Sejak penerbitan Undang-Undang Perlindungan Data Umum, pada tahun 2018, ada banyak harapan terkait regulasi peran Pengawas Perlindungan Data (DPO). Norma tersebut akhirnya diterbitkan pada bulan Juli 2024 oleh Otoritas Nasional Perlindungan Data – ANPD (Resolução CD/ANPD nº 18, 16 Juli 2024, membawa poin-poin yang sangat penting tentang penunjukan petugas, tugas dan kewajiban hukum Anda, dan tentang konflik kepentingan
Awalnya, kita harus ingat bahwa penunjukan DPO hanya tidak wajib untuk mikroperusahaan, perusahaan kecil danperusahaan rintisan – yang disebut "agen pengolahan berukuran kecil". Namun, jika perusahaan melakukan kegiatan berisiko tinggi terhadap data pribadi (dengan penggunaan data yang intensif, pengolahan data yang dapat mempengaruhi hak-hak fundamental, atau melalui teknologi yang muncul atau inovatif – kasus Kecerdasan Buatan, misalnya, harus menunjuk DPO meskipun dianggap sebagai agen skala kecil – danpenilaiandilakukan oleh konsultan hukum yang berspesialisasi
Untuk perusahaan yang diwajibkan untuk menunjuk seorang Penanggung Jawab, ada berbagai perhatian yang perlu diperhatikan untuk memenuhi aturan baru yang diterbitkan oleh ANPD. Perhatian pertama ini berkaitan dengan cara DPO diangkat. Dengan sistematika baru, adalah wajib bahwa penunjukan dilakukan melalui dokumen tertulis, berita dan ditandatangani – dokumen yang harus disampaikan kepada ANPD jika ada permintaan dalam hal ini. Formalitas ini juga harus diperhatikan dalam penunjukan pengganti yang akan bertindak selama ketidakhadiran DPO (seperti cuti atau ketidakhadiran karena masalah kesehatan). Rekomendasi ANPD adalah agar "tindakan formal" ini dilakukan, misalnya, sebuah kontrak penyediaan layanan (jika DPO adalah eksternal dari organisasi), tetapi juga dapat dilakukan melalui aditif pada kontrak kerja jika Penanggung Jawab adalah karyawan yang bekerja berdasarkan sistem CLT
Selain itu, perusahaan harus "menetapkan kualifikasi profesional yang diperlukan untuk pelaksanaan tugas-tugas pengawas", yang juga disarankan untuk dilakukan melalui tindakan formal (seperti kebijakan internal), memastikan bahwa seseorang yang memiliki pengetahuan yang memadai tentang perlindungan data pribadi dan keamanan informasi diangkat
Sebuah poin yang sangat penting dari peraturan baru, sebenarnya, adalah yang mengizinkan DPO menjadi baik orang fisik (dapat menjadi bagian dari staf perusahaan, atau eksternal kepadanya) baik sebagai badan hukum, menyelesaikan keraguan terkait peran perusahaan-perusahaan yang mengkhususkan diri dalamDPO sebagai Layanan.
Terlepas dari sifat hukum DPO, aturan mengharuskan identitas dan informasi kontak Anda diungkapkan dengan tepat (sebaiknya di situs web perusahaan), dengan menyebutkan nama lengkap (jika individu) atau nama perusahaan dan nama orang yang bertanggung jawab (dalam hal badan hukum); selain informasi kontak minimal (seperti email dan telepon), yang memungkinkan penerimaan komunikasi dari pemilik atau ANPD
Terkait dengan aktivitas DPO, norma membawa serangkaian tugas baru, secara khusus untuk memberikan bantuan dan arahan kepada kepemimpinan perusahaan tentang
Saya – pencatatan dan komunikasi insiden keamanan
II – catatan operasi pengolahan data pribadi
III – laporan dampak terhadap perlindungan data pribadi
IV – mekanisme internal pengawasan dan mitigasi risiko terkait pengolahan data pribadi
V – ukuran keamanan, teknik dan administratif, aptas untuk melindungi data pribadi dari akses yang tidak sah dan dari situasi yang tidak sengaja atau ilegal yang dapat menyebabkan penghancuran, kehilangan, perubahan, komunikasi atau bentuk perlakuan yang tidak pantas atau ilegal
VI – proses dan kebijakan internal yang memastikan kepatuhan terhadap Undang-Undang No. 13.709, 14 Agustus 2018, dan peraturan dan pedoman ANPD
VII – instrumen kontraktual yang mengatur masalah terkait pengolahan data pribadi
VIII – transfer internasional data
IX – aturan praktik baik dan tata kelola serta program tata kelola dalam privasi, dalam ketentuan pasal. 50 dari Undang-Undang No. 13.709, 14 Agustus 2018
X – produk dan layanan yang mengadopsi standar desain yang sesuai dengan prinsip-prinsip yang diatur dalam LGPD, termasuk privasi secara default dan pembatasan pengumpulan data pribadi pada minimum yang diperlukan untuk mencapai tujuannya; Dan
XI – aktivitas lain dan pengambilan keputusan strategis terkait pengolahan data pribadi
Terjadi perluasan besar dalam tanggung jawab DPO, sehingga pilihan harus jatuh pada seorang profesional yang berkualitas, tidak lagi memungkinkan untuk praktik umum menamai seorang kolaborator internal "hanya untuk formalitas". Begitu, menjadi semakin menarik bagi perusahaan untuk mempertimbangkan perekrutan DPO eksternal, terutama ketika tidak ada dalam jajaran karyawan mereka sendiri seorang karyawan dengan kualifikasi atau ketersediaan untuk melaksanakan tugas-tugas Penanggung Jawab
Ketersediaan, sebenarnya, merupakan faktor penting lain yang perlu dianalisis saat penunjukan DPO. Aturan baru mengharuskan bahwa Penanggung Jawab harus menghindari konflik kepentingan apapun, yang dapat muncul ketika menjalankan fungsi lain di dalam perusahaan, atau ketika menggabungkan fungsi Pengawas dengan yang terkait dengan keputusan strategis dalam organisasi
Oleh karena itu, selalu disarankan agar DPO dapat mendedikasikan diri secara eksklusif untuk kegiatan yang terkait dengan perlindungan data pribadi (terutama ketika ada volume besar data pribadi yang diproses oleh perusahaan), untuk meminimalkan risiko konflik kepentingan sebanyak mungkin – apa yang dapat menyebabkan penerapan denda atau sanksi lain kepada perusahaan, jika terdeteksi oleh ANPD
Akhirnya, selalu penting untuk menekankan bahwa, meskipun ada penunjukan DPO, yang bertanggung jawab atas pengolahan dan perlindungan data pribadi adalah perusahaan, dengan kata lain: dalam hal kegagalan dalam tindakan DPO, adalah organisasi – dan bukan orang yang disebutkan – yang akan bertanggung jawab atas denda atau ganti rugi yang timbul akibat penyalahgunaan data pribadi. Begitu, pemilihan Penanggung Jawab harus dilakukan dengan sangat hati-hati, dan dan dengan dukungan hukum yang diperlukan untuk memastikan bahwa itu terjadi sesuai dengan LGPD dan aturan ANPD
