Seit der Veröffentlichung des Allgemeinen Datenschutzgesetzes, im Jahr 2018, es gab große Erwartungen an die Regulierung der Tätigkeit des Datenschutzbeauftragten (des berühmten "DPO"). Die Norm wurde schließlich im Juli 2024 von der Nationalen Datenschutzbehörde veröffentlicht – ANPD (Resolução CD/ANPD nº 18, vom 16. Juli 2024, wichtige Punkte zur Ernennung des Beauftragten, ihre Pflichten und gesetzlichen Aufgaben, und über Interessenkonflikte
Zunächst, wir sollten daran erinnern, dass die Ernennung eines DPO nur für Kleinstunternehmen nicht obligatorisch ist, kleine Unternehmen undStartups – die sogenannten „kleineren Behandlungsagenten“. Jedoch, falls das Unternehmen Aktivitäten mit hohem Risiko für personenbezogene Daten entwickelt (mit intensivem Einsatz von Daten, Datenverarbeitung, die grundlegende Rechte beeinträchtigen kann, oder durch aufkommende oder innovative Technologien – Fall der Künstlichen Intelligenz, zum Beispiel, muss einen DPO benennen, auch wenn er als kleines Unternehmen betrachtet wird – und das kann nur durch einBewertungdurch eine spezialisierte Rechtsberatung durchgeführt
Für Unternehmen, die verpflichtet sind, einen Datenschutzbeauftragten zu benennen, es gibt verschiedene Maßnahmen, die beachtet werden müssen, um die neuen von der ANPD erlassenen Regeln einzuhalten. Die erste dieser Maßnahmen betrifft die Art und Weise, wie der DSB ernannt wird. Durch die neue Systematik, es ist erforderlich, dass die Ernennung durch ein schriftliches Dokument erfolgt, datiert und unterschrieben – Dokument, das der ANPD vorgelegt werden muss, falls eine entsprechende Anfrage vorliegt. Diese Formalitäten müssen auch bei der Benennung des Vertreters beachtet werden, der in Abwesenheit des DPO (wie bei Urlaub oder Abwesenheit aus gesundheitlichen Gründen) tätig sein wird. Die Empfehlung der ANPD ist, dass dieser "formelle Akt" sein sollte, zum Beispiel, einen Dienstleistungsvertrag (falls der DPO extern zur Organisation ist), kann aber auch durch einen Zusatz zum Arbeitsvertrag erfolgen, falls der Verantwortliche ein Arbeitnehmer ist, der nach dem CLT-Regime tätig ist
Außerdem, das Unternehmen muss „die erforderlichen beruflichen Qualifikationen für die Ausübung der Aufgaben des Beauftragten festlegen“, was ebenfalls empfohlen wird, durch einen formellen Akt (wie eine interne Richtlinie) durchgeführt zu werden, so wird sichergestellt, dass eine Person mit angemessenem Wissen über den Schutz personenbezogener Daten und Informationssicherheit benannt wird
Ein sehr wichtiger Punkt der neuen Regelung, übrigens, es ist das, was es erlaubt, dass der DPO sowohl eine natürliche Person sein kann (die Teil des Mitarbeiterstamms des Unternehmens sein kann, oder extern zu ihr) als juristische Person, Beendigung einer Frage bezüglich der Tätigkeit von spezialisierten Unternehmen inDPO als Dienstleistung.
Unabhängig von der rechtlichen Natur des DPO, Die Regel verlangt, dass Ihre Identität und Ihre Kontaktdaten angemessen offengelegt werden (vorzugsweise auf der Unternehmenswebsite), mit der Angabe des vollständigen Namens (bei natürlichen Personen) oder des Firmennamens und des Namens der verantwortlichen natürlichen Person (im Falle von juristischen Personen); neben minimalen Kontaktdaten (wie E-Mail und Telefon), die den Empfang von Mitteilungen von Betroffenen oder der ANPD ermöglichen
In Bezug auf die Aktivitäten des DPO, die Norm bringt eine Reihe neuer Aufgaben mit sich, insbesondere um Unterstützung und Beratung für die Unternehmensführung zu leisten über
Ich – Registrierung und Kommunikation von Sicherheitsvorfällen
II – Verzeichnis der Verarbeitungstätigkeiten personenbezogener Daten
III – Bericht über die Auswirkungen auf den Schutz personenbezogener Daten
IV – interne Überwachungs- und Risikominderungsmechanismen im Zusammenhang mit der Verarbeitung personenbezogener Daten
V – Sicherheitsmaßnahmen, technische und administrative, geeignet, um persönliche Daten vor unbefugtem Zugriff sowie vor zufälliger oder rechtswidriger Zerstörung zu schützen, Verlust, Änderung, Kommunikation oder jede Form von unangemessener oder illegaler Behandlung
VI – Prozesse und interne Richtlinien, die die Einhaltung des Gesetzes Nr. 13 gewährleisten.709, 14. August 2018, und der Vorschriften und Richtlinien der ANPD
VII – Verträge, die Fragen im Zusammenhang mit der Verarbeitung personenbezogener Daten regeln
VIII – internationale Datenübertragungen
IX – Regeln für bewährte Praktiken und Governance sowie Programme zur Governance in der Privatsphäre, gemäß den Bestimmungen des Art. 50 des Gesetzes Nr. 13.709, 14. August 2018
X – Produkte und Dienstleistungen, die Designstandards anwenden, die mit den in der LGPD vorgesehenen Prinzipien kompatibel sind, einschließlich des Datenschutzes durch Voreinstellung und der Begrenzung der Erhebung personenbezogener Daten auf das notwendige Minimum zur Erreichung ihrer Zwecke; Und
XI – andere Aktivitäten und strategische Entscheidungen bezüglich der Verarbeitung personenbezogener Daten
Es wird festgestellt, dass es eine große Erweiterung der Verantwortlichkeiten des DPO gegeben hat, so dass die Wahl unbedingt auf einen qualifizierten Fachmann fallen muss, nicht mehr möglich, einen internen Mitarbeiter "aus reiner Formsache" zu benennen. So, es wird noch interessanter, dass Unternehmen die Einstellung eines externen DPO in Betracht ziehen, insbesondere wenn es in Ihrem eigenen Mitarbeiterstab keinen Mitarbeiter mit der Qualifikation oder Verfügbarkeit für die Ausübung der Aufgaben des Beauftragten gibt
Die Verfügbarkeit, übrigens, es ist ein weiterer wichtiger Faktor, der bei der Ernennung des DPO analysiert werden muss. Die neuen Regeln verlangen, dass der Beauftragte jegliche Interessenkonflikte vermeiden muss, die entstehen können, wenn man intern im Unternehmen andere Funktionen ausübt, oder wenn Funktionen des Verantwortlichen mit solchen verbunden sind, die strategische Entscheidungen innerhalb der Organisation betreffen
Deshalb, Es ist immer ratsam, dass der DPO sich ausschließlich den Aktivitäten zum Schutz personenbezogener Daten widmen kann (insbesondere wenn ein großes Volumen an personenbezogenen Daten von dem Unternehmen verarbeitet wird), um das Risiko von Interessenkonflikten so weit wie möglich zu minimieren – was zu Geldstrafen oder anderen Sanktionen gegen das Unternehmen führen kann, falls es von der ANPD erkannt wird
Endlich, es ist immer wichtig zu betonen dass, auch wenn ein DPO benannt wird, verantwortlich für die Verarbeitung und den Schutz personenbezogener Daten ist das Unternehmen, das heißt: im Falle von Mängeln in der Tätigkeit des DPO, es ist die Organisation – und nicht die benannte Person – der für Bußgelder oder Entschädigungen aufgrund des Missbrauchs personenbezogener Daten verantwortlich ist. So, Die Wahl des Beauftragten sollte mit großer Sorgfalt getroffen werden, und vorzugsweise mit der notwendigen rechtlichen Unterstützung, um sicherzustellen, dass es in Übereinstimmung mit der LGPD und den Regeln der ANPD erfolgt
