Desde la publicación de la Ley General de Protección de Datos, en 2018, había muchas expectativas sobre la regulación de la actuación del Encargado del Tratamiento de Datos (el famoso “DPO”). La norma fue finalmente publicada en el mes de julio de 2024 por la Autoridad Nacional de Protección de Datos – ANPD (Resolução CD/ANPD nº 18, de 16 de julio de 2024, trayendo puntos muy importantes sobre la designación del encargado, sus deberes y atribuciones legales, y sobre conflictos de intereses
Inicialmente, debemos recordar que la designación de un DPO solo no es obligatoria para microempresas, empresas de pequeño tamaño yempresas emergentes – los llamados “agentes de tratamiento de pequeño porte”. Sin embargo, en caso de que la empresa desarrolle actividades de alto riesgo para datos personales (con el uso intensivo de datos, tratamiento de datos que pueda afectar derechos fundamentales, o a través de tecnologías emergentes o innovadoras – caso de la Inteligencia Artificial, por ejemplo, deberá nombrar DPO aunque se considere un agente de pequeño tamaño – y esto solo puede ser descubierto mediante unevaluaciónrealizado por una consultoría jurídica especializada
Para las empresas obligadas a nombrar un Encargado, existen diversos cuidados que deberán ser observados para cumplir con las nuevas reglas emitidas por la ANPD. El primero de estos cuidados se refiere a la propia forma en que se nombra al DPO. Por la nueva sistemática, es obligatorio que la nominación se realice mediante un documento escrito, fechado y firmado – documento que deberá ser presentado a la ANPD en caso de que se solicite en ese sentido. Estas formalidades también deberán ser observadas en la indicación del sustituto que actuará en las ausencias del DPO (como vacaciones o ausencias por cuestiones de salud). La recomendación de la ANPD es que este "acto formal" sea, por ejemplo, un contrato de prestación de servicios (en caso de que el DPO sea externo a la organización), pero también se puede hacer mediante aditivo al contrato de trabajo si el Encargado es un empleado que actúa bajo el régimen de la CLT
Además de eso, la empresa deberá “establecer las calificaciones profesionales necesarias para el desempeño de las atribuciones del encargado”, lo que también se recomienda que se haga a través de un acto formal (como una política interna), garantizando así que se designe a una persona con conocimientos adecuados sobre protección de datos personales y seguridad de la información
Un punto muy importante de la nueva regulación, además, es lo que autoriza que el DPO sea tanto persona física (pudiendo formar parte del cuadro de empleados de la empresa, o externo a ella) como persona jurídica, cerrando una duda con respecto a la actuación de empresas especializadas enDPO como servicio.
Independientemente de la naturaleza jurídica del DPO, la regla exige que su identidad y su información de contacto sean divulgadas adecuadamente (preferiblemente en el sitio web de la empresa), con la indicación del nombre completo (si es persona física) o nombre empresarial y nombre de la persona física responsable (en el caso de persona jurídica); además de información mínima de contacto (como correo electrónico y teléfono), que permitan la recepción de comunicaciones de titulares o de la ANPD
Con respecto a las actividades del DPO, la norma trae una serie de nuevas atribuciones, notablemente para prestar asistencia y orientación a la dirección de la empresa sobre
Yo – registro y comunicación de incidente de seguridad
II – registro de las operaciones de tratamiento de datos personales
III – informe de impacto a la protección de datos personales
IV – mecanismos internos de supervisión y mitigación de riesgos relacionados con el tratamiento de datos personales
V – medidas de seguridad, técnicas y administrativas, aptas a proteger los datos personales de accesos no autorizados y de situaciones accidentales o ilícitas de destrucción, pérdida, cambio, comunicación o cualquier forma de trato inadecuado o ilícito
NOSOTROS – procesos y políticas internas que aseguren el cumplimiento de la Ley nº 13.709, del 14 de agosto de 2018, y de los reglamentos y orientaciones de la ANPD
VII – instrumentos contractuales que regulen cuestiones relacionadas con el tratamiento de datos personales
VIII – transferencias internacionales de datos
IX – reglas de buenas prácticas y de gobernanza y de programa de gobernanza en privacidad, en los términos del art. 50 de la Ley nº 13.709, del 14 de agosto de 2018
incógnita – productos y servicios que adopten estándares de diseño compatibles con los principios previstos en la LGPD, incluyendo la privacidad por defecto y la limitación de la recopilación de datos personales al mínimo necesario para la realización de sus finalidades; y
XI – otras actividades y toma de decisiones estratégicas relacionadas con el tratamiento de datos personales
Se verifica que hubo una gran ampliación en las responsabilidades del DPO, de modo que la elección debe recaer necesariamente sobre un profesional capacitado, ya no es posible la práctica común de nombrar a un colaborador interno "por simple formalidad". Así, se vuelve aún más interesante que las empresas evalúen la contratación de un DPO externo, especialmente cuando no hay en su propio cuadro de empleados un trabajador con la cualificación o disponibilidad para el ejercicio de las tareas del Encargado
La disponibilidad, además, es otro factor importante a analizar al nombrar al DPO. Las nuevas reglas exigen que el Encargado deberá evitar cualquier conflicto de intereses, que pueden surgir cuando se ejercen otras funciones internamente en la empresa, o cuando acumula funciones de Encargado con aquellas relacionadas con decisiones estratégicas dentro de la organización
Por eso, siempre es recomendable que el DPO pueda dedicarse exclusivamente a las actividades relacionadas con la protección de datos personales (especialmente cuando hay un gran volumen de datos personales tratados por la empresa), con el fin de reducir al máximo el riesgo de conflictos de intereses – lo que podría llevar a la aplicación de multas u otras penalizaciones a la empresa, en caso de ser detectado por la ANPD
Finalmente, siempre es importante resaltar que, aunque haya la designación de un DPO, quien es responsable del tratamiento y protección de los datos personales es la empresa, es decir: en caso de fallos en la actuación del DPO, es la organización – y no la persona nombrada – que responderá por multas o indemnizaciones derivadas del mal uso de datos personales. Así, la elección del Encargado debe realizarse con mucho cuidado, y preferiblemente con el apoyo jurídico necesario para garantizar que se lleve a cabo de conformidad con la LGPD y con las reglas de la ANPD
