데이터 보호 일반 법률이 발표된 이후, 2018년에, 데이터 처리 책임자(유명한 "DPO")의 역할에 대한 규제에 대한 기대가 컸다. 규정은 2024년 7월에 국가 데이터 보호 기관에 의해 최종 발표되었다 – ANPD (Resolução CD/ANPD nº 18, 2024년 7월 16일, 담당자 지정에 대한 매우 중요한 사항을 제시합니다, 당신의 의무와 법적 권한, 이해 충돌에 관하여
초기에는, 우리는 DPO의 임명이 소규모 기업에 대해서만 의무가 아니라는 것을 기억해야 한다, 소규모 기업과스타트업 – 소위 "소규모 처리 에이전트". 그러나, 회사가 개인 데이터에 대한 고위험 활동을 수행하는 경우(데이터를 집중적으로 사용하는 경우, 기본권에 영향을 미칠 수 있는 데이터 처리, 신흥 또는 혁신적인 기술을 통해 – 인공지능의 경우, 예를 들어), 소규모 사업자일지라도 DPO를 지정해야 합니다 – 이것은 오직 하나의 방법으로만 발견될 수 있다평가전문 법률 자문에 의해 수행됨
Encarregado를 지정해야 하는 기업을 위해, ANPD가 제정한 새로운 규정을 준수하기 위해 지켜야 할 여러 가지 주의사항이 있습니다. DPO가 임명되는 방식 자체에 대한 첫 번째 주의 사항입니다. 새로운 시스템에 따라, 임명은 서면 문서를 통해 이루어져야 합니다, 날짜와 서명 – ANPD에 요청이 있을 경우 제출해야 하는 문서. 이러한 형식적인 사항은 DPO의 부재(예: 휴가 또는 건강 문제로 인한 결근) 동안 활동할 대리인을 지명할 때에도 준수되어야 한다. ANPD의 권장 사항은 이 "공식적인 행위"가 되도록 하는 것입니다, 예를 들어, 서비스 제공 계약(외부 DPO인 경우), 또한 CLT 제도에 따라 근무하는 직원인 경우 근로 계약에 대한 추가 조항을 통해서도 이루어질 수 있습니다
더불어, 회사는 "담당자의 직무 수행에 필요한 전문 자격을 설정해야 한다", 또한 공식적인 행위(내부 정책과 같은)를 통해 이루어져야 한다고 권장된다, 이렇게 개인 데이터 보호 및 정보 보안에 대한 적절한 지식을 가진 사람이 임명되도록 보장합니다
새로운 규정의 매우 중요한 점, 그렇다면, DPO가 개인일 수 있도록 허용하는 것입니다(회사의 직원 목록에 포함될 수 있음, 그녀에게 외부인으로서) 법인으로서, 전문 기업의 활동에 대한 의문을 마무리하며서비스로서의 DPO.
DPO의 법적 성격에 관계없이, 규칙은 귀하의 신원과 연락처 정보가 적절하게 공개되도록 요구합니다(가능하면 회사 웹사이트에), 개인인 경우 전체 이름(개인) 또는 법인의 경우 기업 이름과 책임 있는 개인의 이름을 명시해야 합니다; 최소한의 연락처 정보(이메일 및 전화번호 등) 외에도, 소유자 또는 ANPD의 통신 수신을 허용하는
DPO의 활동에 관하여, 규정은 새로운 일련의 의무를 제시합니다, 특히 회사의 리더십에 대한 지원 및 지침을 제공하기 위해:
나 – 보안 사고의 기록 및 통신
II – 개인 데이터 처리 작업의 기록
III – 개인 데이터 보호에 대한 영향 보고서
IV – 개인 데이터 처리와 관련된 위험 완화 및 감독을 위한 내부 메커니즘
V – 보안 조치, 기술 및 관리, 개인 데이터를 무단 접근 및 우발적이거나 불법적인 파괴로부터 보호하는 데 적합하다, 손실, 변경, 부적절하거나 불법적인 의사소통 또는 어떤 형태의 대우
VI – 법 제13호의 준수를 보장하는 내부 프로세스 및 정책.709, 2018년 8월 14일, ANPD의 규정 및 지침
VII – 개인 데이터 처리와 관련된 문제를 규율하는 계약적 도구
VIII – 국제 데이터 전송
IX – 개인정보 보호를 위한 좋은 관행 및 거버넌스 규칙과 거버넌스 프로그램, 법 제 조항에 따라. 법 제13호 50.709, 2018년 8월 14일
X – LGPD에 명시된 원칙에 부합하는 디자인 표준을 채택한 제품 및 서비스, 기본적으로 프라이버시를 포함하고 목적을 달성하는 데 필요한 최소한의 개인 데이터 수집으로 제한하는 것; e
XI – 개인 데이터 처리와 관련된 기타 활동 및 전략적 의사 결정
DPO의 책임이 크게 확대된 것으로 확인됩니다, 따라서 선택은 반드시 능력 있는 전문가에게 이루어져야 한다, 이제 내부 직원을 "단순한 형식"으로 지명하는 일반적인 관행이 더 이상 가능하지 않다. 그렇게, 기업들이 외부 DPO 채용을 고려하는 것이 더욱 흥미로워진다, 특히 자신의 직원 중에 담당자의 업무를 수행할 자격이나 시간이 있는 직원이 없을 때
가용성, 그렇다면, DPO 임명 시 분석해야 할 또 다른 중요한 요소입니다. 새로운 규칙은 담당자가 이해 상충을 피해야 한다고 요구합니다, 회사의 내부에서 다른 직무를 수행할 때 발생할 수 있는 것들, 또는 조직 내에서 전략적 결정과 관련된 역할을 담당하는 경우
그래서, DPO가 개인 데이터 보호와 관련된 활동에 전념할 수 있는 것이 항상 권장됩니다(특히 회사에서 처리하는 개인 데이터의 양이 많은 경우), 이해 상충의 위험을 최대한 줄이기 위해 – 회사가 벌금이나 기타 처벌을 받을 수 있는 이유, ANPD에 의해 감지될 경우
마침내, 항상 강조하는 것이 중요하다, DPO의 임명이 있더라도, 개인 데이터의 처리 및 보호에 대한 책임은 회사에 있습니다, 즉: DPO의 역할 수행에 실패할 경우, 조직이다 – 그리고 지명된 사람이 아니다 – 개인 데이터의 부적절한 사용으로 인한 벌금이나 보상에 대해 책임을 질 것입니다. 그렇게, 담당자의 선택은 매우 신중하게 이루어져야 한다, 법적 지원을 통해 LGPD 및 ANPD 규정에 따라 진행될 수 있도록 하는 것이 바람직합니다
