» ARTIGO 37º «

SÍNTESE

O Artigo 37 da GDPR determina quando é necessário nomear um Encarregado de Proteção de Dados (DPO) em uma organização. A designação é obrigatória se o tratamento de dados for feito por autoridades públicas, envolver monitoramento regular em grande escala, ou se tratar de categorias especiais de dados ou dados sobre condenações penais.

Um DPO pode ser um funcionário interno ou contratado externamente e deve ser acessível e ter seus dados de contato publicados. Grupos empresariais podem ter um único DPO acessível a partir de todos os locais, e autoridades públicas podem compartilhar um DPO para várias entidades. Mesmo quando não obrigatório, a nomeação de um DPO pode ser feita voluntariamente para garantir conformidade com as normas de proteção de dados.

ENTENDIMENTOS

O Artigo 37 da GDPR (Regulamento Geral sobre a Proteção de Dados) especifica as situações em que é obrigatória a designação de um Encarregado de Proteção de Dados (DPO – Data Protection Officer) por parte dos responsáveis pelo tratamento ou dos subcontratantes. Este artigo estabelece os critérios para determinar quando a presença de um DPO é necessária dentro de uma organização, com o objetivo de garantir a conformidade com a legislação de proteção de dados.

A designação de um DPO é um elemento chave na GDPR, pois o DPO é responsável por monitorar a conformidade com o regulamento e por atuar como um ponto de contato para as autoridades de proteção de dados e os titulares dos dados. O Artigo 37 é crucial porque define as circunstâncias específicas em que essa designação é obrigatória, levando em consideração a natureza das atividades de tratamento de dados realizadas pela organização.

Os incisos do Artigo 37 fornecem orientações claras sobre os casos em que a designação de um DPO é necessária. Esses casos incluem, por exemplo, quando o tratamento é realizado por uma autoridade ou organismo público, quando as atividades principais do responsável pelo tratamento ou do subcontratante exigem o monitoramento regular e sistemático dos titulares de dados em grande escala, ou quando as atividades principais consistem no tratamento em grande escala de categorias especiais de dados pessoais ou dados relativos a condenações penais e infrações.

O conceito por trás do Artigo 37 é proteger os dados pessoais dos indivíduos, assegurando que as organizações que realizam atividades de tratamento de dados significativas estejam sob a supervisão de um DPO. Esse DPO tem a responsabilidade de garantir que a organização esteja em conformidade com a GDPR e que os direitos dos titulares dos dados sejam respeitados.

A necessidade do Artigo 37 reside no fato de que, em um mundo cada vez mais digitalizado, onde grandes volumes de dados pessoais são processados regularmente, é essencial que exista uma figura dentro das organizações dedicada exclusivamente à proteção desses dados. A presença de um DPO garante que as organizações estejam constantemente avaliando e melhorando suas práticas de proteção de dados.

A razão pela qual o Artigo 37 existe é para fornecer um mecanismo claro e eficaz para assegurar que as organizações cumpram suas obrigações de proteção de dados, minimizando os riscos para os titulares dos dados e promovendo a transparência e a responsabilidade nas operações de tratamento de dados.

O inciso 1 detalha as situações em que a designação de um DPO é obrigatória, definindo critérios específicos como o tratamento por autoridades públicas, monitoramento em grande escala, e o tratamento de categorias especiais de dados. Este inciso assegura que as organizações envolvidas em atividades significativas de tratamento de dados estejam sob a supervisão de um DPO.

O primeiro inciso estabelece que o responsável pelo tratamento e o subcontratante devem designar um DPO quando realizarem atividades de tratamento de dados que envolvam autoridades públicas (exceto tribunais), monitoramento regular e sistemático em grande escala dos titulares de dados, ou tratamento em grande escala de categorias especiais de dados. Este inciso é fundamental para garantir que as organizações que lidam com dados sensíveis ou em larga escala tenham uma supervisão adequada para cumprir com a GDPR. A designação do DPO nessas circunstâncias é uma medida preventiva que visa proteger os direitos dos indivíduos e assegurar que a organização opere dentro dos limites legais estabelecidos pelo regulamento.

O inciso 2 permite que um grupo empresarial designe um único DPO, desde que ele seja acessível a partir de todos os estabelecimentos, promovendo eficiência e centralização.

O segundo inciso permite que um grupo empresarial designe um único DPO para supervisionar a proteção de dados em todos os seus estabelecimentos, desde que esse DPO seja facilmente acessível por todos. Isso é particularmente relevante para grandes corporações que operam em várias localidades, pois permite uma abordagem centralizada e consistente para a proteção de dados em toda a organização. A acessibilidade do DPO é um aspecto crucial, pois ele deve estar disponível para fornecer orientação, responder a perguntas e lidar com questões de conformidade em qualquer um dos estabelecimentos do grupo empresarial. Essa disposição ajuda a garantir que, independentemente de onde as operações de tratamento de dados estejam sendo realizadas, a supervisão e a conformidade sejam mantidas de forma eficaz.

O inciso 3 permite que uma única autoridade pública ou organismo designe um DPO para várias entidades, considerando a estrutura organizacional e o tamanho, assegurando a flexibilidade na gestão de proteção de dados.

O terceiro inciso concede flexibilidade às autoridades públicas ou organismos no que diz respeito à designação de um DPO. Permite que uma única pessoa seja designada como DPO para várias autoridades ou organismos, desde que a estrutura organizacional e a dimensão dessas entidades sejam levadas em conta. Isso facilita a gestão da proteção de dados em setores onde múltiplas entidades estão envolvidas, como em níveis governamentais, onde diferentes departamentos ou agências podem operar sob uma supervisão unificada. Este arranjo é benéfico em termos de eficiência e consistência, pois permite uma abordagem coordenada para a proteção de dados em várias entidades, sem comprometer a eficácia da supervisão.

O inciso 4 especifica que, em situações não abrangidas pelo inciso 1, as organizações ainda podem designar um DPO de forma voluntária ou obrigatória, conforme exigido pelo direito da União ou dos Estados-Membros.

O quarto inciso oferece flexibilidade para que o responsável pelo tratamento ou o subcontratante, assim como associações ou organismos representativos, possam designar um DPO mesmo quando não for obrigatório segundo o inciso 1. Isso permite que organizações, que talvez não estejam legalmente obrigadas, escolham voluntariamente ter um DPO para garantir a conformidade e a proteção de dados dentro de suas operações. Além disso, o direito da União ou dos Estados-Membros pode impor essa designação, proporcionando um nível adicional de supervisão e controle. Esta disposição reconhece que, em muitos casos, a designação de um DPO pode ser benéfica para a organização, independentemente de ser uma exigência legal, promovendo uma cultura de responsabilidade e transparência na proteção de dados.

O inciso 5 permite que o DPO seja um funcionário da organização ou um prestador de serviços externo, oferecendo flexibilidade na forma como as organizações podem preencher essa função.

O quinto inciso esclarece que o DPO pode ser tanto um membro da equipe interna da organização quanto um prestador de serviços contratado externamente. Esta flexibilidade é importante, pois permite que as organizações escolham a melhor maneira de preencher essa função de acordo com suas necessidades e recursos. Para algumas organizações, pode ser mais vantajoso ter um DPO interno que compreenda profundamente a cultura e as operações da empresa. Para outras, contratar um DPO externo pode proporcionar uma visão independente e especializada. Independentemente da escolha, o objetivo é garantir que a função do DPO seja cumprida de maneira eficaz, com a devida competência e independência necessárias para supervisionar a conformidade com a GDPR.

O inciso 6 exige que as organizações publiquem os dados de contato do DPO e os comuniquem à autoridade de controle, promovendo transparência e acessibilidade.

O sexto inciso impõe a obrigação de que o responsável pelo tratamento ou o subcontratante torne públicos os dados de contato do DPO e os comunique à autoridade de controle. Essa transparência é fundamental para assegurar que o DPO esteja acessível tanto para os titulares dos dados quanto para as autoridades de supervisão. Publicar os dados de contato do DPO facilita o exercício dos direitos dos titulares dos dados e permite que as autoridades de controle saibam quem é o ponto de contato responsável pela supervisão das práticas de proteção de dados dentro da organização. Este requisito sublinha a importância da visibilidade e da acessibilidade do DPO, reforçando seu papel como uma figura central na proteção de dados pessoais.

CONSIDERAÇÕES FINAIS

O Artigo 37 da GDPR delineia claramente as circunstâncias em que a designação de um Encarregado de Proteção de Dados é obrigatória, garantindo que as organizações que realizam operações de tratamento de dados significativas estejam sob uma supervisão especializada. A abordagem detalhada deste artigo visa assegurar que as organizações entendam a importância do DPO e a forma como ele deve ser integrado na estrutura organizacional, seja como um funcionário interno ou um consultor externo.

Através da explicação dos incisos, fica evidente que o papel do DPO é essencial para garantir a conformidade contínua com a GDPR, oferecendo uma camada adicional de proteção para os dados pessoais em um mundo cada vez mais digitalizado. A flexibilidade proporcionada para a designação de um DPO, seja em um grupo empresarial, uma autoridade pública ou outras organizações, reflete a adaptação da GDPR às diferentes necessidades e estruturas organizacionais.

Em suma, o Artigo 37 serve como um guia crucial para as organizações, ajudando-as a compreender quando e como devem designar um DPO, garantindo que suas operações de tratamento de dados sejam realizadas de acordo com os mais altos padrões de proteção de dados, em benefício tanto das organizações quanto dos titulares dos dados.

CONCLUSÃO

O Artigo 37 da GDPR especifica quando é obrigatório designar um Encarregado de Proteção de Dados (DPO) dentro de uma organização para garantir conformidade com a legislação de proteção de dados. Um DPO deve ser nomeado se o tratamento de dados for realizado por autoridades públicas, se envolver monitoramento regular e sistemático em grande escala dos titulares de dados, ou se incluir tratamento em larga escala de categorias especiais de dados ou relacionados a condenações penais.

Esse artigo assegura supervisão adequada nas organizações que lidam com dados sensíveis ou em larga escala, fundamental para proteger os direitos dos indivíduos e garantir operações dentro dos limites legais. Um DPO pode ser um membro interno da organização ou um prestador externo de serviços, oferecendo flexibilidade na forma de preenchimento dessa função.

Grupos empresariais podem designar um único DPO para todos os seus estabelecimentos, contanto que ele seja facilmente acessível. Além disso, uma única pessoa pode ser DPO para várias autoridades se a estrutura organizacional permitir. Mesmo quando não for obrigatório, a designação de um DPO pode ser feita de forma voluntária ou conforme exigência da União ou dos Estados-Membros.

O DPO deve ser acessível, com seus dados de contato publicados e informados à autoridade de controle, promovendo transparência e acessibilidade. O artigo também destaca a importância da integração do DPO na organização, seja internamente ou como consultor externo, para garantir conformidade contínua com a GDPR, protegendo dados pessoais e reforçando responsabilidade e transparência nas operações de tratamento de dados.

» CLIQUE PARA ACESSAR O AMBIENTE DE PESQUISA «