Depuis la publication de la Loi Générale sur la Protection des Données en 2018, il y avait beaucoup d'attentes concernant la réglementation de la performance du Responsable du traitement (la fameuse “DPO”).La norme a finalement été publiée en juillet 2024 par l'Autorité Nationale de Protection des Données (Résolution CD/ANPD n° 18, du 16 juillet 2024), apportant des points très importants sur la désignation du responsable, ses devoirs et devoirs légaux, et sur les conflits d'intérêts.
Dans un premier temps, il ne faut pas oublier que la nomination d'un DPD n'est pas obligatoire que pour les micro-entreprises, les petites entreprises et startups nd les soi-disant “agents de petit traitement” Cependant, si l'entreprise développe des activités à haut risque pour les données personnelles (avec l'utilisation intensive des données, le traitement des données pouvant affecter les droits fondamentaux, ou par le biais de technologies émergentes ou innovantes (dans le cas de l'Intelligence Artificielle, par exemple), elle devrait nommer DPO même si elle est considérée comme un petit agent & cela ne peut être découvert qu'au moyen d'un évaluation réalisé par un cabinet de conseil juridique spécialisé.
Pour les entreprises tenues de nommer une Charge, il y a plusieurs précautions qu'il faudra observer afin de se conformer aux nouvelles règles émises par l'ANPD La première d'entre elles concerne la façon même dont le DPD est nommé Dans le nouveau système, il est obligatoire que la nomination soit effectuée au moyen d'un document écrit, daté et signé 1 document qu'il faudrait présenter à l'ANPD s'il y a une demande en ce sens Ces formalités devraient également être observées dans l'indication du remplaçant qui agira dans les absences du DPD (comme les congés ou les absences pour raisons de santé).Le régime de l'ANPD est recommandé que ce formal“ato soit, par exemple, un travail peut être effectué au DPO, contrat peut être un employé est peut être également un emploi.
En outre, l'entreprise devrait établir les qualifications professionnelles nécessaires à l'exercice des fonctions du responsable INCARN, ce qu'il est également recommandé de faire au moyen d'un acte formel (tel qu'une politique interne), garantissant ainsi qu'une personne possédant des compétences adéquates connaissance de la protection des données personnelles et de la sécurité des informations est désignée.
Un point très important du nouveau règlement, en effet, est ce qui autorise le DPD à être à la fois un particulier (peut faire partie du personnel de l'entreprise, ou externe à celui-ci) et une personne morale, mettant fin à un doute concernant la performance des entreprises spécialisées dans DPO en tant que service.
Quelle que soit la nature juridique du DPD, la règle exige que votre identité et vos coordonnées soient divulguées de manière appropriée (de préférence sur le site Web de l'entreprise), avec l'indication du nom complet (le cas échéant) ou du nom commercial et du nom de la personne physique responsable. (dans le cas d'une personne morale) ; en plus des coordonnées minimales (telles que le courrier électronique et le téléphone), qui permettent la réception des communications des titulaires ou de l'ANPD.
En ce qui concerne les activités du DPD, la norme apporte une série de nouvelles missions, notamment pour fournir assistance et conseils aux dirigeants de l'entreprise sur :
I. enregistrer et signaler les incidents de sécurité ;
II. enregistrement des opérations de traitement des données personnelles ;
III - Rapport d'impact sur la protection des données personnelles ;
IV. les mécanismes internes de supervision et d'atténuation des risques liés au traitement des données personnelles ;
V. mesures de sécurité techniques et administratives, susceptibles de protéger les données personnelles contre tout accès non autorisé et les situations accidentelles ou illégales de destruction, de perte, d'altération, de communication ou toute forme de traitement inapproprié ou illégal ;
VI 13 709, du 14 août 2018, et les règlements et lignes directrices de l'ANPD ;
VII instruments contractuels régissant les questions liées au traitement des données personnelles ;
VIII Transferts internationaux de données ;
IX 'règles de bonnes pratiques et programme de gouvernance et de gouvernance en matière de vie privée, en application de l'article 50 de la loi no 13 709, du 14 août 2018 ;
X. les produits et services qui adoptent des normes de conception conformes aux principes énoncés dans la LGPD, y compris la confidentialité par défaut et la limitation de la collecte de données personnelles au minimum nécessaire à la réalisation de ses objectifs ; et
XI. autres activités et prises de décision stratégiques liées au traitement des données personnelles.
On vérifie qu'il y a EU une grande expansion des responsabilités du DPD, de sorte que le choix doit nécessairement revenir à un professionnel formé, n'étant plus possible la pratique courante de nommer un employé interne “par simple formalité” Ainsi, il devient encore plus intéressant que les entreprises évaluent l'embauche d'un DPD externe, surtout lorsqu'il n'y a pas de salarié dans leur propre personnel ayant la qualification ou la disponibilité pour accomplir les tâches de l'In-Charge.
La disponibilité, par ailleurs, est un autre facteur important à analyser lors de la nomination du DPD Les nouvelles règles exigent que le responsable évite tout conflit d'intérêts, qui peut survenir lorsqu'il exerce d'autres fonctions à l'interne dans l'entreprise, ou lorsqu'il cumule des fonctions du responsable avec celles liées aux décisions stratégiques au sein de l'organisation.
Par conséquent, il est toujours recommandé que le DPD puisse se consacrer exclusivement aux activités liées à la protection des données personnelles (surtout lorsqu'il existe un grand volume de données personnelles traitées par l'entreprise), afin de réduire au maximum le risque de conflits d'intérêts (ce qui peut conduire à des amendes ou autres pénalités imposées à l'entreprise, si elles sont détectées par l'ANPD.
Enfin, il est toujours important de noter que, même s'il y a la nomination d'un DPD, l'entreprise est responsable du traitement et de la protection des données personnelles, c'est-à-dire : en cas de défaillances dans l'exécution du DPD, c'est l'organisation ¡n et non la personne nommée ̄ qui sera passible d'amendes ou d'indemnités découlant de l'utilisation abusive des données personnelles Ainsi, le choix du Responsable devrait être effectué avec le plus grand soin, et de préférence avec le soutien juridique nécessaire pour s'assurer qu'il se déroule conformément à la LGPD et aux règles de l'ANPD.
