Since the publication of the General Data Protection Law in 2018, there was considerable anticipation regarding the regulation of the Data Protection Officer's (the famous "DPO") role. The regulation was finally published in July 2024 by the National Data Protection Authority – ANPD (Resolution CD/ANPD no. 18, of July 16, 2024), bringing very important points regarding the appointment of the officer, their duties and legal responsibilities, and conflicts of interest.
Initially, we must remember that the appointment of a DPO is only not mandatory for micro, small and startup – de såkaldte "småskalabehandlingsagenter". Men hvis virksomheden udvikler aktiviteter med høj risiko for personlige data (med intensiv brug af data, behandling af data, der kan påvirke grundlæggende rettigheder, eller ved hjælp af nye eller innovative teknologier – såsom kunstig intelligens, for eksempel), skal den stadig udnævne en DPO, selvom den anses for at være en småskalaagent – og det kan kun opdages ved en valutazione Performed by a specialized legal consultancy.
Per le aziende obbligate a nominare un Responsabile della protezione dei dati (DPO), ci sono diverse precauzioni da prendere per rispettare le nuove regole emanate dall'ANPD. La prima di queste precauzioni riguarda la stessa modalità di nomina del DPO. Secondo la nuova procedura, è obbligatorio che la nomina avvenga tramite un documento scritto, datato e firmato, documento che dovrà essere presentato all'ANPD in caso di richiesta. Queste formalità dovranno essere osservate anche nella designazione del sostituto che agirà in caso di assenza del DPO (come ferie o assenze per motivi di salute). La raccomandazione dell'ANPD è che questo "atto formale" sia, ad esempio, un contratto di prestazione di servizi (se il DPO è esterno all'organizzazione), ma può anche essere fatto mediante un allegato al contratto di lavoro se il Responsabile è un dipendente che opera secondo il regime del Codice del Lavoro.
Dessutom skal företaget "fastställa de nödvändiga yrkeskvalifieringarna för utförande av anställdas uppgifter", vilket också rekommenderas att göras genom ett formellt dokument (som en intern policy), för att säkerställa att en person med lämplig kunskap om skydd av personuppgifter och informations säkerhet utses.
Un punto molto importante della nuova regolamentazione, del resto, è quello che autorizza il DPO ad essere sia una persona fisica (potendo far parte del quadro dei dipendenti dell'azienda, o esterna ad essa) sia una persona giuridica, chiudendo un dubbio riguardo all'attività di aziende specializzate in DPO as a Service.
Regardless of the legal nature of the DPO, the rule requires that their identity and contact information be adequately disclosed (preferably on the company website), indicating the full name (if a natural person) or the company name and the responsible natural person's name (in the case of a legal entity); in addition to minimum contact information (such as email and phone), which allows for the receipt of communications from data subjects or the ANPD.
Regarding the DPO's activities, the standard introduces a number of new responsibilities, particularly to provide assistance and guidance to the company's leadership regarding:
I – incident security logging and communication;
II – registra delle operazioni di trattamento dei dati personali;
III – Rapporto sull'impatto sulla protezione dei dati personali;
IV – Interne mekanismer for tilsyn og risikoavhændelse vedrørende behandling af personoplysninger;
V – sikkerhetstiltak, tekniske og administrative tiltak egnet til å beskytte personopplysninger mot uautorisert tilgang og tilfeldige eller ulovlige hendelser som fører til ødeleggelse, tap, endring, kommunikasjon eller annen form for uegnet eller ulovlig behandling;
VI – intern prosesser og politikker som sikrer overholdelse av lov nr. 13.709, av 14. august 2018, og ANPDs forskrifter og retningslinjer.
VII – contractual instruments governing issues related to the processing of personal data;
VIII – International data transfers;
IX – regler for god praksis og styring og et privatsfærs-styrings program, i henhold til artikel 50 i lov nr. 13.709, af 14. august 2018.
X – produkter og tjenester som vedtar designstandarder kompatible med prinsippene i LGPD, inkludert standardprivatliv og begrensning av innsamling av personopplysninger til det minste nødvendige for å oppnå deres formål; og
XI – other activities and strategic decision-making regarding the processing of personal data.
Det er påvist en betydelig utvidelse av DPOs ansvar, slik at valget nødvendigvis må falle på en kvalifisert fagperson. Det er ikke lenger mulig å følge den vanlige praksisen med å utnevne en intern medarbeider "bare for formalitetens skyld". Derfor blir det enda mer interessant for bedrifter å vurdere å ansette en ekstern DPO, spesielt når det ikke finnes en ansatt med den nødvendige kvalifikasjonen eller kapasiteten i egne rekker til å utføre Encarregados oppgaver.
Tilgjengelighet er faktisk en annen viktig faktor å vurdere ved utnevnelse av DPO. Nye regler krever at den ansvarlige parten unngår eventuelle interessekonflikter, som kan oppstå når vedkommende utfører andre interne funksjoner i selskapet, eller når rollen som ansvarlig person kombineres med roller knyttet til strategiske beslutninger i organisasjonen.
Pertanto, è sempre consigliabile che il DPO possa dedicarsi esclusivamente alle attività relative alla protezione dei dati personali (specialmente quando un'azienda gestisce un grande volume di dati personali), al fine di ridurre al minimo il rischio di conflitti di interesse – il che potrebbe comportare l'applicazione di multe o altre sanzioni all'azienda, qualora rilevato dall'ANPD.
Infine, è sempre importante sottolineare che, anche se viene nominato un DPO, la responsabilità del trattamento e della protezione dei dati personali è dell'azienda, ovvero: in caso di errori nell'operato del DPO, l'organizzazione – e non la persona nominata – risponderà per le multe o le indennizzazioni derivanti dal cattivo uso dei dati personali. Pertanto, la scelta del Responsabile deve essere effettuata con molta attenzione, e preferibilmente con il supporto legale necessario per garantire che avvenga in conformità con il GDPR e con le regole dell'ANPD.
