Sincé la publicaziun da la Ley General de Protecziun da Datas, an 2018, et war vill Erwaardung iwwer d'Reguléierung vum Handelen vum DPO (de berüchtegte "DPO"). D'Norm war endlech am Juli 2024 vun der Nationaler Autoritéit fir Datenprotectioun verëffentlecht – ANPD (Resolução CD/ANPD nº 18, de 16 de Juli 2024, bréngen wichteg Punkten iwwer d'Bestëmmung vum Bevollmächtegten, seng deviren an attributions legale, e iwwer Interessenskonflikter
Initialement, mir mussen erënneren datt d'Benennung vun engem DPO nëmmen net obligatoresch ass fir Mikroentreprisen, kleng Firmen anstartups – déi genannte "Kleinbehandlungsagenten". Awer, falls d'Firma héichrisik Aktivitéiten fir perséinlech Daten entwéckelt (mat intensiver Notzung vun Daten, behandlung vun date déi fundamentale Rechter beaflossen kënnen, oder duerch emergent oder innovativ Technologien – fall vum Kënschtlecher Intelligenz, fir beispill, soll eng DPO benennen och wann et als klengen Agent betruecht gëtt – anbewäertungrealizéiert vun enger spezialiséierter juristescher Berodung
Fir de Firmen, déi eng Responsabel ernennen mussen, existéieren verschidde Sorgfalt déi beuecht ginn mussen fir d'nei Regelen déi vun der ANPD erausginn sinn ze erfëllen. De primärste vun dëse Suergen bezitt sech op d'Form wéi de DPO benannt gëtt. Pela neie systematik, et ass obligatorisch, datt d'Nominatioun duerch e geschriwwene Dokument gemaach gëtt, datéiert an ënnerschriwwen – dokument dat muss der ANPD präsentiert werden, falls eine solche Anfrage gestellt wird. Dës Formalitéiten mussen och bei der Nominatioun vum Ersatz, deen an der Abwesenheet vum DPO (wéi Feriën oder Absenzen aus Gesondheetsgrënn) agéiert, berücksichtegt ginn. D'ANPD ass recommandatioun ass, datt dësen "formelle Akt" sollt sinn, fir exempel, e kontrakt fir d'Leedung vun Déngschtleeschtungen (falls de DPO extern zur Organisatioun ass), ma awer kann et och gemaach ginn duerch eng Zousatz zum Aarbechtsvertrag wann de Verantwortleche e Mataarbechter ass deen ënner dem CLT Regime schafft
Säin derbäi, d'Firma soll "d'berufflech Qualifikatiounen festleeën, déi néideg sinn fir d'Ausféierung vun den Aufgaben vum Verantwortleche", wat och och empfohl ass duerch eng formell Akt (wéi eng intern Politik) gemaach ze ginn, garantind esou dass eng eng Persoun mat de richtegen Kenntnisser iwwer d'Datenprotectioun an d'Informatiounssécherheet ernannt gëtt
Een heel belangrijk punt van de nieuwe regelgeving, a propos, ass es wat d'Autoriséiert datt de DPO souwuel eng perséinlech Persoun ass (kann Deel vum Personal vun der Firma sinn, ou extern zu ihr) sowohl juristische Person, schléissend eng eng Doud mat Bezuch op d'Aktioun vun spezialiséierte Firmen anDPO als Service.
Onofhërrit nga natyra juridike e DPO, d'Regel erfuerdert, datt är Identitéit an Är Kontaktinformatiounen korrekt verëffentlecht ginn (preferabel op der Websäit vun der Firma), mat der Angabe des vollständigen Namens (bei natürlichen Personen) oder des Firmennamens und des Namens der verantwortlichen natürlichen Person (im Falle von juristischen Personen); neben minimalen Kontaktinformationen (wie E-Mail und Telefon), que erlaa d'Empfang vu Kommunikatiounen vun de Besëtzer oder vun der ANPD
Ier betreffend d'Aktivitéiten vum DPO, d'Norm bréngt eng Rei vu neie Flichten, notabel fir d'Assistenz an d'Orientéierung fir d'Führung vun der Firma iwwer
Ech – registratioun an kommunikation vun enger Sécherheetsincident
II – register of personal data processing operations
III – rapport iwwer d'Impakt op d'Perséinlech Datenprotectioun
IV – interni Mechanismen fir d'Verwiessung an d'Mëssung vun de Risikoen am Zesummenhang mat der Behandlung vun perséinleche Daten
V – sécherheitsmoossnamen, techniken an administrativ, aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, verluere, ännerung, kommunikatioun oder all Form vu unangemessener oder illegaler Behandlung
VI – prosessus an politikë të brendshme që sigurojnë përmbushjen e Ligjit nr. 13.709, de 14 vum August 2018, an de reglementer an d'Orientatiounen vun der ANPD
VII – instrumenter vertraglech déi Froe regléieren, déi mat der Behandlung vun perséinleche Daten ze dinn hunn
VIII – international data transfers
IX – regles vun gudde Praxis an Governance an Programm vun Governance an Privatsphär, nos termes du art. 50 vun der Gesetz Nr. 13.709, de 14 vum August 2018
X – produkter an diensten déi Designstandarden ugeholl hunn déi mat de Prinzipien entspriechen déi an der LGPD virgesin sinn, inklusiv d'Privatsphär als Standard an d'Limitatioun vun der Sammlung vu perséinleche Donnéeën op d'minimum néideg fir d'Erreechung vun hiren Ziler; e
XI – ander aktivitéiten an d'entscheedungen iwwer strategesch Aspekter vum Umgang mat perséinleche Daten
Et gëtt festgestallt, datt et eng grouss Erweiderung an de Verantwortung vum DPO gouf, sou de modo que d'elei mussé recair sur un professionel capacitat, net méi méiglech d'gewéinlech Praxis vun der Benennung vun engem internen Zesummenaarbechter "just fir d'Formalitéit". Sou, et gëtt nach méi interessant datt d'Firmaen d'Anstellung vun engem externen DPO evaluéieren, besonders wann et an der eegener Personal net eng Mataarbechter mat der Qualifikatioun oder Verfügbarkeit fir d'Ausféierung vun den Aufgaben vum Verantwortleche gëtt
D'Verfügbarkeit, a propos, ass es eent wichteg Faktor fir ze analyséieren wann den DPO benannt gëtt. D'neie Regelen forderen, dass de Beauftragte all Konflikter vun Interessen vermeide soll, wat kënn entstoen wann een aner Funktiounen intern an der Firma ausübt, oder wann et Funktiounen vum Verantwortlechen mat deenen verbonnen mat strategesche Decisiounen an der Organisatioun accumuléiert
Fir dëst, et ass wärt ëmmer recommandéiert datt de DPO sech exklusiv den Aktivitéiten widmet déi mat der Schutz vun perséinleche Daten ze dinn hunn (besonnesch wann et eng grouss Zuel vun perséinleche Daten ass déi vun der Firma behandelt ginn), fir fir d'Risiko vun Interessi-Konflikter ze reduzéieren – wat kann d'Applikatioun vun Multen oder anere Sanktiounen un d'Firma féieren, falls detected by the ANPD
Endlech, et ass ëmmer wichteg ze betounen datt, esou et assen a nomeatioun de e DPO, wer ass verantwortlech fir d'Behandlung an d'Protektioun vun de perséinleche Daten ass d'Firma, sossé: an cas de falhas na atuaçom do DPO, et assosjatioun – an net d'persoun numméiert – qui responderà per multe o indennizazzioni derivanti da l'usu mal de dati personali. Sou, d'Wahl vum Verantwortleche muss mat vill Sorgfalt gemaach ginn, a preferencialment com d'apoio jurídic necessari per garantir que se realitzi en conformitat amb la LGPD i amb les regles de l'ANPD
