A Autoridade Belga de Proteção de Dados (DPA) multou em 50 mil euros uma organização por não estar em conformidade com a obrigação de cooperar, nos termos do artigo 311, bem como por ter nomeado como Data Protection Officer (DPO) o diretor de um departamento interno, violando o artigo 38 (6), ambos do RGPD.2
A decisão aponta que o DPO designado trabalhava como diretor dos departamentos de auditoria interna, gerenciando riscos e o compliance da companhia. A organização argumentou que a natureza do cargo era consultiva.
De todo modo, de acordo com a decisão da autoridade, o DPO não teria se engajado nas discussões sobre violações de dados pessoais, além da organização não possuir uma política para impedir conflitos de interesse.
Portanto, a autoridade concluiu que a função de DPO, no caso em questão, não podia ser exercida de forma independente, caracterizando conflito de interesses.
Referências
- Cooperação com a autoridade de controlo: Artigo 31.º: O responsável pelo tratamento e o subcontratante e, sendo caso disso, os seus representantes cooperam com a autoridade de controlo, a pedido desta, na prossecução das suas atribuições. ↩
- Posição do encarregado da proteção de dados: Artigo 38.º (6): O encarregado da proteção de dados pode exercer outras funções e atribuições. O responsável pelo tratamento ou o subcontratante assegura que essas funções e atribuições não resultam num conflito de interesses. ↩