С момента публикации Закона о защите персональных данных, в 2018 году, существовало много ожиданий относительно регулирования деятельности Уполномоченного по обработке данных (известного как "DPO"). Норма была наконец опубликована в июле 2024 года Национальным управлением по защите данных – ANPD (Resolução CD/ANPD nº 18, 16 июля 2024 года, поднимая очень важные моменты о назначении ответственного, ваши обязанности и законные полномочия, и о конфликтах интересов
Изначально, мы должны помнить, что назначение DPO обязательно только для микропредприятий, малые предприятия истартапы – так называемые "агенты малой мощности". Однако, в случае если компания осуществляет деятельность с высоким риском для персональных данных (с интенсивным использованием данных, обработка данных, которая может затронуть основные права, или с помощью новых или инновационных технологий – случай Искусственного Интеллекта, например, должен назначить DPO, даже если он считается агентом малого размера – и это можно узнать только с помощью одногооценкапроведено специализированной юридической консультацией
Для компаний, обязанных назначить Ответственного, существует множество мер, которые необходимо будет соблюдать для выполнения новых правил, установленных ANPD. Первое из этих мер касается самой формы назначения DPO. По новой системе, обязательно, чтобы назначение было произведено с помощью письменного документа, датировано и подписано – документ, который должен быть представлен в ANPD в случае запроса в этом направлении. Эти формальности также должны соблюдаться при назначении заместителя, который будет действовать в отсутствие DPO (например, во время отпусков или отсутствия по причинам здоровья). Рекомендация ANPD заключается в том, чтобы этот "формальный акт" был, например, договор на оказание услуг (если DPO является внешним для организации), но также может быть сделано путем дополнения к трудовому договору, если Ответственный является работником, работающим по системе CLT
Кроме того, компания должна "установить необходимые профессиональные квалификации для выполнения обязанностей ответственного", что также рекомендуется делать через формальный акт (например, внутреннюю политику), тем самым обеспечивая назначение лица с соответствующими знаниями в области защиты персональных данных и информационной безопасности
Очень важный момент нового регулирования, кстати, это то, что позволяет DPO быть как физическим лицом (может быть частью штата сотрудников компании, или внешним по отношению к ней) как юридическое лицо, закрывая вопрос относительно деятельности специализированных компаний вDPO как услуга.
Независимо от юридической природы DPO, правило требует, чтобы ваша личность и контактная информация были должным образом раскрыты (предпочтительно на сайте компании), с указанием полного имени (если физическое лицо) или наименования предприятия и имени ответственного физического лица (в случае юридического лица); в дополнение к минимальной контактной информации (такой как электронная почта и телефон), которые позволяют получать сообщения от владельцев или от ANPD
Что касается деятельности DPO, норма вводит ряд новых полномочий, в частности, для оказания помощи и консультаций руководству компании по вопросам:
Я – регистрация и сообщение о инциденте безопасности
II – реестр операций по обработке персональных данных
III – отчет о воздействии на защиту персональных данных
IV – внутренние механизмы надзора и смягчения рисков, связанных с обработкой персональных данных
V – меры безопасности, технические и административные, способны защищать личные данные от несанкционированного доступа и от случайных или незаконных ситуаций уничтожения, потеря, изменение, коммуникация или любая форма ненадлежащего или незаконного обращения
VI – процессы и внутренние политики, которые обеспечивают соблюдение Закона № 13.709, 14 августа 2018 года, и регламентов и рекомендаций ANPD
VII – договорные инструменты, регулирующие вопросы, связанные с обработкой персональных данных
Восемь – международные передачи данных
IX – правила хороших практик и управления, а также программа управления в области конфиденциальности, в соответствии со статьей. 50 статьи Закона № 13.709, 14 августа 2018 года
Х – продукты и услуги, которые соответствуют стандартам дизайна, совместимым с принципами, предусмотренными в LGPD, включая конфиденциальность по умолчанию и ограничение сбора персональных данных до минимума, необходимого для достижения своих целей; и
XI – другие виды деятельности и принятие стратегических решений, касающихся обработки персональных данных
Установлено, что произошел значительный рост обязанностей DPO, поэтому выбор обязательно должен падать на квалифицированного специалиста, больше не будет возможным обычная практика назначения внутреннего сотрудника "просто по формальности". Таким образом, становится еще более интересным, чтобы компании рассмотрели возможность найма внешнего DPO, особенно когда в вашем собственном штате нет сотрудника с квалификацией или доступностью для выполнения задач Ответственного
Доступность, кстати, это еще один важный фактор, который следует учитывать при назначении DPO. Новые правила требуют, чтобы Ответственное лицо избегало любых конфликтов интересов, которые могут возникнуть, когда вы выполняете другие функции внутри компании, или когда совмещает функции ответственного с теми, которые связаны с стратегическими решениями внутри организации
Поэтому, всегда рекомендуется, чтобы DPO мог посвящать себя исключительно деятельности, связанной с защитой персональных данных (особенно когда компания обрабатывает большой объем персональных данных), с целью максимального снижения риска конфликта интересов – что может привести к наложению штрафов или других санкций на компанию, в случае обнаружения ANPD
Наконец, всегда важно подчеркивать что, даже если будет назначен DPO, ответственность за обработку и защиту персональных данных несет компания, то есть: в случае неудач в действиях DPO, это организация – и не указанное лицо – кто будет нести ответственность за штрафы или компенсации, возникающие в результате неправильного использования персональных данных. Таким образом, выбор Ответственного должен быть сделан с большой осторожностью, и предпочтительно с необходимой юридической поддержкой, чтобы гарантировать, что это происходит в соответствии с LGPD и правилами ANPD
