Sinds de publicatie van de Algemene Verordening Gegevensbescherming, in 2018, er was veel verwachting over de regulering van de rol van de Gegevensbeschermingsfunctionaris (de beroemde "DPO"). De norm is eindelijk gepubliceerd in juli 2024 door de Nationale Autoriteit Gegevensbescherming – ANPD (Resolução CD/ANPD nº 18, de 16 juli 2024, belangrijke punten over de aanwijzing van de verantwoordelijke, uw plichten en wettelijke taken, en over belangenconflicten
Aanvankelijk, we moeten ons herinneren dat de aanstelling van een DPO alleen niet verplicht is voor micro-ondernemingen, kleine bedrijven enstartups – de zogenaamde "kleine behandelingsagenten". Echter, als het bedrijf activiteiten ontwikkelt met een hoog risico voor persoonlijke gegevens (met intensief gebruik van gegevens, gegevensverwerking die fundamentele rechten kan beïnvloeden, of door middel van opkomende of innovatieve technologieën – zaak van Kunstmatige Intelligentie, bijvoorbeeld, moet een DPO aanstellen, ook al wordt het als een kleine speler beschouwd – en dat kan alleen worden ontdekt door middel van eenbeoordelinguitgevoerd door een gespecialiseerde juridische adviesdienst
Voor de bedrijven die verplicht zijn een Functionaris voor Gegevensbescherming aan te stellen, er zijn verschillende zorgpunten die in acht moeten worden genomen om te voldoen aan de nieuwe regels die door de ANPD zijn uitgevaardigd. De eerste van deze zorgen heeft betrekking op de manier waarop de DPO wordt benoemd. Volgens de nieuwe systematiek, het is verplicht dat de benoeming plaatsvindt via een schriftelijk document, gedateerd en ondertekend – document dat aan de ANPD moet worden voorgelegd indien daarom wordt verzocht. Deze formaliteiten moeten ook in acht worden genomen bij de aanwijzing van de vervanger die zal optreden tijdens de afwezigheid van de DPO (zoals vakantie of afwezigheid om gezondheidsredenen). De aanbeveling van de ANPD is dat deze "formele handeling" wordt, bijvoorbeeld, een dienstverleningscontract (indien de DPO extern aan de organisatie is), maar kan ook worden gedaan door middel van een aanvulling op de arbeidsovereenkomst als de Verantwoordelijke een werknemer is die onder het regime van de CLT werkt
Bovendien, het bedrijf moet "de noodzakelijke professionele kwalificaties vaststellen voor de uitvoering van de taken van de verantwoordelijke", wat ook wordt aanbevolen om te gebeuren via een formele handeling (zoals een intern beleid), zodat ervoor te zorgen dat een persoon met de juiste kennis over gegevensbescherming en informatiebeveiliging wordt aangesteld
Een zeer belangrijk punt van de nieuwe regelgeving, overigens, het is wat toestaat dat de DPO zowel een natuurlijke persoon is (die deel kan uitmaken van het personeel van het bedrijf, of extern aan haar) als rechtspersoon, het afsluiten van een vraag met betrekking tot de werking van gespecialiseerde bedrijven inDPO als een Dienst.
Ongeacht de juridische aard van de DPO, de regel vereist dat uw identiteit en contactgegevens op de juiste manier worden bekendgemaakt (bij voorkeur op de website van het bedrijf), met de vermelding van de volledige naam (indien natuurlijke persoon) of de bedrijfsnaam en de naam van de verantwoordelijke natuurlijke persoon (in het geval van rechtspersoon); naast minimale contactinformatie (zoals e-mail en telefoon), die het ontvangen van communicatie van houders of van de ANPD mogelijk maken
Met betrekking tot de activiteiten van de DPO, de norm brengt een reeks nieuwe taken, bijzonder om ondersteuning en begeleiding te bieden aan het leiderschap van het bedrijf over
Ik – registratie en communicatie van een beveiligingsincident
II – register van de verwerking van persoonsgegevens
III – impactrapport voor de bescherming van persoonsgegevens
IV – interne mechanismen voor toezicht en risicobeperking met betrekking tot de verwerking van persoonsgegevens
V – veiligheidsmaatregelen, technische en administratieve, geschikt om persoonlijke gegevens te beschermen tegen ongeautoriseerde toegang en tegen accidentele of onwettige vernietiging, verlies, wijziging, communicatie of enige vorm van ongepaste of onwettige behandeling
VI – processen en interne beleidsmaatregelen die de naleving van wet nr. 13 waarborgen.709, 14 augustus 2018, en de regelgeving en richtlijnen van de ANPD
VII – contractuele instrumenten die kwesties met betrekking tot de verwerking van persoonsgegevens regelen
VIII – internationale gegevensoverdrachten
IX – regels voor goede praktijken en governance en programma voor governance in privacy, in de termen van art. 50 van de wet nr. 13.709, 14 augustus 2018
X – producten en diensten die ontwerpnormen hanteren die compatibel zijn met de principes vastgelegd in de AVG, inclusief privacy bij standaard en de beperking van de verzameling van persoonlijke gegevens tot het minimum dat nodig is voor de uitvoering van zijn doeleinden; e
XI – andere activiteiten en strategische besluitvorming met betrekking tot de verwerking van persoonsgegevens
Er is een grote uitbreiding van de verantwoordelijkheden van de DPO vastgesteld, zodat de keuze noodzakelijkerwijs moet vallen op een gekwalificeerde professional, niet langer mogelijk om een interne medewerker "uit louter formaliteit" aan te stellen. Zo, het wordt nog interessanter dat bedrijven overwegen een externe DPO in te huren, bijzonder wanneer er in uw eigen personeelsbestand geen werknemer is met de kwalificatie of beschikbaarheid voor het uitvoeren van de taken van de Verantwoordelijke
De beschikbaarheid, overigens, het is een andere belangrijke factor om te analyseren bij de benoeming van de DPO. De nieuwe regels vereisen dat de verantwoordelijke eventuele belangenconflicten moet vermijden, die kunnen ontstaan wanneer je andere functies intern binnen het bedrijf uitoefent, of wanneer je functies van Verantwoordelijke combineert met die gerelateerd aan strategische beslissingen binnen de organisatie
Daarom, het is altijd aan te raden dat de DPO zich uitsluitend kan wijden aan activiteiten die verband houden met de bescherming van persoonsgegevens (vooral wanneer er een groot volume aan persoonsgegevens door het bedrijf wordt verwerkt), om het risico op belangenconflicten tot een minimum te beperken – wat kan leiden tot de oplegging van boetes of andere sancties aan het bedrijf, indien het door de ANPD wordt gedetecteerd
Eindelijk, het is altijd belangrijk om te benadrukken dat, ook al is er de benoeming van een DPO, de onderneming is verantwoordelijk voor de verwerking en bescherming van persoonsgegevens, dat wil zeggen: in geval van falen in de uitvoering van de DPO, het is de organisatie – en niet de genoemde persoon – die verantwoordelijk zal zijn voor boetes of schadevergoedingen als gevolg van verkeerd gebruik van persoonlijke gegevens. Zo, de keuze van de verantwoordelijke moet met veel zorg worden gemaakt, en bij voorkeur met de nodige juridische ondersteuning om ervoor te zorgen dat het gebeurt in overeenstemming met de LGPD en de regels van de ANPD
