Depuis la publication de la Loi Générale sur la Protection des Données en 2018, il y avait beaucoup d'attentes concernant la réglementation de l'activité du Délégué à la Protection des Données (le fameux « DPO »). La norme a finalement été publiée en juillet 2024 par l'Autorité Nationale de Protection des Données – ANPD (Résolution CD/ANPD nº 18, du 16 juillet 2024), abordant des points très importants concernant la désignation du responsable, ses devoirs et attributions légales, ainsi que les conflits d'intérêts.
Dans un premier temps, il faut rappeler que la désignation d’un DPO n’est pas obligatoire pour les micro-entreprises, les petites entreprises etstartupsles soi-disant « agents de traitement de petite taille ». Cependant, si l'entreprise exerce des activités à haut risque pour les données personnelles (avec une utilisation intensive des données, un traitement pouvant affecter des droits fondamentaux, ou par le biais de technologies émergentes ou innovantes – par exemple, l'intelligence artificielle), elle doit désigner un DPO même si elle est considérée comme un petit acteur – et cela ne peut être découvert qu'à travers un évaluationréalisée par un cabinet juridique spécialisé.
Pour les entreprises tenues de désigner un Délégué, il existe plusieurs précautions à respecter afin de se conformer aux nouvelles règles édictées par l'ANPD. Le premier de ces soins concerne la manière dont le DPO est lui-même nommé. Selon la nouvelle réglementation, il est obligatoire que la nomination soit effectuée par le biais d'un document écrit, daté et signé – document qui devra être présenté à l'ANPD en cas de demande à cet effet. Ces formalités doivent également être respectées lors de la désignation du remplaçant qui agira en cas d'absence du DPO (comme les congés ou les absences pour raisons de santé). La recommandation de l'ANPD est que cet « acte formel » soit, par exemple, un contrat de prestation de services (si le DPO est externe à l'organisation), mais il peut également être effectué par le biais d'un avenant au contrat de travail si le responsable est un employé travaillant selon le régime de la CLT.
En outre, l’entreprise doit « établir les qualifications professionnelles nécessaires pour exercer les fonctions de la personne responsable », ce qui est également recommandé par le biais d’un acte formel (comme une politique interne), garantissant ainsi qu’une personne ayant des connaissances adéquates en matière de protection des données personnelles et de sécurité de l’information soit nommée.
Un point très important du nouveau règlement est en effet qu'il autorise le DPO à être soit une personne physique (qui peut faire partie du personnel de l'entreprise, ou externe à celle-ci) soit une personne morale, mettant fin à un doute quant à la performance des entreprises spécialisées dansDPO en tant que service.
Quelle que soit la nature juridique du DPO, la règle exige que son identité et ses coordonnées soient divulguées de manière appropriée (de préférence sur le site Web de l'entreprise), en indiquant le nom complet (s'il s'agit d'une personne physique) ou le nom de l'entreprise et le nom de la personne physique responsable (dans le cas d'une personne morale) ; en plus des coordonnées minimales (telles que l'email et le téléphone), qui permettent la réception des communications des titulaires ou de l'ANPD.
Concernant les activités du DPO, la norme apporte une série de nouvelles attributions, notamment pour apporter assistance et orientation à la direction de l'entreprise sur :
I – enregistrement et signalement des incidents de sécurité ;
II – registre des traitements de données à caractère personnel ;
III – rapport sur l’impact sur la protection des données personnelles ;
IV – mécanismes internes de surveillance et d’atténuation des risques liés au traitement des données à caractère personnel ;
V – mesures de sécurité techniques et administratives propres à protéger les données personnelles contre tout accès non autorisé et toute destruction, perte, altération, communication ou toute forme de traitement inadéquat ou illicite, accidentelle ou illicite ;
VI – processus et politiques internes garantissant le respect de la loi n° 13.709 du 14 août 2018 et des règlements et directives de l’ANPD ;
VII – instruments contractuels qui régissent les questions liées au traitement des données personnelles ;
VIII – transferts internationaux de données ;
IX – règles de bonnes pratiques et programme de gouvernance et de gouvernance de la vie privée, conformément à l’art. 50 de la loi n° 13.709 du 14 août 2018 ;
X – produits et services qui adoptent des normes de conception compatibles avec les principes énoncés dans la LGPD, y compris la confidentialité par défaut et la limitation de la collecte de données personnelles au minimum nécessaire pour atteindre leurs objectifs ; et
XI – autres activités et prises de décisions stratégiques concernant le traitement des données personnelles.
Il est constaté qu'il y a eu une grande extension des responsabilités du DPO, de sorte que le choix doit nécessairement porter sur un professionnel compétent, il n'est plus possible de pratiquer la nomination d'un collaborateur interne « par simple formalité ». Ainsi, il devient encore plus intéressant que les entreprises envisagent l'embauche d'un DPO externe, surtout lorsqu'elles ne disposent pas en interne d'un employé ayant la qualification ou la disponibilité pour exercer les tâches du Responsable.
La disponibilité, d'ailleurs, est un autre facteur important à analyser lors de la nomination du DPO. Les nouvelles règles exigent que le Responsable évite tout conflit d'intérêts, qui peut survenir lorsqu'il exerce d'autres fonctions au sein de l'entreprise, ou lorsqu'il cumule les fonctions de Responsable avec celles liées aux décisions stratégiques au sein de l'organisation.
Il est donc toujours recommandé que le DPO puisse se consacrer exclusivement aux activités liées à la protection des données personnelles (en particulier lorsqu'il existe un volume important de données personnelles traitées par l'entreprise), afin de minimiser le risque de conflits d'intérêts - qui peuvent conduire à l'application d'amendes ou d'autres sanctions à l'entreprise, s'ils sont détectés par l'ANPD.
Enfin, il est toujours important de souligner que, même en présence de la nomination d'un DPO, c'est l'entreprise qui est responsable du traitement et de la protection des données personnelles, c'est-à-dire : en cas de défaillance dans l'action du DPO, c'est l'organisation – et non la personne nommée – qui sera responsable des amendes ou des indemnités résultant d'une mauvaise utilisation des données personnelles. Ainsi, le choix du Responsable doit être effectué avec beaucoup de soin, de préférence avec le soutien juridique nécessaire pour garantir qu'il se fasse conformément à la LGPD et aux règles de l'ANPD.
