2018年の一般データ保護法の公布以来、データ処理責任者(通称「DPO」)の活動に関する規制について多くの期待が寄せられていました。 規則は最終的に2024年7月の月に国家データ保護局(ANPD)によって公布されました(CD/ANPD決議第18号、2024年7月16日)。これには、担当者の指名、義務と法的責任、利益相反に関する非常に重要なポイントが含まれています。
まず、DPOの任命は、小規模企業、中小企業、および小規模企業にとって必須ではないことを覚えておく必要があります。スタートアップいわゆる「小規模処理事業者」。 しかし、企業が個人データに対して高リスクの活動を行う場合(大量のデータの使用、基本的権利に影響を与える可能性のあるデータ処理、または新興または革新的な技術を通じて—例えば人工知能の場合)、小規模な事業者と見なされていてもDPOを任命する必要があります—そして、それはただの調査によってのみ判明します評価専門の法律コンサルタントによって実行されます。
ENPDによって制定された新しい規則を遵守するために、担当者を任命する義務のある企業は、さまざまな注意点を守る必要があります。 これらの注意点の最初は、DPOの任命の仕方に関係しています。 新しい制度では、指名は書面に記載され、日付と署名が必要であることが義務付けられています。その書類は、その旨の要請があった場合にANPDに提出される必要があります。 これらの形式も、DPOの不在時(休暇や健康上の理由による休暇など)に代わる者の指名において遵守される必要があります。 ANPDの推奨は、この「正式な行為」が例えば、DPOが組織外の場合はサービス提供契約であることですが、担当者が労働法(CLT)に基づいて働く従業員である場合は、雇用契約の付加条項によって行うこともできます。
さらに、企業は「担当者の職務を遂行するために必要な専門的資格を確立する」必要があり、これも正式な行為(社内ポリシーなど)を通じて行うことが推奨されており、これにより、個人情報保護と情報セキュリティに関する十分な知識を持つ人が任命されることが保証されます。
実際、新しい規制の非常に重要な点は、DPOが自然人(会社のスタッフの一部または外部)または法人のいずれかであることを認めていることであり、これにより、DPOの専門分野の企業のパフォーマンスに関する疑問が解消されます。DPO サービス.
DPO の法的性質にかかわらず、規則では、DPO の身元と連絡先情報が適切に開示され(できれば会社の Web サイトで)、氏名(自然人の場合)または会社名と責任者の自然人の名前(法人の場合)が示されることが義務付けられています。保有者または ANPD からの通信を受信できるように、最低限の連絡先情報 (電子メールや電話など) も提供します。
DPO の活動に関して、この規格では、特に次の点について企業のリーダーシップに支援とガイダンスを提供するための一連の新しい属性が導入されています。
I – セキュリティインシデントの記録と報告
II – 個人データ処理業務の記録
III – 個人データの保護への影響に関する報告
IV – 個人データの処理に関連するリスクを監視および軽減するための内部メカニズム。
V – 個人データを不正アクセス、偶発的または違法な破壊、紛失、改ざん、伝達、またはあらゆる形式の不適切または違法な処理から保護できる技術的および管理上のセキュリティ対策。
VI – 2018年8月14日の法律第13,709号およびANPDの規制とガイドラインへの準拠を保証する内部プロセスとポリシー。
VII – 個人データの処理に関連する問題を規制する契約文書。
VIII – 国際データ転送
IX – 優れた実践とガバナンスのルール、およびプライバシー ガバナンス プログラム (芸術に準拠)。 2018年8月14日の法律第13,709号の50号。
X – LGPD に定められた原則に準拠した設計基準を採用した製品およびサービス。これには、デフォルトでプライバシーが考慮され、個人データの収集が目的達成に必要な最小限に制限されることが含まれます。そして
XI – 個人データの処理に関するその他の活動および戦略的意思決定。
DPOの責任範囲が大幅に拡大されたことが確認されており、その選択は必ず有資格の専門家にすべきであり、単なる形式的に内部の従業員を任命するという一般的な慣行はもはや不可能です。 したがって、特に自社の従業員の中に担当者の業務を遂行する資格や時間的余裕がない場合、企業が外部のDPOを採用することを検討することは、さらに興味深いものとなる。
利用可能性は、DPOの任命時に分析すべきもう一つの重要な要素です。 新しい規則は、担当者が内部で他の役割を果たす際や、組織内の戦略的決定に関連する役割と兼務する際に生じる可能性のある利益相反を避ける必要があることを要求しています。
したがって、利益相反のリスクを最小限に抑えるために、DPO は常に個人データの保護に関連する活動に専念できるようにすることが推奨されます (特に、会社が大量の個人データを処理する場合)。利益相反は、ANPD によって検出された場合に会社に罰金やその他の罰則が適用される場合があります。
最後に、DPOの任命があったとしても、個人データの処理と保護に責任を持つのは企業であることを常に強調することが重要です。つまり、DPOの活動に不備があった場合、罰金や損害賠償の責任を負うのは、任命された個人ではなく、組織です。 したがって、責任者の選任は慎重に行う必要があり、できればLGPDおよびANPDの規則に準拠して行われるように、必要な法的支援を受けることが望ましい。
