Resposta

O princípio da responsabilidade é um dos pilares que sustentam o Regulamento Geral sobre a Proteção de Dados (RGPD). De acordo com o RGPD, uma empresa/organização deve ser responsável por cumprir todos os princípios da proteção de dados e também por demonstrar esse cumprimento. O RGPD oferece às empresas/organizações um conjunto de instrumentos, alguns dos quais obrigatórios, que lhes permitem demonstrar a sua responsabilidade.

Por exemplo, em casos específicos, a nomeação de um EPD ou a realização de avaliações de impacto da proteção de dados (AIPD) podem ser obrigatórias. Os responsáveis pelo tratamento podem optar por utilizar outros instrumentos, como códigos de conduta e procedimentos de certificação, para demonstrar a conformidade com os princípios da proteção de dados.

A sua organização pode aderir a um código de conduta elaborado por uma associação empresarial que tenha sido aprovado por uma APD. Pode ser atribuída validade à escala da UE a um código de conduta através de um ato de execução da Comissão.

A sua organização pode aderir a um procedimento de certificação operado por um dos organismos de certificação acreditados por uma APD, por um organismo de acreditação nacional ou por ambos, conforme previsto na legislação de cada Estado-Membro da UE.

Tanto os códigos de conduta como a certificação são instrumentos opcionais, pelo que cabe à sua empresa/organização decidir se pretende aderir a um determinado código de conduta ou solicitar uma certificação. Embora a sua empresa/organização continue a ter de respeitar e cumprir o RGPD, a adesão a estes instrumentos pode ser tida em consideração no caso de uma medida de execução adotada contra a sua organização por violação do RGPD.

Exemplo

O organismo de cúpula das seguradoras do seu Estado-Membro propôs um código de conduta que foi aprovado pela autoridade de supervisão. Várias companhias de seguros rivais aderiram ao código. Embora seja voluntária, a adesão ao código ajuda a demonstrar a conformidade com o RGPD.

Referências

  • Artigo 24.º, artigos 40.º a 43.º e artigo  83.º e considerandos 98, 99, 100, 148, 150, 151 do RGPD