Die Nationale Datenschutzbehörde (ANPD) hat die neuen Richtlinien für die Rolle des Datenschutzbeauftragten festgelegt. Die Resolution CD/ANPD 18, veröffentlicht am 16. Juli 2024, legt klar die Verantwortlichkeiten und Erwartungen für diesen wesentlichen Fachmann im brasilianischen Szenario fest.
Die Verordnung legt relevante Fragen fest und bekräftigt bereits im Datenschutz-Grundgesetz (LGPD) angesprochene Punkte in Bezug auf die Frage, wer die Rolle des Datenschutzbeauftragten übernehmen kann, die Pflichten von Organisationen, die Anforderungen für die Ernennung und Qualifikation des Datenschutzbeauftragten sowie die Notwendigkeit, eine transparente und effiziente Kommunikation mit der ANPD und den betroffenen Personen aufrechtzuerhalten.
Für die Anwältin Camila Camargo, Beraterin bei Andersen Ballão Advocacia, „ist es von entscheidender Bedeutung, dass der Manager mit der notwendigen technischen Autonomie und dem Zugang zur Geschäftsleitung der Organisation handelt. Das Unternehmen muss andererseits sicherstellen, dass der Manager über die notwendigen Ressourcen verfügt, um seine Aufgaben effektiv erfüllen zu können. In diesem Szenario erinnern wir uns an die früheren Richtlinien der ANPD zur Bedeutung eines multidisziplinären Ausschusses zur Unterstützung der verantwortlichen Person.“
Ein weiterer Punkt, der in der Resolution hervorgehoben wird, ist, dass die Organisation den Datenschutzbeauftragten durch eine formale Maßnahme benennen muss, seine Verantwortlichkeiten dokumentiert und die Verfügbarkeit eines Stellvertretenden Datenschutzbeauftragten im Falle von Abwesenheit oder Verhinderung des Hauptbeauftragten gewährleistet. Darüber hinaus ist es verpflichtend, die Kontaktdaten des Datenschutzbeauftragten öffentlich bekannt zu machen, um die Kommunikation in Bezug auf Datenschutzfragen zu erleichtern.
Die Verordnung betont außerdem, dass der Verantwortliche in der Lage sein muss, klar und präzise mit der ANPD und den Dateninhabern zu kommunizieren, wobei keine spezifische Zertifizierung für die Position erforderlich ist. Diese Bestimmungen eröffnen Raum für Fälle, in denen das Unternehmen einen Datenschutzbeauftragten (DPO) benennen möchte, der im Namen des Wirtschaftskonzerns tätig ist, auch wenn er sich außerhalb Brasiliens befindet, solange eine effektive Kommunikation in portugiesischer Sprache gewährleistet ist.
Rechtsanwältin Camila Camargo betrachtet die Verabschiedung der Verordnung als einen erwarteten und wichtigen Meilenstein, um die Bedeutung der Person des Datenschutzbeauftragten im Rahmen des Datenschutz-Governance-Programms zu steigern, und betont, dass die Ernennung eine obligatorische Maßnahme für Unternehmen sei, um das LGPD einzuhalten und darüber hinaus ein verantwortungsvolles und transparentes Management hinsichtlich des Schutzes personenbezogener Daten zu gewährleisten.
