Ó shincrón a foilsí na Léi Ginearál de Protección de Datos, en 2018, había moita espectativa en canto á regulación da actuación do Encarregado polo Tratamento de Datos (o famoso "DPO"). Táirgeadh de réir an chaighdeán ar deireadh thiar i mí Iúil 2024 ag an Údarás Náisiúnta um Chosaint Sonraí – ANPD (Reachtaíocht CD/ANPD nº 18, den 16 Iúil 2024), ag tabhairt pointí an-tábhachtacha maidir le sainordú an freastalaí, a chuid dualgas agus oibleagáidí dlíthiúla, agus maidir le coimhlintí leasanna.
Ar dtús, ní mór dúinn cuimhneamh nach bhfuil sé éigeantach OCS a cheapadh do mhicrifhiontair, gnólachtaí beaga agustosaithe– naíve “gníomhaithe leighis beaga”. Áfach, má tá an chuideachta ag déanamh gníomhaíochtaí riosca ard do shonraí pearsanta (le húsáid dhian ar shonraí, cóireáil shonraí a d'fhéadfadh tionchar a bheith acu ar chearta bunúsacha, nó trí úsáid a bhaint as teicneolaíochtaí nua-aimseartha nó nuálacha – mar shampla, Intleacht shaorga), ba chóir DPO a cheapadh cé nach bhfuil sé de dhíth go mbeadh gníomhaire beagán – agus ní féidir é a fháil amach ach trí cheann amháin.measúnúarna seoladh ag sainchomhairleoireacht dlí.
Maidir le gnólachtaí atá faoi réir ainmniúchán um Chigire, tá cúram éagsúla le tabhairt faoi deara chun na rialacha nua a leagan síos ag an ANPD a chomhlíonadh. An chéad cheann de na cúraimí sin baineann leis an mbealach a ainmnítear an DPO féin. De acordo com a nova sistemática, é obrigatorio que a nomeación se realice mediante un documento escrito, datado e asinado – documento que deberá ser presentado á ANPD en caso de que se solicite neste sentido. Tá na mesma na indicação do substituto que vai atuar nas ausencias do DPO (como vacacións ou afastamentos por razóns de saúde). Is é moladh na ANPD go bhfuil an “gníomh oifigiúil” sin, mar shampla, conradh seirbhíse (má tá an DPO seachtrach don eagraíocht), ach freisin is féidir é a dhéanamh trí leasú ar an gconradh fostaíochta má tá an Freagrachtaí ina fostaí a oibríonn faoi chonradh CLT.
Ina theannta sin, ní mór don chuideachta “na cáilíochtaí gairmiúla is gá chun dualgais an duine atá i gceannas a chomhlíonadh” a bhunú, rud a mholtar freisin le déanamh trí ghníomh foirmiúil (cosúil le beartas inmheánach), rud a chinntíonn go gceapfar duine a bhfuil eolas leordhóthanach aige ar chosaint sonraí pearsanta agus ar shlándáil faisnéise.
Pointe an-tábhachtach den rialachán nua, go deimhin, is ea go n-údaraíonn sé an OCS a bheith ina dhuine nádúrtha (d’fhéadfadh a bheith ina chuid d’fhoireann na cuideachta, nó lasmuigh di) nó ina eintiteas dlíthiúil, rud a chuireann deireadh le hamhras maidir le feidhmíocht cuideachtaí speisialaithe i.DPO mar Sheirbhís.
Beag beann ar nádúr dlíthiúil an OCS, ceanglaítear leis an riail go nochtfar a chéannacht agus a faisnéis teagmhála go cuí (ar shuíomh Gréasáin na cuideachta de rogha), ag léiriú ainm iomlán (más duine nádúrtha é) nó ainm cuideachta agus ainm an duine nádúrtha atá freagrach (i gcás eintitis dhlíthiúil); chomh maith le híosmhéid faisnéise teagmhála (amhail ríomhphost agus teileafón), a cheadaíonn cumarsáid a fháil ó shealbhóirí nó ón ANPD.
Maidir le gníomhaíochtaí an OCS, tugann an caighdeán sraith de ghnéithe nua, go háirithe chun cúnamh agus treoir a sholáthar do cheannaireacht na cuideachta maidir le:
I – teagmhais slándála a thaifeadadh agus a thuairisciú;
II – taifead ar oibríochtaí próiseála sonraí pearsanta;
III – tuarascáil ar an tionchar ar chosaint sonraí pearsanta;
IV – meicníochtaí inmheánacha chun rioscaí a bhaineann le próiseáil sonraí pearsanta a mhaoirsiú agus a mhaolú;
V – bearta slándála teicniúla agus riaracháin atá in ann sonraí pearsanta a chosaint ar rochtain neamhúdaraithe agus ar scrios de thaisme nó go neamhdhleathach, ar chaillteanas, ar athrú, ar chumarsáid nó ar aon chineál próiseála neamhleor nó neamhdhleathach;
VI – próisis agus beartais inmheánacha a áirithíonn go gcomhlíontar Dlí Uimh. 13,709, an 14 Lúnasa 2018, agus rialacháin agus treoirlínte ANPD;
VII – ionstraimí conarthacha a rialaíonn saincheisteanna a bhaineann le próiseáil sonraí pearsanta;
VIII – aistrithe idirnáisiúnta sonraí;
IX – rialacha dea-chleachtais agus clár rialachais agus rialachais príobháideachta, de bhun na healaíne. 50 de Dhlí Uimh. 13,709, an 14 Lúnasa 2018;
X – táirgí agus seirbhísí a ghlacann caighdeáin deartha atá ag luí leis na prionsabail a leagtar amach sa LGPD, lena n-áirítear príobháideacht réamhshocraithe agus a theorannaítear bailiú sonraí pearsanta go dtí an t-íosmhéid is gá chun a gcríoch a bhaint amach; agus
XI – gníomhaíochtaí eile agus cinnteoireacht straitéiseach maidir le próiseáil sonraí pearsanta.
Tá sé feicthe go raibh méadú mór ar fhreagrachtaí an DPO, mar sin ba cheart go mbeadh an rogha ar dhuine gairmiúil oilte, ní féidir a bheith ag déanamh de ghnáth go ginearálta ainmniú comhoibritheoir inmheánach "mar shimplí fhoirmiúlacht". Mar sin, bíonn suim níos mó ann go ndéanfaidh na cuideachtaí measúnú ar chonradh DPO seachtrach, go háirithe nuair nach bhfuil fostaithe ina bhfoireann féin le cáilíocht nó ar fáil chun na tascanna an Chéile a dhéanamh.
An tairseach, mar a dhéanfá, is fachtóir tábhachtach eile é a bheith ar an eolas nuair a roghnaítear an DPO. Naíveiriú nuaivás réglas exíxen que o Encarregado deverá evitar quaisquer conflitos de interesses, que podem surgir cando exerce outras funções internamente na empresa, ou cando acumula funções de Encarregado com aquelas relacionadas com decisões estratégicas dentro da organização.
Dá bhrí sin, moltar i gcónaí go mbeadh an OCS in ann é féin a thiomnú go heisiach do ghníomhaíochtaí a bhaineann le cosaint sonraí pearsanta (go háirithe nuair a bhíonn líon mór sonraí pearsanta á bpróiseáil ag an gcuideachta), chun an riosca coinbhleachtaí leasa a íoslaghdú – rud a d’fhéadfadh fíneálacha nó pionóis eile a chur i bhfeidhm ar an gcuideachta, má bhraitheann an ANPD é.
Ar deireadh, tá sé i gcónaí tábhachtach a chur in iúl go bhfuil, cé go bhfuil ainmniúchán DPO ann, an chuideachta atá freagrach as cóireáil agus cosaint na sonraí pearsanta, is é sin: i gcás lochtanna i bhfeidhmiú an DPO, is í an eagraíocht – agus ní an duine ainmnithe – a bheidh freagrach as pionóis nó íocaíochtaí a thagann ó mhí-úsáid sonraí pearsanta. Así, a rogha do Chargado debe realizarse con moito coidado, e preferentemente co apoio xurídico necesario para garantir que aconteza en conformidade coa LGPD e coas regras da ANPD.
