منذ نشر قانون حماية البيانات العامة, في عام 2018, كان هناك الكثير من التوقعات بشأن تنظيم عمل مسؤول معالجة البيانات (المعروف باسم "DPO"). تم نشر المعيار أخيرًا في شهر يوليو من عام 2024 بواسطة الهيئة الوطنية لحماية البيانات – ANPD (Resolução CD/ANPD nº 18, من 16 يوليو 2024, تقديم نقاط مهمة جدًا حول تعيين المسؤول, واجباتك وحقوقك القانونية, و关于冲突的利益
في البداية, يجب أن نتذكر أن تعيين مسؤول حماية البيانات ليس إلزاميًا إلا للمؤسسات الصغيرة جدًا, شركات صغيرة والشركات الناشئة – ما يسمى بـ "وكلاء المعالجة صغيرة الحجم". ومع ذلك, إذا كانت الشركة تقوم بأنشطة عالية المخاطر على البيانات الشخصية (مع الاستخدام المكثف للبيانات, معالجة البيانات التي قد تؤثر على الحقوق الأساسية, أو من خلال تقنيات ناشئة أو مبتكرة – حالة الذكاء الاصطناعي, على سبيل المثال, يجب تعيين مسؤول حماية البيانات حتى لو اعتُبرت وكيلًا صغيرًا – ولا يمكن اكتشاف ذلك إلا من خلالتقديرتم بواسطة استشارة قانونية متخصصة
بالنسبة للشركات الملزمة بتعيين مسؤول, هناك العديد من الاحتياطات التي يجب مراعاتها من أجل الامتثال للقواعد الجديدة التي وضعتها ANPD. يتعلق أول هذه الاحتياطات بالطريقة التي يتم بها تعيين مسؤول حماية البيانات. بموجب النظام الجديد, من الضروري أن يتم التعيين من خلال وثيقة مكتوبة, مؤرخ وموقع – وثيقة يجب تقديمها إلى ANPD في حال وجود طلب بهذا المعنى. يجب أيضًا مراعاة هذه الإجراءات عند تعيين البديل الذي سيعمل في غياب مسؤول حماية البيانات (مثل الإجازات أو الانقطاع بسبب مسائل صحية). توصية ANPD هي أن يكون هذا "الفعل الرسمي", على سبيل المثال, عقد تقديم خدمات (في حال كان مسؤول حماية البيانات خارجيًا عن المنظمة), ولكن يمكن أيضًا أن يتم ذلك من خلال ملحق لعقد العمل إذا كان المسؤول موظفًا يعمل وفقًا لنظام CLT
بالإضافة إلى ذلك, يجب على الشركة "تحديد المؤهلات المهنية اللازمة لأداء مهام المسؤول", ما يُوصى أيضًا أن يتم من خلال إجراء رسمي (مثل سياسة داخلية), مما يضمن تعيين شخص لديه معارف مناسبة حول حماية البيانات الشخصية وأمن المعلومات
نقطة مهمة جدًا في اللوائح الجديدة, بالمناسبة, هو ما يخول أن يكون مسؤول حماية البيانات شخصًا طبيعيًا (يمكن أن يكون جزءًا من طاقم موظفي الشركة, أو خارجيًا عنها) سواء كانت شخصًا اعتباريًا, إنهاء شك بشأن دور الشركات المتخصصة فيمسؤول حماية البيانات كخدمة.
بغض النظر عن الطبيعة القانونية لموظف حماية البيانات, القاعدة تتطلب أن يتم الكشف عن هويتك ومعلومات الاتصال الخاصة بك بشكل مناسب (يفضل أن يكون ذلك على موقع الشركة), مع ذكر الاسم الكامل (إذا كانت شخصًا طبيعيًا) أو الاسم التجاري واسم الشخص الطبيعي المسؤول (في حالة الكيان القانوني); بالإضافة إلى معلومات الاتصال الأساسية (مثل البريد الإلكتروني والهاتف), التي تسمح بتلقي الاتصالات من أصحاب الحقوق أو من الهيئة الوطنية لحماية البيانات
فيما يتعلق بأنشطة مسؤول حماية البيانات, تقدم القاعدة مجموعة من المهام الجديدة, بشكل ملحوظ لتقديم المساعدة والإرشاد لقيادة الشركة حول
أنا – تسجيل وإبلاغ عن حادث أمني
II – سجل عمليات معالجة البيانات الشخصية
ثالثا – تقرير تأثير على حماية البيانات الشخصية
الرابع – آليات داخلية للإشراف والتخفيف من المخاطر المتعلقة بمعالجة البيانات الشخصية
V – إجراءات الأمان, تقنيات وإدارية, قادرة على حماية البيانات الشخصية من الوصول غير المصرح به ومن الحالات العرضية أو غير القانونية للتدمير, فقدان, تغيير, التواصل أو أي شكل من أشكال المعاملة غير المناسبة أو غير القانونية
VI – العمليات والسياسات الداخلية التي تضمن الامتثال للقانون رقم 13.709, 14 أغسطس 2018, وأنظمة وتوجيهات الهيئة الوطنية لحماية البيانات
السابع – أدوات تعاقدية تنظم القضايا المتعلقة بمعالجة البيانات الشخصية
الثامن – نقل البيانات الدولية
تسعة – قواعد الممارسات الجيدة والحوكمة وبرنامج الحوكمة في الخصوصية, بموجب المادة. 50 من القانون رقم 13.709, 14 أغسطس 2018
إكس – المنتجات والخدمات التي تتبنى معايير تصميم تتوافق مع المبادئ المنصوص عليها في قانون حماية البيانات الشخصية, بما في ذلك الخصوصية كمعيار والحد من جمع البيانات الشخصية إلى الحد الأدنى اللازم لتحقيق أغراضها; و
الحادي عشر – أنشطة أخرى واتخاذ قرارات استراتيجية تتعلق بمعالجة البيانات الشخصية
يتبين أنه كان هناك توسع كبير في مسؤوليات مسؤول حماية البيانات, لذا يجب أن يقع الاختيار بالضرورة على محترف مؤهل, لم يعد من الممكن ممارسة التسمية الشائعة لموظف داخلي "بدافع من مجرد الشكل". هكذا, يصبح من المثير للاهتمام أكثر أن تقوم الشركات بتقييم توظيف مسؤول حماية البيانات خارجي, خصوصًا عندما لا يوجد في طاقم موظفيها موظف مؤهل أو متاح لأداء مهام المسؤول
التوافر, بالمناسبة, إنه عامل آخر مهم يجب تحليله عند تعيين مسؤول حماية البيانات. تتطلب القواعد الجديدة أن يتجنب المسؤول أي تضارب في المصالح, التي يمكن أن تظهر عند ممارسة وظائف أخرى داخليًا في الشركة, أو عندما تتراكم مهام المسؤول مع تلك المتعلقة بالقرارات الاستراتيجية داخل المنظمة
لذلك, من المستحسن دائمًا أن يتمكن مسؤول حماية البيانات من تخصيص نفسه بالكامل للأنشطة المتعلقة بحماية البيانات الشخصية (خاصة عندما يكون هناك حجم كبير من البيانات الشخصية التي تعالجها الشركة), من أجل تقليل مخاطر تضارب المصالح إلى الحد الأدنى – ما قد يؤدي إلى فرض غرامات أو عقوبات أخرى على الشركة, في حال تم اكتشافه من قبل ANPD
أخيرًا, من المهم دائمًا التأكيد على أن, حتى لو تم تعيين مسؤول حماية البيانات, الشركة هي المسؤولة عن معالجة وحماية البيانات الشخصية, أي أنه: في حالة حدوث إخفاقات في أداء مسؤول حماية البيانات, إنها المنظمة – وليس الشخص المسمى – الذي سيجيب عن الغرامات أو التعويضات الناتجة عن سوء استخدام البيانات الشخصية. هكذا, يجب أن يتم اختيار المسؤول بعناية كبيرة, ويفضل أن يكون ذلك بدعم قانوني ضروري لضمان حدوثه وفقًا لقانون حماية البيانات العامة وقواعد الهيئة الوطنية لحماية البيانات
