Kansallinen tietosuojaviranomainen (ANPD) on määrittänyt uudet suuntaviivat tietosuojavastaavan roolille. A Resolução CD/ANPD 18, julkaistu 16. heinäkuuta 2024, tuo selkeästi vastuut ja odotukset tälle olennaiselle ammattilaiselle Brasilian kontekstissa
Sääntö määrittelee tärkeitä kysymyksiä ja vahvistaa jo aiemmin tietosuojalainsäädännössä (LGPD) esiin tuotuja seikkoja siitä, kuka voi toimia vastuuhenkilönä, organisaatioiden velvollisuudet, vaatimukset vastuuhenkilön nimittämiselle ja pätevyydelle, samoin kuin tarve ylläpitää läpinäkyvää ja tehokasta viestintää ANPD:n ja tietojen omistajien kanssa
Asian lakim Camila Camargo, Andersen Ballão Advocacia -konsultti "on olennaista, että vastuuhenkilö toimii tarvittavalla teknisellä autonomialla ja pääsyllä organisaation ylimpään johtoon. Yritys, toisaalta, tulee varmistaa, että vastuuhenkilöllä on tarvittavat resurssit tehtäviensä tehokkaaseen suorittamiseen. Tässä skenaariossa, muistutamme ANPD:n aiemmista ohjeista, jotka korostavat monialaisen tukikomitean olemassaolon tärkeyttä vastuuhenkilölle.”
Toinen seikka, jota päätöksessä korostetaan, on se, että organisaation on nimettävä tietosuojavastaava muodollisella toimella, dokumentoiden vastuusi ja varmistamalla varahenkilön saatavuus päävastuuhenkilön poissaolon tai esteen sattuessa. Lisäksi, on pakollista julkistaa tietosuojavastaavan yhteystiedot, helpottamalla viestintää tietosuojakysymyksissä
Sääntö vahvistaa myös, että tietosuojavastaavan on pystyttävä kommunikoimaan selkeästi ja tarkasti ANPD:n ja tietojen omistajien kanssa, ei ole vaadittu erityistä sertifiointia tehtävään. Tällaiset säännökset avaavat mahdollisuuksia tilanteille, joissa yritys haluaa nimittää DPO:n, joka toimii taloudellisen ryhmän puolesta, vaikka olisi poissa Brasiliasta, kunhan pidetään tehokasta viestintää portugalin kielellä
Asian lakimies Camila Camargo pitää säädöksen hyväksymistä odotettuna ja tärkeänä virstanpylväänä, joka nostaa vastuuhenkilön roolin merkitystä tietosuojan hallintomallissa, ja korostaa, että nimitys on pakollinen toimenpide yritysten vaatimustenmukaisuuden varmistamiseksi LGPD:n kanssa, lisäksi varmistaa vastuullisen ja läpinäkyvän hallinnan henkilötietojen suojaamisessa
