De la publicarea Legii Generale privind Protecția Datelor, în 2018, existau multe așteptări cu privire la reglementarea activității Responsabilului cu Prelucrarea Datelor (cunoscut sub numele de „DPO”). Norma a fost publicată în sfârșit în luna iulie 2024 de către Autoritatea Națională pentru Protecția Datelor – ANPD (Resolução CD/ANPD nº 18, de 16 iulie 2024, aducând puncte foarte importante despre desemnarea responsabilului, îndatoririle și atribuțiile legale, și despre conflicte de interese
Inițial, trebuie să ne amintim că numirea unui DPO nu este obligatorie doar pentru microîntreprinderi, întreprinderi mici șistartup-uri – așa-numiții „agenți de tratament de mică capacitate”. Însă, în cazul în care compania desfășoară activități cu un risc ridicat pentru datele personale (cu utilizarea intensivă a datelor, prelucrarea datelor care ar putea afecta drepturile fundamentale, sau prin intermediul tehnologiilor emergente sau inovatoare – cazul Inteligenței Artificiale, de exemplu, trebuie să numească un DPO chiar dacă este considerat un agent de mică amploare – și acest lucru poate fi descoperit doar printr-unevaluarerealizat de o consultanță juridică specializată
Pentru companiile obligate să numească un Responsabil, există diverse măsuri care trebuie respectate pentru a îndeplini noile reguli emise de ANPD. Primul dintre aceste măsuri se referă la modul în care DPO-ul este numit. Prin noua sistematică, este obligatoriu ca numirea să fie efectuată printr-un document scris, datat și semnat – document care trebuie prezentat ANPD în cazul în care există o solicitare în acest sens. Aceste formalități trebuie, de asemenea, respectate la indicarea înlocuitorului care va acționa în absențele DPO-ului (cum ar fi concediile sau absențele din motive de sănătate). Recomandarea ANPD este ca acest „act formal” să fie, de exemplu, un contract de prestare a serviciilor (în cazul în care DPO-ul este extern organizației), dar și poate fi realizat printr-un act adițional la contractul de muncă în cazul în care Responsabilul este un angajat care lucrează în baza regimului CLT
În plus, compania trebuie să „stabilească calificările profesionale necesare pentru îndeplinirea atribuțiilor responsabilului”, ceea ce se recomandă să fie realizat printr-un act formal (cum ar fi o politică internă), asigurând astfel că este numită o persoană cu cunoștințe adecvate despre protecția datelor personale și securitatea informației
Un punct foarte important al noii reglementări, de fapt, este este autorize ca DPO să fie atât persoană fizică (putând face parte din personalul angajat al companiei, sau externă față de ea) cât și persoană juridică, încheind o o întrebare cu privire la activitatea companiilor specializate înDPO ca Serviciu.
Indiferent de natura juridică a DPO, regulația impune ca identitatea și informațiile de contact să fie divulgate corespunzător (preferabil pe site-ul companiei), cu indicația numelui complet (dacă este persoană fizică) sau numele firmei și numele persoanei fizice responsabile (în cazul persoanei juridice); în afară de informații minime de contact (cum ar fi e-mailul și telefonul), care permit comunicarea cu titularii sau cu ANPD
În legătură cu activitățile DPO, norma aduce o serie de noi atribuții, în mod deosebit pentru a oferi asistență și orientare conducerii companiei cu privire la
Eu – înregistrarea și comunicarea incidentului de securitate
II – registrul operațiunilor de prelucrare a datelor cu caracter personal
III – raport de impact asupra protecției datelor personale
IV – mecanisme interne de supraveghere și de atenuare a riscurilor legate de prelucrarea datelor personale
V – măsuri de securitate, tehnici și administrative, aptas să protejeze datele personale de accesuri neautorizate și de situații accidentale sau ilicite de distrugere, pierdere, modificare, comunicare sau orice formă de tratament inadecvat sau ilegal
VI – procese și politici interne care să asigure respectarea Legii nr. 13.709, 14 august 2018, și de reglementările și orientările ANPD
VII – instrumente contractuale care reglementează aspectele legate de prelucrarea datelor personale
VIII – transferuri internaționale de date
IX – reguli de bune practici și de guvernanță și de program de guvernanță în privința confidențialității, în termenii art. 50 din Legea nr. 13.709, 14 august 2018
X – produse și servicii care adoptă standarde de design compatibile cu principiile prevăzute în LGPD, inclusiv protecția datelor prin default și limitarea colectării datelor personale la minimum necesar pentru îndeplinirea scopurilor sale; e
XI – alte activităţi şi luarea de decizii strategice referitoare la prelucrarea datelor personale
Se constată că a avut loc o mare extindere a responsabilităților DPO-ului, astfel încât alegerea trebuie să cadă neapărat asupra unui profesionist calificat, nu mai este posibilă practica obișnuită de a numi un colaborator intern „doar dintr-o simplă formalitate”. Astfel, devine și mai interesant ca companiile să evalueze angajarea unui DPO extern, în special atunci când nu există în propriul său personal un angajat cu calificarea sau disponibilitatea pentru exercitarea sarcinilor Responsabilului
Disponibilitatea, de fapt, este este un alt factor important de analizat atunci când se numește DPO. Noile reguli impun ca Responsabilul să evite orice conflicte de interese, care pot apărea atunci când îndeplinești alte funcții intern în companie, sau când acumulezi funcții de responsabilitate cu cele legate de decizii strategice în cadrul organizației
De aceea, este întotdeauna recomandabil ca DPO-ul să se poată dedica exclusiv activităților legate de protecția datelor personale (în special atunci când există un volum mare de date personale prelucrate de companie), pentru a reduce la minimum riscul de conflicte de interese – ceea ce ar putea duce la aplicarea de amenzi sau alte penalități companiei, în cazul în care este detectat de ANPD
În cele din urmă, este întotdeauna important de subliniat că, chiară că există numirea unui DPO, cine este responsabil pentru prelucrarea și protecția datelor personale este compania, adică: în cazul unor deficiențe în activitatea DPO, este este organizarea – și nu persoana numită – care va răspunde pentru amenzi sau despăgubiri rezultate din utilizarea necorespunzătoare a datelor personale. Astfel, alegerea responsabilului trebuie să fie făcută cu multă atenție, și preferabil cu sprijinul juridic necesar pentru a se asigura că se desfășoară în conformitate cu LGPD și cu regulile ANPD
