§ 32.3 – O cumprimento de um código de conduta aprovado, conforme referido no artigo 40º, ou de um procedimento de certificação aprovado, conforme referido no artigo 42º, pode ser utilizado como elemento para demonstrar o cumprimento das obrigações estabelecidas no nº 1 deste artigo. |
1. Síntese
Os responsáveis pelo tratamento e os subcontratantes devem garantir que qualquer pessoa que atue sob sua autoridade e que tenha acesso a dados pessoais apenas processe esses dados mediante instruções do responsável pelo tratamento, salvo se tal for exigido pela legislação da União ou dos Estados-Membros.
2. Fundamentação
Este parágrafo assegura que todas as pessoas que tenham acesso aos dados pessoais dentro da organização estejam devidamente autorizadas e instruídas, limitando o risco de acesso não autorizado ou tratamento inadequado dos dados.
3. Por que é Necessário?
Para garantir que os dados pessoais sejam tratados de maneira controlada e em conformidade com as instruções do responsável pelo tratamento, minimizando o risco de violações de dados e assegurando a conformidade com as políticas de proteção de dados.
4. Cenário Hipotético
Em uma empresa de serviços financeiros, todos os funcionários que lidam com dados pessoais são instruídos a seguir rigorosamente as políticas internas de tratamento de dados e a agir somente conforme as diretrizes do responsável pelo tratamento. Qualquer acesso aos dados fora dessas diretrizes é proibido.
5. Benefícios
Reduz o risco de tratamento inadequado ou não autorizado dos dados, assegura a conformidade com as políticas de proteção de dados, e protege a privacidade dos titulares dos dados.
6. Implementação
A empresa deve fornecer treinamento regular aos funcionários sobre as políticas de tratamento de dados, garantir que todos os acessos a dados pessoais sejam autorizados e supervisionados, e estabelecer procedimentos claros para o tratamento de dados pessoais.
7. Penalidade
As penalidades por não conformidade com o Artigo 32 do GDPR podem incluir multas administrativas que podem chegar a até 2% do faturamento anual global da empresa infratora ou 10 milhões de euros, dependendo do que for mais elevado. ACESSE.
8. Conclusão
Garantir que apenas pessoas autorizadas tratem dados pessoais, de acordo com as instruções do responsável pelo tratamento, é crucial para a proteção dos dados e a conformidade com o GDPR.