Depuis la publication de la Loi Générale sur la Protection des Données, en 2018, il y avait beaucoup d'attentes concernant la réglementation de l'action du Responsable du Traitement des Données (le fameux "DPO"). La norme a finalement été publiée en juillet 2024 par l'Autorité nationale de protection des données – ANPD (Resolução CD/ANPD nº 18, du 16 juillet 2024, apportant des points très importants sur la désignation du responsable, vos devoirs et attributions légales, et sur les conflits d'intérêts
Initialement, nous devons rappeler que la nomination d'un DPO n'est obligatoire que pour les micro-entreprises, entreprises de petite taille etstartups – les soi-disant "agents de traitement de petite taille". Cependant, si l'entreprise exerce des activités à haut risque pour les données personnelles (avec une utilisation intensive des données, traitement de données pouvant affecter des droits fondamentaux, ou par le biais de technologies émergentes ou innovantes – cas de l'intelligence artificielle, par exemple, devra nommer un DPO même si elle est considérée comme un agent de petite taille – et cela ne peut être découvert que par unévaluationréalisé par un cabinet d'avocats spécialisé
Pour les entreprises tenues de désigner un Responsable, il existe divers soins qui devront être observés afin de respecter les nouvelles règles établies par l'ANPD. Le premier de ces soins concerne la manière même dont le DPO est nommé. Par la nouvelle systématique, il est obligatoire que la nomination soit effectuée par un document écrit, daté et signé – document à présenter à l'ANPD en cas de demande en ce sens. Ces formalités devront également être respectées lors de la désignation du remplaçant qui agira en cas d'absence du DPO (comme les congés ou les absences pour des raisons de santé). La recommandation de l'ANPD est que cet "acte formel" soit, par exemple, un contrat de prestation de services (si le DPO est externe à l'organisation), mais cela peut également être fait par un avenant au contrat de travail si le Responsable est un employé qui travaille sous le régime de la CLT
De plus, l'entreprise devra "établir les qualifications professionnelles nécessaires à l'exercice des attributions du responsable", ce qui est également recommandé d'être fait par un acte formel (comme une politique interne), garantissant ainsi qu'une personne ayant des connaissances appropriées en matière de protection des données personnelles et de sécurité de l'information soit nommée
Un point très important de la nouvelle réglementation, d'ailleurs, c'est ce qui autorise que le DPO soit à la fois une personne physique (pouvant faire partie du personnel de l'entreprise, ou externe à elle) tant personne morale, clôturant un doute concernant l'intervention d'entreprises spécialisées dansDPO en tant que service.
Indépendamment de la nature juridique du DPO, la règle exige que votre identité et vos informations de contact soient divulguées de manière appropriée (de préférence sur le site de l'entreprise), avec l'indication du nom complet (si personne physique) ou du nom commercial et du nom de la personne physique responsable (dans le cas d'une personne morale); en plus des informations minimales de contact (comme l'e-mail et le téléphone), qui permettent la réception de communications des titulaires ou de l'ANPD
En ce qui concerne les activités du DPO, la norme apporte une série de nouvelles attributions, notamment pour fournir assistance et orientation à la direction de l'entreprise sur :
je – enregistrement et communication d'incident de sécurité
II – registre des opérations de traitement des données personnelles
III – rapport d'impact sur la protection des données personnelles
IV – mécanismes internes de supervision et d'atténuation des risques liés au traitement des données personnelles
V – mesures de sécurité, techniques et administratives, aptées à protéger les données personnelles contre les accès non autorisés et les situations accidentelles ou illicites de destruction, perte, changement, communication ou toute forme de traitement inapproprié ou illégal
NOUS – processus et politiques internes qui garantissent le respect de la loi n° 13.709, du 14 août 2018, et des règlements et orientations de l'ANPD
VII – instruments contractuels qui régissent les questions liées au traitement des données personnelles
VIII – transferts internationaux de données
IX – règles de bonnes pratiques et de gouvernance et de programme de gouvernance en matière de confidentialité, aux termes de l'art. 50 de la loi n° 13.709, du 14 août 2018
X – produits et services qui adoptent des normes de conception compatibles avec les principes prévus par la LGPD, y compris la protection de la vie privée par défaut et la limitation de la collecte de données personnelles au minimum nécessaire à la réalisation de ses finalités; e
XI – autres activités et prise de décisions stratégiques concernant le traitement des données personnelles
Il est constaté qu'il y a eu une grande expansion des responsabilités du DPO, de sorte que le choix doit nécessairement se porter sur un professionnel qualifié, il n'est plus possible de nommer un collaborateur interne "pour simple formalité". Ainsi, il devient encore plus intéressant que les entreprises envisagent de recruter un DPO externe, surtout lorsqu'il n'y a pas dans son propre personnel un employé ayant la qualification ou la disponibilité pour exercer les tâches du Responsable
La disponibilité, d'ailleurs, c'est un autre facteur important à analyser lors de la nomination du DPO. Les nouvelles règles exigent que le Responsable évite tout conflit d'intérêts, qui peuvent surgir lorsque l'on exerce d'autres fonctions en interne dans l'entreprise, ou lorsque l'on cumule des fonctions de Responsable avec celles liées aux décisions stratégiques au sein de l'organisation
C'est pourquoi, il est toujours recommandé que le DPO puisse se consacrer exclusivement aux activités liées à la protection des données personnelles (surtout lorsqu'il y a un grand volume de données personnelles traitées par l'entreprise), afin de réduire au maximum le risque de conflits d'intérêts – ce qui pourrait entraîner l'application d'amendes ou d'autres sanctions à l'entreprise, si cela est détecté par l'ANPD
Enfin, il est toujours important de souligner que, bien qu'il y ait la nomination d'un DPO, la société est responsable du traitement et de la protection des données personnelles, c'est-à-dire : en cas de défaillances dans l'action du DPO, c'est l'organisation – et non la personne nommée – qui répondra des amendes ou des indemnités résultant d'une mauvaise utilisation des données personnelles. Ainsi, le choix du Responsable doit être fait avec beaucoup de soin, et de préférence avec le soutien juridique nécessaire pour garantir qu'il se déroule conformément à la LGPD et aux règles de l'ANPD
