Siden offentliggørelsen af den generelle databeskyttelseslov, i 2018, der var store forventninger til reguleringen af DPO'ens (den berømte "DPO") rolle. Normen blev endelig offentliggjort i juli 2024 af den Nationale Databeskyttelsesmyndighed – ANPD (Resolução CD/ANPD nº 18, den 16. juli 2024, bringer meget vigtige punkter om udnævnelsen af den ansvarlige, dine pligter og lovmæssige opgaver, og om interessekonflikter
Indledningsvis, vi skal huske, at udnævnelsen af en DPO kun ikke er obligatorisk for mikrovirksomheder, små virksomheder ogstartups – de såkaldte "små behandlingsagenter". Men, hvis virksomheden udfører aktiviteter med høj risiko for personoplysninger (med intensiv brug af data, behandling af data, der kan påvirke grundlæggende rettigheder, eller gennem nye eller innovative teknologier – sagen om Kunstig Intelligens, for eksempel, skal udpege en DPO, selvom det betragtes som en lille aktør – ogentlighedvurderingudført af en specialiseret juridisk rådgivning
For virksomheder, der er forpligtet til at udpege en databeskyttelsesansvarlig, der er forskellige forholdsregler, der skal overholdes for at opfylde de nye regler udstedt af ANPD. Den første af disse foranstaltninger vedrører selve måden, hvorpå DPO'en udnævnes. Ifølge det nye system, det er obligatorisk, at udnævnelsen sker ved hjælp af et skriftligt dokument, dateret og underskrevet – dokument, der skal præsenteres for ANPD, hvis der anmodes om det. Disse formaliteter skal også overholdes ved udpegningen af den stedfortræder, der vil fungere i DPO'ens fravær (som ferie eller fravær af sundhedsmæssige årsager). ANPD's anbefaling er, at denne "formelle handling" skal være, for eksempel, en en kontrakt om levering af tjenester (hvis DPO'en er ekstern til organisationen), men kan også ske ved tillæg til ansættelseskontrakten, hvis den ansvarlige er en medarbejder, der arbejder under CLT-regimet
Derudover, virksomheden skal "etablere de nødvendige faglige kvalifikationer for udførelsen af opgaverne for den ansvarlige", hvad der også anbefales at blive gjort gennem en formel handling (som en intern politik), sikrer dermed at en person med passende viden om beskyttelse af personoplysninger og informationssikkerhed bliver udnævnt
Et meget vigtigt punkt i den nye regulering, for øvrigt, det er hvad der tillader, at DPO'en både kan være en fysisk person (og kan være en del af virksomhedens medarbejderstab, eller ekstern til hende) som juridisk person, afslutning af en tvivl vedrørende virksomheder, der er specialiseret iDPO som en service.
Uanset den juridiske natur af DPO'en, reglen kræver, at din identitet og dine kontaktoplysninger offentliggøres korrekt (helst på virksomhedens hjemmeside), med angivelse af det fulde navn (hvis fysisk person) eller virksomhedsnavn og navnet på den ansvarlige fysiske person (i tilfælde af juridisk person); udover minimale kontaktoplysninger (som e-mail og telefon), som tillader modtagelse af kommunikationer fra indehavere eller fra ANPD
Med hensyn til DPO'ens aktiviteter, normen bringer en række nye opgaver, især for at yde assistance og vejledning til virksomhedens ledelse om
Jeg – registrering og kommunikation af sikkerhedshændelse
II – registrering af behandling af personoplysninger
III – rapport om indvirkning på beskyttelse af personoplysninger
IV – interne overvågnings- og risikoreduktionsmekanismer vedrørende behandling af personoplysninger
V – sikkerhedsforanstaltninger, teknikker og administrative, egnet til at beskytte personlige data mod uautoriseret adgang og mod utilsigtede eller ulovlige destruktionssituationer, tabt, ændring, kommunikation eller enhver form for upassende eller ulovlig behandling
VI – processer og interne politikker, der sikrer overholdelse af lov nr. 13.709, den 14. august 2018, og og reglerne og retningslinjerne fra ANPD
VII – kontraktlige instrumenter, der regulerer spørgsmål relateret til behandling af personoplysninger
VIII – international data transfers
IX – regler for god praksis og governance samt program for governance i privatliv, i henhold til art. 50 i henhold til lov nr. 13.709, den 14. august 2018
X – produkter og tjenester, der anvender designstandarder, der er i overensstemmelse med de principper, der er fastsat i LGPD, inklusive privatlivets beskyttelse som standard og begrænsning af indsamlingen af personoplysninger til det minimum, der er nødvendigt for at opfylde deres formål; og
XI – andre aktiviteter og strategiske beslutninger vedrørende behandling af personoplysninger
Det konstateres, at der har været en stor udvidelse af DPO'ens ansvar, så valget nødvendigvis må falde på en kvalificeret professionel, ikke længere muligt at praktisere det almindelige at navngive en intern medarbejder "af simpel formalitet". Sådan, det bliver endnu mere interessant, at virksomheder overvejer at ansætte en ekstern DPO, især når der ikke er en medarbejder i sin egen medarbejderstab med den kvalifikation eller tilgængelighed til at udføre opgaverne som ansvarlig
Tilgængeligheden, for øvrigt, det er en anden vigtig faktor at overveje ved udnævnelsen af DPO'en. De nye regler kræver, at den ansvarlige skal undgå enhver interessekonflikt, som kan opstå, når man udfører andre funktioner internt i virksomheden, eller når man akkumulerer funktioner som leder med dem, der er relateret til strategiske beslutninger inden for organisationen
Derfor, det er altid anbefalelsesværdigt, at DPO'en kan dedikere sig udelukkende til aktiviteter relateret til beskyttelse af personoplysninger (især når der er et stort volumen af personoplysninger behandlet af virksomheden), for at minimere risikoen for interessekonflikter mest muligt – hvad der kan føre til pålæggelse af bøder eller andre sanktioner til virksomheden, hvis det opdages af ANPD
Endelig, det er altid vigtigt at understrege at, selvom der er udnævnt en DPO, den, der er ansvarlig for behandlingen og beskyttelsen af personoplysninger, er virksomheden, det vil sige: i tilfælde af fejl i DPO'ens handlinger, det er organisationen – og ikke den navngivne person – som vil svare for bøder eller erstatninger som følge af misbrug af personoplysninger. Sådan, valget af den ansvarlige skal foretages med stor omhu, og helst med den nødvendige juridiske støtte for at sikre, at det sker i overensstemmelse med LGPD og ANPD's regler
