Sedan publiceringen av den allmänna dataskyddslagen 2018 fanns det stora förväntningar när det gäller regleringen av den personuppgiftsansvariges prestation (den berömda “DPO”). Standarden publicerades slutligen i juli 2024 av den nationella dataskyddsmyndigheten (CD/ANPD resolution nr 18, av den 16 juli 2024), vilket medför mycket viktiga punkter om utnämningen av den ansvarige, deras uppgifter och juridiska uppgifter samt om intressekonflikter.
Inledningsvis bör vi komma ihåg att utnämningen av en uppgiftsskyddsombud endast inte är obligatorisk för mikroföretag, småföretag och startups nd de så kallade “agents of small processing”.Om företaget utvecklar högriskaktiviteter för personuppgifter (med intensiv användning av uppgifter, databehandling som kan påverka grundläggande rättigheter, eller genom framväxande eller innovativ teknik (när det gäller Artificiell Intelligens, till exempel), bör det dock utse DPO även om det anses vara en liten agent & detta kan endast upptäckas med hjälp av en bedömning utförs av en specialiserad juridisk konsultverksamhet.
För företag som måste utse en avgift finns det flera försiktighetsåtgärder som måste iakttas för att följa de nya reglerna som utfärdats av ANPD. Den första av dessa gäller själva sättet som uppgiftsskyddsombudet utses. I det nya systemet är det obligatoriskt att utnämningen utförs genom ett skriftligt dokument, daterat och undertecknat 1 dokument som måste uppvisas för ANPD om det finns en begäran i denna mening. Dessa formaliteter måste också iakttas vid angivandet av den ersättare som kommer att agera i frånvaro av uppgiftsskyddsombudet (såsom semester eller frånvaro av hälsoskäl). ANPD-regimen rekommenderas att detta formella sammandrag är, till exempel kan en anställd agera vid tillhandahållande av tjänster, genom CLPO, men kan också vara en anställning kan göras genom avtalet, genom avtalet, genom avtalet eller en bedömning av avtalet, som också görs genom avtalet, eller en anställd, eller en bedömning av avtalet, som är en anställning, eller en anställning, eller en bedömning av avtalet, som är en anställning, eller en anställning, eller en bedömning av en anställning, som är en anställning, eller en dom av en anställning, som är en anställning, eller en anställning som är en anställning, eller en anställning som är en anställning, vars bedömning av anställningsavtal, eller en anställning, vars bedömning av anställning, eller en anställning, som är en anställning, eller en anställning, som är en anställning, eller en anställning, som är en anställning, som är en anställningsavtal, eller en anställningsavtal, som är en anställning, eller en anställning, eller en anställning, som är en anställningsavtal, eller en anställning, eller en anställning, som är en anställning, som är en anställning, som är en anställning, eller en anställning, som är en anställning, en anställning, en anställning som är en anställning, eller en anställning, en anställning som är en anställning, en anställningsavtal, eller en anställning som är en anställning som är en anställningsavtal
Dessutom bör företaget fastställa de yrkeskvalifikationer som är nödvändiga för att utföra INCARN-tjänstemannens uppgifter, vilket också rekommenderas att göras genom en formell handling (såsom en intern policy), och på så sätt säkerställa att en person med adekvat kunskap om skydd av personuppgifter och informationssäkerhet utses.
En mycket viktig punkt i den nya förordningen är faktiskt vad som tillåter uppgiftsskyddsombudet att vara både en individ (kan vara en del av företagets personal, eller utanför den) och en juridisk person, vilket gör att ett tvivel om resultatet för företag som är specialiserade på DPO som tjänst.
Oavsett uppgiftsskyddsombudets juridiska karaktär kräver regeln att din identitet och kontaktinformation avslöjas på lämpligt sätt (helst på företagets webbplats), med angivande av det fullständiga namnet (om det är individuellt) eller företagsnamnet och namnet på den ansvariga fysiska personen (när det gäller en juridisk person); utöver minimikontaktinformation (som e-post och telefon), som tillåter mottagande av kommunikation från innehavare eller ANPD.
När det gäller uppgiftsskyddsombudets verksamhet ger standarden en rad nya uppdrag, särskilt för att ge assistans och vägledning till företagsledningen om:
I. registrera och rapportera säkerhetsincidenter;
II. register över personuppgiftsbehandling;
III - Konsekvensrapport om skyddet av personuppgifter;
IV. interna mekanismer för tillsyn och begränsning av risker i samband med behandling av personuppgifter
V. tekniska och administrativa säkerhetsåtgärder, som kan skydda personuppgifter från obehörig åtkomst och oavsiktliga eller olagliga situationer av förstörelse, förlust, ändring, kommunikation eller någon form av otillbörlig eller olaglig behandling
VI 13 709, av den 14 augusti 2018, och bestämmelserna och riktlinjerna för ANPD;
VII avtalsinstrument som reglerar frågor som rör behandling av personuppgifter;
VIII Internationella dataöverföringar;
IX 'regler för god praxis och styrning och styrningsprogram i privatlivet, i enlighet med artikel 50 i lag nr. 13 709, av den 14 augusti 2018;
X. produkter och tjänster som antar designstandarder som överensstämmer med principerna i LGPD, inklusive integritet som standard och begränsning av insamlingen av personuppgifter till det minimum som krävs för att uppnå dess syften; och
XI. annan verksamhet och strategiskt beslutsfattande som rör behandling av personuppgifter.
Det är verifierat att det skedde en stor expansion i DPO:s ansvar, så att valet nödvändigtvis måste falla på en utbildad yrkesman, inte längre är möjligt den vanliga praxisen att utse en intern anställd “by enkel formalitet”. Således blir det ännu mer intressant att företag utvärderar anställningen av en extern DPO, särskilt när det inte finns någon anställd i sin egen personal med kvalifikation eller tillgänglighet för att utföra den ansvariges uppgifter.
Tillgängligheten är dessutom en annan viktig faktor som ska analyseras vid utnämningen av uppgiftsskyddsombudet. De nya reglerna kräver att den ansvarige ska undvika eventuella intressekonflikter som kan uppstå när han utför andra funktioner internt i företaget, eller när han samlar funktioner hos den ansvarige med de som är relaterade till strategiska beslut inom organisationen.
Därför rekommenderas det alltid att uppgiftsskyddsombudet uteslutande kan ägna sig åt aktiviteter relaterade till skydd av personuppgifter (särskilt när det finns en stor mängd personuppgifter som behandlas av företaget), för att minska risken för intressekonflikter till maximalt (vilket kan leda till att böter eller andra påföljder åläggs företaget, om det upptäcks av ANPD.
Slutligen är det alltid viktigt att notera att, även om det finns utnämning av en uppgiftsskyddsombud, företaget är ansvarig för behandling och skydd av personuppgifter, det vill säga: i händelse av misslyckanden i utförandet av uppgiftsskyddsombudet, är det organisationen ¡n och inte den person som heter ̄ som kommer att vara ansvarig för böter eller gottgörelser som uppstår på grund av missbruk av personuppgifter. Således måste valet av den Ansvarige utföras med stor omsorg, och helst med det juridiska stöd som krävs för att säkerställa att det sker i enlighet med LGPD och reglerna i ANPD.
