一般データ保護法の公布以来, 2018年に, データ処理責任者(いわゆる「DPO」)の活動に関する規制に対する期待が高まっていた. その規則は2024年7月に国家データ保護機関によって最終的に公布されました – ANPD (Resolução CD/ANPD nº 18, 2024年7月16日から, 責任者の指定に関する非常に重要な点を挙げています, あなたの義務と法的な職務, 利害の対立について
最初に, マイクロ企業に対してのみDPOの任命は義務ではないことを思い出すべきです, 小規模企業とスタートアップ – いわゆる「小型処理エージェント」. しかし, 企業が個人データに対して高リスクな活動を行う場合(データの集中的な使用を伴う), 基本的権利に影響を与える可能性のあるデータ処理, 新興または革新的な技術を通じて – 人工知能の事例, 例えば, 小規模事業者であってもDPOを任命する必要があります – それはただの方法で発見されることができます評価専門の法律コンサルタントによって実施された
責任者を任命することが義務付けられている企業のために, ANPDによって制定された新しい規則を遵守するために観察すべきさまざまな注意事項があります. この注意の最初の点は、DPOがどのように任命されるかに関するものです. 新しいシステムによって, 任命は書面によって行われることが義務付けられています, 日付と署名 – ANPDにその旨の要請があった場合に提出されるべき文書. これらの形式的な手続きは、DPOの不在(休暇や健康上の理由による離脱など)において代行する者の指名にも適用されるべきである. ANPDの推奨は、この「正式な行為」が行われるべきであるということです, 例えば, 外部の組織にDPOがいる場合のサービス提供契約, ただし、担当者がCLT制度で働く従業員である場合、労働契約に対する付加条項によっても行うことができます
さらに, 企業は「責任者の職務を遂行するために必要な専門的資格を定めるべきである」, 正式な行為(内部ポリシーなど)を通じて行うことが推奨される, そのため、個人データ保護および情報セキュリティに関する適切な知識を持つ人物が任命されることを保証します
新しい規制の非常に重要なポイント, ちなみに, それはDPOが個人であり、企業の従業員の一部となることができることを許可するものです, 彼女に対して外部であるか、法人として, 専門企業の活動に関する疑問を解消するDPO サービス.
DPOの法的性質に関係なく, 規則は、あなたの身元と連絡先情報が適切に公開されることを要求しています(できれば会社のウェブサイトで), 個人の場合はフルネームを、法人の場合は企業名と責任者の名前を示してください; 最小限の連絡先情報(メールアドレスや電話番号など)に加えて, 保有者またはANPDからの通信を受け取ることを許可する
DPOの活動に関して, その規範は一連の新しい職務をもたらします, 特に企業のリーダーシップに対して支援と指導を提供するために
私 – セキュリティインシデントの記録と通信
II – 個人データ処理の操作の記録
III – 個人データ保護に関する影響報告書
IV – 個人データ処理に関するリスクの監視および軽減のための内部メカニズム
V – セキュリティ対策, 技術と管理, 個人データを不正アクセスや偶発的または違法な破壊から保護するために適切です, 損失, 変更, 不適切または違法なコミュニケーションや扱いのいかなる形態
VI – 法律第13号の遵守を確保するための内部プロセスとポリシー.709, 2018年8月14日, ANPDの規則と指針について
七 – 個人データの取り扱いに関する問題を規定する契約上の文書
八 – 国際データ移転
IX – プライバシーに関するガバナンスプログラムおよびガバナンスの良好な実践に関する規則, 第の条の規定に従って. 法律第13号の50.709, 2018年8月14日
バツ – LGPDに定められた原則に適合したデザイン基準を採用した製品とサービス, デフォルトでのプライバシーの確保と、目的を達成するために必要最低限の個人データの収集の制限; そして
XI – 個人データの取り扱いに関する他の活動および戦略的意思決定
DPOの責任が大幅に拡大したことが確認される, したがって、選択は必ず有能な専門家に委ねられるべきである, 内部の協力者を「単なる形式的な理由」で指名することがもはや不可能になった. そう, 企業が外部DPOの雇用を検討することがさらに興味深くなる, 特に、自社の従業員の中に責任者の業務を遂行するための資格や時間的余裕を持つ従業員がいない場合
可用性, ちなみに, DPOの任命時に分析すべきもう一つの重要な要素です. 新しい規則では、担当者は利益相反を避ける必要があります, 社内で他の職務を行う際に生じる可能性のあること, または、組織内の戦略的決定に関連する役割と責任者の役割を兼任する場合
だから, DPOが個人データ保護に関連する活動に専念できることが常に推奨されます(特に企業が扱う個人データの量が多い場合), 利害関係の対立のリスクを最大限に減らすために – 企業に罰金やその他の制裁が科される原因となること, ANPDによって検出された場合
ついに, 常に強調することが重要です, DPOの任命があっても, 個人データの処理と保護の責任は企業にあります, つまり:DPOの行動に問題がある場合, それは組織です – そして指名された人ではなく – 個人データの不適切な使用に起因する罰金や賠償金に対して責任を負う. そう, 責任者の選定は慎重に行うべきです, そして、LGPDおよびANPDの規則に従って行われることを保証するために必要な法的支援を受けることが望ましい
