Empresa é multada por não envolver DPO em reuniões relevantes

O órgão regulador das normas de proteção de dados da Bélgica, o DPA, multou, no último dia 11 de junho, uma empresa de logística em € 15.000 por não garantir que seu DPO pudesse exercer as tarefas essencias da função, descritas no artigo 38 do GDPR. A observação que chamou atenção do público e de especialistas, entretanto, consiste na menção da não participação do DPO em reuniões relevantes, bem como a falta de contato com a diretoria da empresa.

Investigação

Após a abertura de uma investigação sobre o papel desempenhado pelo DPO na empresa de logística, foi constatado que:

  • O DPO da empresa não parece ter sido convidado para todas as reuniões relevantes e que, portanto, não se pode considerar que ele estivesse envolvido de forma adequada e em tempo hábil em todas as questões relacionadas à proteção de dados pessoais, conforme exigido pelo Artigo 38 (1) GDPR;
  • O GDPR não se reportava diretamente ao nível mais alto de gestão da empresa, não garantindo, dessa forma, que o DPO pudesse atuar sem receber as instruções quanto ao exercício de suas funções nos termos do art. 38 (3) GPDR;
  • Embora pudesse ser razoavelmente esperado que o DPO fizesse um relatório formal e frequente sobre suas atividades para a diretoria, tal relatório não havia sido estabelecido como medida padrão na empresa e que, portanto, não atendia aos requisitos do Artigo 39 (1) (a ) GDPR , que afirma que o DPO tem o dever de informar e aconselhar o controlador;
  • A empresa, por fim, não foi capaz de demonstrar que tinha um plano de auditoria anual no que tange a área de Privacidade, violando, assim, o Artigo 39 (1) (b) do GDPR em relação às obrigações do DPO de monitoramento e cumprimento do GPDR.

Decisão do DPA

Diante dessas violações, o órgão regulador da Bélgica determinou que a empresa fosse multada administrativamente no montante de quinze mil euros (€ 15.000), bem como determinou que cumprisse os os artigos 38 (1), 38 (3), 39 (1) (a) e 39 (1) (b) do GDPR no prazo máximo de quatro meses a contar da notificação da decisão.


À luz do cenário brasileiro, a decisão mostra a tendência do regulador europeu em sancionar não só má condutas em casos de incidentes ou tratamentos excessivos do DPO, mas, também, a falta atuação comparado ao roll da legislação desse personagem importante dentro das empresas e instituições.


Você pode consultar a decisão na íntegra aqui.

One thought on “Empresa é multada por não envolver DPO em reuniões relevantes

Fechado para comentários.