2018년 일반 데이터 보호법이 공포된 이후로, 데이터 처리 책임자(소위 "DPO")의 역할 규제에 대한 기대가 컸습니다. 규범은 2024년 7월에 국가 데이터 보호 기관인 ANPD(2024년 7월 16일 CD/ANPD 결의안 № 18)에 의해 최종적으로 발표되었으며, 책임자 지정, 그의 의무와 법적 권한, 이해 충돌에 관한 매우 중요한 사항들을 다루고 있습니다.
처음에, 마이크로기업, 소기업 및스타트업소규모 처리 담당자라고 불리는 것들. 그러나 회사가 개인 데이터에 대해 고위험 활동을 수행하는 경우(데이터의 집중적 사용, 기본권에 영향을 미칠 수 있는 데이터 처리 또는 인공지능과 같은 신기술 또는 혁신적인 기술을 통해 수행하는 경우 예를 들어), 소규모 기관으로 간주되더라도 DPO를 지정해야 하며, 이는 오직 에 의해 발견될 수 있습니다평가전문 법률 자문 회사에 의해 수행됨.
Encarregado를 지정해야 하는 기업들은 ANPD가 제정한 새로운 규정을 준수하기 위해 여러 가지 주의해야 할 사항들이 있습니다. 이러한 주의의 첫 번째는 DPO가 임명되는 방식 자체에 관한 것입니다. 새로운 제도에 따라, 임명은 서면 문서로 이루어져야 하며, 날짜와 서명이 있어야 합니다. 이 문서는 요청이 있을 경우 ANPD에 제출해야 합니다. 이러한 형식도 DPO의 부재 시(휴가 또는 건강 문제로 인한 결근 등)에 대체자가 지켜야 합니다. ANPD의 권고는 이 "공식 행위"가 예를 들어 외부 DPO인 경우 서비스 제공 계약서일 수 있으며, 또한 담당자가 CLT 제도에 따라 근무하는 직원인 경우 고용 계약서에 부속서로 작성될 수도 있다고 제안합니다.
또한, 회사는 "담당자의 업무 수행에 필요한 직업적 자격을 확립"해야 하며, 이는 내부 정책과 같은 공식적인 행위를 통해 이루어지는 것이 권장되며, 이를 통해 개인정보 보호 및 정보 보안에 대한 적절한 지식을 갖춘 인물을 임명하도록 보장해야 합니다.
새로운 규제의 매우 중요한 점은 DPO가 개인(회사의 직원으로 포함되거나 외부인일 수 있음) 또는 법인 모두 될 수 있도록 허용한다는 것으로, 이는 전문 업체의 활동에 관한 의문을 해소한다.서비스로서의 DPO.
DPO의 법적 성격에 관계없이, 규칙은 그 신원과 연락처 정보를 적절하게 공개할 것을 요구하며 (가능하면 회사 웹사이트에), 전체 이름(개인인 경우) 또는 법인명과 책임자의 이름(법인인 경우)을 명시해야 하며, 최소한의 연락처 정보(이메일 및 전화번호)를 포함하여 소유자 또는 ANPD로부터의 통신을 받을 수 있도록 해야 합니다.
DPO의 활동과 관련하여, 규범은 특히 다음에 대해 회사의 리더십에게 지원과 지침을 제공하는 새로운 임무들을 제시합니다:
I – 보안 사고 등록 및 통보;
II – 개인정보 처리 작업의 기록;
III – 개인정보 보호 영향 평가 보고서
IV – 개인정보 처리와 관련된 내부 감독 및 위험 완화 메커니즘
V – 비인가 접근 및 우발적 또는 불법적인 파괴, 손실, 변경, 통신 또는 부적절하거나 불법적인 처리의 상황으로부터 개인정보를 보호할 수 있는 안전, 기술 및 행정적 조치;
VI – 법률 제13.709호(2018년 8월 14일 제정) 및 ANPD의 규정과 지침 준수를 보장하는 내부 절차 및 정책;
VII – 개인정보 처리와 관련된 문제를 규율하는 계약 도구;
VIII – 국제 데이터 전송;
IX – 좋은 관행 및 거버넌스 규칙과 2018년 8월 14일 법률 제13.709호 제50조에 따른 개인정보 보호 거버넌스 프로그램
X – LGPD에 따른 원칙에 부합하는 디자인 표준을 채택하는 제품 및 서비스, 기본적으로 개인정보 보호 및 목적 달성에 필요한 최소한의 개인정보 수집 제한 포함; 그리고
XI – 개인정보 처리와 관련된 기타 활동 및 전략적 의사 결정.
DPO의 책임이 크게 확대되었음을 확인할 수 있으며, 따라서 선택은 반드시 능력 있는 전문가에게 내려져야 하며, 더 이상 내부 직원의 이름을 "단순한 형식"으로 지정하는 일반적인 관행은 불가능합니다. 따라서, 특히 내부 직원 중에 담당자의 업무 수행에 적합한 자격이나 가용성이 없는 경우, 외부 DPO를 채용하는 것이 더욱 흥미로워집니다.
가용성은 또한 DPO 임명 시 분석해야 할 또 다른 중요한 요소입니다. 새로운 규칙은 담당자가 회사 내에서 다른 역할을 수행하거나 조직 내 전략적 결정과 관련된 역할을 겸할 때 발생할 수 있는 이해 충돌을 피해야 한다고 요구합니다.
그래서 DPO는 개인 정보 보호와 관련된 활동에 전념하는 것이 항상 권장되며(특히 회사가 처리하는 개인 정보의 양이 많은 경우), 이해 충돌의 위험을 최대한 줄이기 위해서입니다. 이는 ANPD가 적발할 경우 회사에 벌금이나 기타 제재가 부과될 수 있습니다.
마지막으로, DPO를 임명하더라도 개인 정보의 처리 및 보호 책임은 회사에 있다는 점을 항상 강조하는 것이 중요합니다. 즉, DPO의 역할에 실패할 경우, 책임은 임명된 사람이 아니라 조직이 지며, 개인 정보의 오용으로 인한 벌금이나 배상 책임을 지게 됩니다. 따라서 책임자의 선정은 매우 신중하게 이루어져야 하며, LGPD 및 ANPD 규정을 준수하도록 필요한 법률 지원을 받는 것이 바람직합니다.
