| § 32.4 – O responsável pelo tratamento e o subcontratante devem tomar medidas para assegurar que qualquer pessoa física que, agindo sob a autoridade do responsável pelo tratamento ou do subcontratante, tenha acesso a dados pessoais, somente realize o seu tratamento mediante instruções do responsável pelo tratamento, exceto se tal for exigido pelo direito da União ou de um Estado-Membro. |
1. Síntese
O responsável pelo tratamento e o subcontratante devem garantir que qualquer pessoa sob sua autoridade, que tenha acesso a dados pessoais, só trate esses dados conforme as instruções do responsável pelo tratamento, a menos que uma obrigação legal da União ou de um Estado-Membro exija o contrário.
2. Fundamentação
A fundamentação deste parágrafo é garantir que o tratamento de dados pessoais seja estritamente controlado e supervisionado. Ao limitar o tratamento de dados pessoais às instruções do responsável pelo tratamento, reduz-se o risco de acesso não autorizado ou uso indevido dos dados.
3. Por que é Necessário?
Este controle é necessário para assegurar que todas as pessoas com acesso a dados pessoais dentro de uma organização estejam cientes e cumpram as políticas de proteção de dados. Isso ajuda a proteger a integridade e a confidencialidade dos dados pessoais, reduzindo o risco de violações e garantindo a conformidade com o GDPR.
4. Cenário Hipotético
Em um hospital, os dados dos pacientes são acessados por médicos, enfermeiros e administrativos. A administração do hospital emite instruções claras sobre como esses dados devem ser tratados e quem pode acessá-los. Todos os funcionários recebem treinamento sobre essas diretrizes. Se um funcionário tentar acessar dados fora dessas diretrizes sem autorização específica, estará violando as políticas internas e o GDPR.
5. Benefícios
Assegura que o tratamento de dados pessoais seja feito de maneira controlada e conforme as diretrizes estabelecidas pelo responsável pelo tratamento. Isso protege os dados pessoais contra acessos não autorizados, minimiza o risco de uso indevido e fortalece a segurança da informação dentro da organização.
6. Implementação
As empresas devem implementar políticas claras de acesso a dados, fornecer treinamento regular aos funcionários sobre essas políticas, e monitorar o acesso a dados para garantir que apenas pessoas autorizadas e instruídas tratem os dados pessoais conforme as instruções do responsável pelo tratamento. Sistemas de monitoramento e auditoria podem ser utilizados para verificar a conformidade.
7. Penalidade
As penalidades por não conformidade com o Artigo 32 do GDPR podem incluir multas administrativas que podem chegar a até 2% do faturamento anual global da empresa infratora ou 10 milhões de euros, dependendo do que for mais elevado. ACESSE.
8. Conclusão
Garantir que o tratamento de dados pessoais seja realizado apenas por pessoas autorizadas e conforme as instruções do responsável pelo tratamento é crucial para proteger a privacidade dos dados e assegurar a conformidade com o GDPR.