Dalla pubblicazione della Legge Generale sulla Protezione dei Dati, nel 2018, c'era molta aspettativa riguardo alla regolamentazione dell'operato del Responsabile del Trattamento dei Dati (il famoso "DPO"). La norma è stata finalmente pubblicata nel mese di luglio del 2024 dall'Autorità Nazionale per la Protezione dei Dati – ANPD (Resolução CD/ANPD nº 18, del 16 luglio 2024, portando punti molto importanti sulla designazione del responsabile, i tuoi doveri e attribuzioni legali, e sui conflitti di interessi
Inizialmente, dobbiamo ricordare che la nomina di un DPO non è obbligatoria solo per le microimprese, piccole imprese estartup – i cosiddetti "agenti di trattamento di piccole dimensioni". Tuttavia, nel caso in cui l'azienda svolga attività ad alto rischio per i dati personali (con un uso intensivo dei dati, trattamento di dati che possa influenzare diritti fondamentali, o tramite di tecnologie emergenti o innovative – caso dell'Intelligenza Artificiale, per esempio, dovrà nominare un DPO anche se considerata un agente di piccole dimensioni – e questo può essere scoperto solo attraverso unvalutazionerealizzato da una consulenza legale specializzata
Per le aziende obbligate a nominare un Responsabile, ci sono diversi accorgimenti che dovranno essere osservati al fine di rispettare le nuove regole emanate dall'ANPD. Il primo di questi accorgimenti riguarda il modo stesso in cui viene nominato il DPO. Secondo la nuova sistematica, è obbligatorio che la nomina sia effettuata tramite un documento scritto, datato e firmato – documento che dovrà essere presentato all'ANPD qualora venga richiesta in tal senso. Queste formalità dovranno essere osservate anche nella designazione del sostituto che agirà in assenza del DPO (come ferie o assenze per motivi di salute). La raccomandazione dell'ANPD è che questo "atto formale" sia, per esempio, un contratto di prestazione di servizi (nel caso in cui il DPO sia esterno all'organizzazione), ma può essere fatto anche mediante un additivo al contratto di lavoro nel caso in cui il Responsabile sia un dipendente che opera secondo il regime della CLT
Inoltre, l'azienda dovrà "stabilire le qualifiche professionali necessarie per l'espletamento delle mansioni del responsabile", si raccomanda anche che venga effettuata tramite atto formale (come una politica interna), garantendo così che venga nominata una persona con conoscenze adeguate sulla protezione dei dati personali e sulla sicurezza delle informazioni
Un punto molto importante della nuova regolamentazione, peraltro, è ciò che autorizza il DPO a essere sia una persona fisica (potendo far parte del personale dell'azienda, o esterno a essa) quanto a pessoa giuridica, chiudendo un dubbio riguardo all'operato di aziende specializzate inDPO come servizio.
Indipendentemente dalla natura giuridica del DPO, la regola richiede che la tua identità e le tue informazioni di contatto siano divulgate adeguatamente (preferibilmente sul sito dell'azienda), con l'indicazione del nome completo (se persona fisica) o nome aziendale e nome della persona fisica responsabile (nel caso di persona giuridica); oltre a informazioni minime di contatto (come e-mail e telefono), che permettano la ricezione di comunicazioni da titolari o dall'ANPD
In relazione alle attività del DPO, la norma introduce una serie di nuovi compiti, notoriamente per fornire assistenza e orientamento alla leadership dell'azienda su
Io – registrazione e comunicazione di incidente di sicurezza
II – registro delle operazioni di trattamento dei dati personali
III – relazione di impatto sulla protezione dei dati personali
IV – meccanismi interni di supervisione e di mitigazione dei rischi relativi al trattamento dei dati personali
V – misure di sicurezza, tecniche e amministrative, idonee a proteggere i dati personali da accessi non autorizzati e da situazioni accidentali o illecite di distruzione, perdita, modifica, comunicazione o qualsiasi forma di trattamento inadeguato o illecito
VI – processi e politiche interne che garantiscano il rispetto della Legge n. 13.709, 14 agosto 2018, e dei regolamenti e linee guida dell'ANPD
VII – strumenti contrattuali che disciplinano questioni relative al trattamento dei dati personali
VIII – trasferimenti internazionali di dati
IX – regole di buone pratiche e di governance e programma di governance sulla privacy, nei termini dell'art. 50 della Legge n. 13.709, 14 agosto 2018
X – prodotti e servizi che adottano standard di design compatibili con i principi previsti nel GDPR, includendo la privacy per impostazione predefinita e la limitazione della raccolta di dati personali al minimo necessario per il raggiungimento delle sue finalità; E
XI – altre attività e presa di decisioni strategiche relative al trattamento dei dati personali
Si verifica che c'è stata una grande ampliamento delle responsabilità del DPO, in modo che la scelta deve necessariamente ricadere su un professionista qualificato, non è più possibile la pratica comune di nominare un collaboratore interno "per semplice formalità". Così, diventa ancora più interessante che le aziende valutino l'assunzione di un DPO esterno, specialmente quando non c'è nel proprio personale un dipendente con la qualifica o la disponibilità per l'esercizio delle mansioni del Responsabile
La disponibilità, peraltro, è un altro fattore importante da analizzare al momento della nomina del DPO. Le nuove regole richiedono che il Responsabile eviti qualsiasi conflitto di interessi, che possono sorgere quando si svolgono altre funzioni internamente nell'azienda, o quando accumula funzioni di Responsabile con quelle relative a decisioni strategiche all'interno dell'organizzazione
Perciò, è sempre consigliabile che il DPO possa dedicarsi esclusivamente alle attività relative alla protezione dei dati personali (soprattutto quando c'è un grande volume di dati personali trattati dall'azienda), al fine di ridurre al minimo il rischio di conflitti di interesse – cosa che potrebbe portare all'applicazione di multe o altre sanzioni all'azienda, nel caso venga rilevato dall'ANPD
Finalmente, è sempre importante sottolineare che, anche se ci sia la nomina di un DPO, chi è responsabile del trattamento e della protezione dei dati personali è l'azienda, cioè: in caso di fallimenti nell'operato del DPO, è l'organizzazione – e non la persona nominata – che risponderà per multe o indennità derivanti dal cattivo uso dei dati personali. Così, la scelta del Responsabile deve essere effettuata con molta attenzione, e preferibilmente con il supporto legale necessario per garantire che avvenga in conformità con la LGPD e con le regole dell'ANPD
