2018 年に一般データ保護法が公布されて以来、データ管理者 (有名な「DPO」) のパフォーマンスの規制に関して多くの期待が寄せられていました。この基準は、最終的に国家データ保護局によって 2024 年 7 月に発行されました (2024 年 7 月 16 日の CD/ANPD 決議第 18 号)。責任者の指定、その義務と法的義務、利益相反に関する非常に重要な点をもたらしました。
まず、DPO の任命のみが零細企業、中小企業などには必須ではないことを覚えておく必要があります スタートアップ nd いわゆる「小規模処理のエージェント」。ただし、企業が個人データに対してリスクの高い活動を展開している場合(データの集中的な使用、基本的権利に影響を与える可能性のあるデータ処理、または新興または革新的なテクノロジー(たとえば人工知能の場合)を通じて)、たとえそれが小規模エージェントとみなされたとしても、DPO を任命する必要があります。これは a によってのみ発見できます 評価 専門の法律コンサルタント会社によって実施されます。
Charge を任命する必要がある企業の場合、ANPD が発行した新しい規則に準拠するために遵守する必要があるいくつかの予防措置があります。これらの 1 つ目は、DPO の任命方法そのものに関するものです。新しいシステムでは、任命は書面による文書を通じて実行されることが義務付けられており、この意味での要求があった場合に ANPD に提出する必要がある日付と署名の 1 文書。これらの手続きは、DPO の不在中に行動する代理人の指示にも遵守される必要があります。 ANPD 制度は、この正式な「例えば、DPO に対して仕事が実行される可能性があるが、従業員である場合もある」と推奨されていますが、雇用である場合もあります。雇用契約も契約によって裁定されます。
さらに、企業は INCARN 役員の職務の遂行に必要な専門的資格を確立する必要があり、これは正式な行為 (内部方針など) によって行うことも推奨されており、これにより適切な知識を持つ人材を確保することができます。個人データ保護と情報セキュリティに関する知識が任命されます。
実際、新しい規制の非常に重要な点は、DPO が個人 (会社のスタッフの一部である場合もあれば、会社の外部である場合もあります) と法人の両方であることを許可し、専門企業の業績に関する疑念に終止符を打つことです。で サービスとしての DPO.
DPO の法的性質に関係なく、この規則では、お客様の身元情報と連絡先情報が、フルネーム (個人の場合) または事業名および責任ある自然人の名前を示して、適切に (できれば会社の Web サイトで) 開示されることが求められています。 (法人の場合);最小限の連絡先情報(電子メールや電話など)に加えて、所有者または ANPD からの通信を受信できるようになります。
DPOの活動に関して、この規格は一連の新しい任務をもたらし、特に以下の点について会社の指導者に支援と指導を提供することを目的としています:
I. セキュリティインシデントを記録して報告する;
II.個人データ処理操作の記録;
III - 個人データの保護に関する影響報告書;
IV.個人データの処理に関連するリスクの監督と軽減のための内部メカニズム;
V. 不正アクセス、破壊、紛失、改ざん、通信、またはあらゆる形式の不適切または違法な処理による偶発的または違法な状況から個人データを保護できる技術的および管理上のセキュリティ対策;
VI 13,709, of August 14, 2018, and the regulations and guidelines of the ANPD; (2018年8月14 日のVI 13,709、およびANPDの規則とガイドライン)
VII 個人データの処理に関連する事項を管理する契約文書;
VIII 国際データ転送;
IX 「法律第 50 条に基づく、プライバシーにおける優良事例およびガバナンスおよびガバナンス プログラムの規則」 13,709、2018 年 8 月 14 日;
X. LGPDで定められた原則に合致した設計基準を採用する製品およびサービス, デフォルトでプライバシーを含み、その目的の達成に必要な最小限まで個人データの収集を制限; そして
XI.個人データの処理に関連するその他の活動および戦略的意思決定。
DPO の責任が大幅に拡大したことが確認されているため、選択は必然的に訓練を受けた専門家に委ねられなければならず、「単純な形式によって」社内従業員を任命するという一般的な慣行はもはや不可能となっています。したがって、特に担当者の業務を遂行する資格や空き状況を備えた従業員が自社のスタッフにいない場合、企業が外部 DPO の採用を評価することはさらに興味深いことになります。
さらに、DPO を任命する際に分析すべきもう 1 つの重要な要素は、可用性です。新しい規則では、責任者は、社内で他の職務を遂行する場合、または組織内の戦略的決定に関連する職務を担当者の職務を蓄積する場合に生じる可能性のある利益相反を回避する必要があります。
したがって、利益相反のリスクを軽減するために、DPO は個人データの保護に関連する活動 (特に会社によって処理される個人データが大量にある場合) に専念できることを常にお勧めします。 ANPD によって検出された場合、罰金やその他の罰則が会社に課される可能性があります。
最後に、DPO の任命があったとしても、企業は個人データの処理と保護に責任を負っていることに常に注意することが重要です。つまり、DPO の履行に失敗した場合、個人データの悪用から生じる罰金や補償の責任を負うのは組織 'n であり、 ̄ という名前の人物ではありません。したがって、責任者の選択は細心の注意を払って、できればLGPDとANPDの規則に従って行われることを保証するために必要な法的支援を得て行われるべきです。
