Sejak diterbitkannya Undang-Undang Perlindungan Data Umum pada tahun 2018, ada banyak harapan mengenai pengaturan kinerja Pengontrol Data (“DPO” yang terkenal). Standar ini akhirnya diterbitkan pada Juli 2024 oleh Otoritas Perlindungan Data Nasional (Resolusi CD/ANPD no. 18, tanggal 16 Juli 2024), membawa poin-poin yang sangat penting tentang penunjukan penanggung jawab, tugas dan tugas hukum mereka, dan tentang konflik kepentingan.
Semula, perlu diingat bahwa penunjukan DPO saja tidak wajib bagi usaha mikro, usaha kecil, dan lain-lain Startup nd yang disebut “agen pemrosesan kecil”. Namun, jika perusahaan mengembangkan aktivitas berisiko tinggi untuk data pribadi (dengan penggunaan data secara intensif, pemrosesan data yang dapat memengaruhi hak-hak dasar, atau melalui teknologi yang muncul atau inovatif (dalam kasus Kecerdasan Buatan, misalnya), perusahaan harus menunjuk DPO bahkan jika itu dianggap sebagai agen kecil & ini hanya dapat ditemukan dengan cara a assesment dilakukan oleh konsultan hukum khusus.
Untuk perusahaan yang diperlukan untuk menunjuk Charge, ada beberapa tindakan pencegahan yang perlu diamati dalam rangka untuk mematuhi aturan baru yang dikeluarkan oleh ANPD. Yang pertama dari ini menyangkut cara yang sangat DPO ditunjuk. Dalam sistem baru, wajib bahwa penunjukan dilakukan melalui dokumen tertulis, tanggal dan ditandatangani 1 dokumen yang harus disajikan kepada ANPD jika ada permintaan dalam pengertian ini. Formalitas ini juga harus diamati dalam indikasi pengganti yang akan bertindak dalam ketidakhadiran DPO (seperti hari libur atau ketidakhadiran karena alasan kesehatan). Rezim ANPD direkomendasikan bahwa formal“ato ini, misalnya, seorang karyawan dapat bertindak atas penyediaan layanan, melalui CLPO, tetapi mungkin juga pekerjaan mungkin pekerjaan dapat dibuat oleh kontrak, melalui kontrak, atau keputusan kontrak, yang juga dibuat oleh kontrak, atau karyawan, atau keputusan kontrak, yang merupakan pekerjaan, atau keputusan kontrak, yang merupakan pekerjaan, atau keputusan kontrak, yang merupakan pekerjaan, atau keputusan kontrak, yang merupakan pekerjaan, yang merupakan pekerjaan, yang merupakan keputusan kontrak, atau pekerjaan kontrak, yang merupakan keputusan dari kontrak, atau pekerjaan dari kontrak, yang merupakan keputusan dari pekerjaan, atau pekerjaan dari pekerjaan dari kontrak, yang merupakan keputusan dari kontrak, yang merupakan pekerjaan, yang merupakan keputusan dari pekerjaan, atau pekerjaan, atau pekerjaan, yang merupakan pekerjaan, atau pekerjaan, yang merupakan pekerjaan, atau pekerjaan, yang merupakan pekerjaan, atau pekerjaan, yang merupakan pekerjaan, atau pekerjaan, yang merupakan pekerjaan, atau pekerjaan, yang merupakan keputusan pekerjaan, atau pekerjaan, yang merupakan pekerjaan, yang merupakan pekerjaan, atau pekerjaan, yang merupakan keputusan pekerjaan, yang merupakan pekerjaan, yang merupakan pekerjaan, atau pekerjaan, yang merupakan keputusan pekerjaan, yang merupakan pekerjaan, yang merupakan pekerjaan, pekerjaan, atau pekerjaan, yang merupakan keputusan pekerjaan, atau pekerjaan, yang merupakan pekerjaan, yang merupakan pekerjaan, yang merupakan keputusan pekerjaan, yang merupakan pekerjaan, atau pekerjaan, yang merupakan pekerjaan, yang merupakan pekerjaan, pekerjaan, atau pekerjaan, yang merupakan pekerjaan, yang merupakan keputusan pekerjaan, atau pekerjaan, yang merupakan pekerjaan, yang merupakan pekerjaan, yang merupakan pekerjaan, pekerjaan, pekerjaan, atau pekerjaan, yang merupakan pekerjaan, pekerjaan, pekerjaan, atau pekerjaan, yang merupakan pekerjaan, yang merupakan pekerjaan, pekerjaan, yang merupakan pekerjaan, pekerjaan, yang merupakan pekerjaan, pekerjaan, pekerjaan, atau pekerjaan, yang merupakan pekerjaan, pekerjaan, yang merupakan pekerjaan, pekerjaan, pekerjaan, atau pekerjaan, pekerjaan, pekerjaan, atau pekerjaan, yang merupakan pekerjaan, yang merupakan pekerjaan
Selain itu, perusahaan harus menetapkan kualifikasi profesional yang diperlukan untuk pelaksanaan tugas petugas INCARN, yang juga direkomendasikan untuk dilakukan melalui tindakan formal (seperti kebijakan internal), sehingga memastikan bahwa seseorang dengan kualifikasi profesional yang memadai pengetahuan tentang perlindungan data pribadi dan keamanan informasi ditunjuk.
Poin yang sangat penting dari peraturan baru ini, pada kenyataannya, adalah apa yang memberi wewenang kepada DPO untuk menjadi individu (mungkin menjadi bagian dari staf perusahaan, atau di luarnya) dan badan hukum, sehingga mengakhiri keraguan mengenai kinerja perusahaan-perusahaan yang berspesialisasi. di dalam DPO sebagai Layanan.
Terlepas dari sifat hukum DPO, peraturan tersebut mengharuskan identitas dan informasi kontak Anda diungkapkan dengan tepat (sebaiknya di situs web perusahaan), dengan indikasi nama lengkap (jika individu) atau nama bisnis dan nama orang perseorangan yang bertanggung jawab. (dalam hal badan hukum); selain informasi kontak minimum (seperti email dan telepon), yang memungkinkan penerimaan komunikasi dari pemegang atau ANPD.
Mengenai kegiatan DPO, standar membawa serangkaian tugas baru, terutama untuk memberikan bantuan dan bimbingan kepada pimpinan perusahaan pada:
I. mencatat dan melaporkan kejadian keamanan;
II. catatan operasi pemrosesan data pribadi;
III - Laporan dampak perlindungan data pribadi;
IV. mekanisme internal untuk pengawasan dan mitigasi risiko yang terkait dengan pemrosesan data pribadi;
V. tindakan keamanan teknis dan administratif, yang mampu melindungi data pribadi dari akses yang tidak sah dan situasi kehancuran, kehilangan, perubahan, komunikasi yang tidak disengaja atau melanggar hukum, atau segala bentuk perlakuan yang tidak patut atau melanggar hukum;
VI 13.709, tanggal 14 Agustus 2018, dan peraturan dan pedoman ANPD;
VII instrumen kontrak yang mengatur hal-hal yang berkaitan dengan pemrosesan data pribadi;
VIII Transfer data internasional;
IX 'aturan praktik yang baik dan program tata kelola dan tata kelola dalam privasi, sesuai dengan pasal 50 UU No. 13.709, tanggal 14 Agustus 2018;
X. produk dan layanan yang mengadopsi standar desain yang konsisten dengan prinsip-prinsip yang ditetapkan dalam LGPD, termasuk privasi secara default dan membatasi pengumpulan data pribadi seminimal mungkin untuk mencapai tujuannya; Dan
XI. kegiatan lain dan pengambilan keputusan strategis terkait pemrosesan data pribadi.
Telah diverifikasi bahwa ada perluasan besar dalam tanggung jawab DPO, sehingga pilihan harus selalu jatuh pada seorang profesional terlatih, tidak lagi mungkin praktik umum menunjuk karyawan internal “dengan formalitas sederhana”. Dengan demikian, menjadi lebih menarik bahwa perusahaan mengevaluasi perekrutan DPO eksternal, terutama ketika tidak ada karyawan di staf mereka sendiri dengan kualifikasi atau ketersediaan untuk melakukan tugas-tugas In-charge.
Ketersediaan, apalagi, adalah faktor penting lain yang harus dianalisis ketika menunjuk DPO. Aturan baru mengharuskan orang yang bertanggung jawab harus menghindari konflik kepentingan, yang mungkin timbul ketika ia melakukan fungsi lain secara internal di perusahaan, atau ketika ia mengumpulkan fungsi orang yang bertanggung jawab dengan yang terkait dengan keputusan strategis dalam organisasi.
Oleh karena itu, selalu disarankan agar DPO dapat mendedikasikan dirinya secara eksklusif pada aktivitas yang berkaitan dengan perlindungan data pribadi (terutama ketika terdapat sejumlah besar data pribadi yang diproses oleh perusahaan), guna mengurangi risiko konflik kepentingan. secara maksimal (yang dapat mengakibatkan denda atau denda lain yang dikenakan pada perusahaan, jika terdeteksi oleh ANPD.
Akhirnya, selalu penting untuk dicatat bahwa, bahkan jika ada penunjukan DPO, perusahaan bertanggung jawab atas perawatan dan perlindungan data pribadi, yaitu: jika terjadi kegagalan dalam kinerja DPO, itu adalah organisasi ¡n dan bukan orang yang disebutkan ̄ yang akan bertanggung jawab atas denda atau ganti rugi yang timbul dari penyalahgunaan data pribadi. Dengan demikian, pilihan yang Bertanggung Jawab harus dilakukan dengan sangat hati-hati, dan sebaiknya dengan dukungan hukum yang diperlukan untuk memastikan bahwa itu terjadi sesuai dengan LGPD dan aturan ANPD.
