منذ إصدار قانون حماية البيانات العامة في عام 2018، كانت هناك توقعات كبيرة بشأن تنظيم دور مسؤول معالجة البيانات (المعروف باسم "DPO"). تم نشر المعيار أخيرًا في يوليو 2024 من قبل السلطة الوطنية لحماية البيانات – ANPD (قرار مجلس الإدارة / ANPD رقم 18، بتاريخ 16 يوليو 2024)، متضمنًا نقاطًا مهمة جدًا حول تعيين المسؤول، واجباته، وصلاحياته القانونية، وحول تضارب المصالح.
في البداية، يجب أن نتذكر أن تعيين مسؤول حماية البيانات ليس إلزاميًا بالنسبة للمؤسسات الصغيرة والمتوسطة والكبيرة.الشركات الناشئةالمعروفون باسم "وكلاء المعالجة الصغيرة الحجم". ومع ذلك، إذا قامت الشركة بأنشطة عالية المخاطر على البيانات الشخصية (باستخدام مكثف للبيانات، أو معالجة البيانات التي قد تؤثر على الحقوق الأساسية، أو من خلال تقنيات ناشئة أو مبتكرة – مثل الذكاء الاصطناعي، على سبيل المثال)، يجب عليها تعيين مسؤول حماية البيانات (DPO) حتى لو كانت تعتبر جهة صغيرة الحجم – ولا يمكن اكتشاف ذلك إلا من خلال عملية تقييم مناسبةتقديريتم تنفيذها من قبل مكتب استشارات قانونية متخصص.
بالنسبة للشركات الملزمة بتعيين مسؤول، هناك العديد من الاحتياطات التي يجب مراعاتها من أجل الامتثال للقواعد الجديدة التي أصدرتها الهيئة الوطنية لحماية البيانات (ANPD). الأول من هذه الاحتياطات يتعلق بشكل تعيين مسؤول حماية البيانات نفسه. وفقًا للنظام الجديد، من الضروري أن يتم التعيين من خلال وثيقة مكتوبة ومؤرخة وموقعة - ويجب تقديم هذه الوثيقة إلى الهيئة الوطنية لحماية البيانات الشخصية (ANPD) في حال الطلب بذلك. يجب أيضًا الالتزام بهذه الإجراءات عند تحديد البديل الذي سيعمل في غياب مسؤول حماية البيانات (مثل الإجازات أو الإعفاءات لأسباب صحية). توصية الهيئة الوطنية لحماية البيانات الشخصية (ANPD) هي أن يكون هذا "الفعل الرسمي"، على سبيل المثال، عقد تقديم خدمات (في حالة كان مسؤول حماية البيانات خارجيًا عن المنظمة)، ولكنه يمكن أن يتم أيضًا من خلال ملحق لعقد العمل إذا كان المسؤول موظفًا يعمل بموجب نظام العمل في البرازيل (CLT).
علاوة على ذلك، يجب على الشركة "إنشاء المؤهلات المهنية اللازمة لأداء واجبات الشخص المسؤول"، وهو ما يوصى أيضًا بأن يتم من خلال قانون رسمي (مثل سياسة داخلية)، وبالتالي ضمان تعيين شخص لديه معرفة كافية بحماية البيانات الشخصية وأمن المعلومات.
إن النقطة المهمة للغاية في اللائحة الجديدة، في الواقع، هي أنها تسمح بأن يكون مسؤول حماية البيانات إما شخصًا طبيعيًا (قد يكون جزءًا من موظفي الشركة، أو من خارجها) أو كيانًا قانونيًا، مما يضع حدًا للشك بشأن أداء الشركات المتخصصة فيمسؤول حماية البيانات كخدمة.
وبغض النظر عن الطبيعة القانونية لمسؤول حماية البيانات، فإن القاعدة تتطلب الكشف عن هويته ومعلومات الاتصال الخاصة به بشكل مناسب (يفضل أن يكون ذلك على موقع الشركة على الويب)، مع الإشارة إلى الاسم الكامل (إذا كان شخصًا طبيعيًا) أو اسم الشركة واسم الشخص الطبيعي المسؤول (في حالة الكيان القانوني)؛ بالإضافة إلى الحد الأدنى من معلومات الاتصال (مثل البريد الإلكتروني والهاتف)، مما يسمح بتلقي الاتصالات من حاملي البطاقة أو مدير البطاقة.
وفيما يتعلق بأنشطة مسؤول حماية البيانات، فإن المعيار يجلب سلسلة من الصلاحيات الجديدة، ولا سيما تقديم المساعدة والتوجيه لقيادة الشركة بشأن:
أ- تسجيل الحوادث الأمنية والإبلاغ عنها؛
II - سجل عمليات معالجة البيانات الشخصية؛
ثالثا - تقرير عن الأثر على حماية البيانات الشخصية؛
رابعا - الآليات الداخلية لمراقبة وتخفيف المخاطر المتعلقة بمعالجة البيانات الشخصية؛
V - التدابير الأمنية الفنية والإدارية القادرة على حماية البيانات الشخصية من الوصول غير المصرح به والتدمير العرضي أو غير القانوني أو الفقدان أو التغيير أو الاتصال أو أي شكل من أشكال المعالجة غير الكافية أو غير القانونية؛
السادس - العمليات والسياسات الداخلية التي تضمن الامتثال للقانون رقم 13709، الصادر في 14 أغسطس 2018، واللوائح والمبادئ التوجيهية للهيئة الوطنية لإدارة الطوارئ؛
7 - الأدوات التعاقدية التي تنظم القضايا المتعلقة بمعالجة البيانات الشخصية؛
ثامناً - نقل البيانات الدولية؛
IX - قواعد الممارسات الجيدة وبرنامج حوكمة وحوكمة الخصوصية، وفقًا للمادة. 50 من القانون رقم 13709، بتاريخ 14 أغسطس 2018؛
X - المنتجات والخدمات التي تعتمد معايير التصميم المتوافقة مع المبادئ المنصوص عليها في قانون حماية البيانات العامة، بما في ذلك الخصوصية بشكل افتراضي والحد من جمع البيانات الشخصية إلى الحد الأدنى الضروري لتحقيق أغراضها؛ و
XI - الأنشطة الأخرى واتخاذ القرارات الاستراتيجية فيما يتعلق بمعالجة البيانات الشخصية.
يتبين أن هناك توسعًا كبيرًا في مسؤوليات مسؤول حماية البيانات، بحيث يجب أن يكون الاختيار حتميًا على محترف مؤهل، ولم يعد من الممكن ممارسة التعيين الداخلي لموظف "للفراغ فقط". لذلك، يصبح من الأكثر إثارة للاهتمام أن تقوم الشركات بتقييم توظيف مسؤول حماية البيانات خارجي، خاصة عندما لا يوجد في صفوف موظفيها موظف يمتلك المؤهلات أو التوفر لأداء مهام المسؤول.
الوفرة، بالمناسبة، هي عامل آخر مهم يجب تحليله عند تعيين مسؤول حماية البيانات. تتطلب القواعد الجديدة أن يتجنب المسؤول أي تضارب في المصالح، والذي قد ينشأ عندما يؤدي وظائف أخرى داخل الشركة، أو عندما يجمع بين وظيفة المسؤول وتلك المتعلقة بالقرارات الاستراتيجية داخل المنظمة.
لذلك، يوصى دائمًا بأن يتمكن مسؤول حماية البيانات من تكريس نفسه حصريًا للأنشطة المتعلقة بحماية البيانات الشخصية (خاصةً عندما يكون هناك حجم كبير من البيانات الشخصية التي تعالجها الشركة)، من أجل تقليل مخاطر تضارب المصالح - مما قد يؤدي إلى تطبيق غرامات أو عقوبات أخرى على الشركة، إذا تم اكتشافها من قبل إدارة حماية البيانات الشخصية.
وفي النهاية، من المهم دائمًا التأكيد على أنه، على الرغم من تعيين مسؤول حماية البيانات (DPO)، فإن الشركة هي المسؤولة عن معالجة وحماية البيانات الشخصية، أي أنه في حالة حدوث أخطاء في أداء مسؤول حماية البيانات، فإن المؤسسة – وليس الشخص المعين – هي التي ستتحمل المسؤولية عن الغرامات أو التعويضات الناتجة عن سوء استخدام البيانات الشخصية. لذا، يجب أن يتم اختيار المسؤول بعناية كبيرة، ويفضل أن يكون بدعم قانوني ضروري لضمان أن يتم ذلك بما يتوافق مع اللائحة العامة لحماية البيانات (LGPD) وقواعد الهيئة الوطنية لحماية البيانات (ANPD).
