pode consultar a decisão na íntegra aqui.

Pingback: Autoridade Belga multa empresa por conflito na função do DPO