Sedan publiceringen av den allmänna dataskyddslagen 2018 fanns det stora förväntningar på regleringen av rollen som dataskyddsombud (det berömda "DPO"). Standarden blev endelig offentliggjort i juli 2024 af den Nationale Data Protection Authority – ANPD (Resolution CD/ANPD nº 18, af 16. juli 2024), og indeholder meget vigtige punkter om udpegning af den dataansvarlige, deres pligter og juridiske beføjelser samt om interessekonflikter.
Inledningsvis bör vi komma ihåg att utnämningen av en dataskyddsombud (DPO) endast är obligatorisk för mikroföretag, små företag ochstartupsde så kallade "små behandlingsansvariga" Men dock, om företaget bedriver hög riskaktiviteter för personuppgifter (med intensiv användning av data, behandling av data som kan påverka grundläggande rättigheter, eller genom framväxande eller innovativa teknologier – till exempel artificiell intelligens), ska en dataskyddsombud utses även om det anses vara en liten aktör – och detta kan endast upptäckas genom enbedömningutfört av en specialiserad juridisk konsultfirma.
För företag som är skyldiga att utse en dataskyddsombud finns det flera försiktighetsåtgärder som måste följas för att uppfylla de nya regler som utfärdats av ANPD. Det första av dessa åtgärder gäller själva hur DPO:n utses. Enligt den nya systematiken är det obligatoriskt att utnämningen sker genom ett skriftligt, daterat och undertecknat dokument – ett dokument som ska lämnas till ANPD om det begärs i detta avseende. Dessa formaliteter ska också följas vid utseendet av ersättaren som ska agera vid DPO:s frånvaro (som semester eller sjukfrånvaro). ANPD:s rekommendation är att detta "formella akt" till exempel kan vara ett tjänsteavtal (om DPO:n är extern för organisationen), men det kan också göras genom ett tillägg till anställningsavtalet om den ansvarige är en anställd som arbetar enligt CLT-regimen.
Dessutom ska företaget "fastställa de nödvändiga yrkeskvalifikationerna för att utföra uppgifterna för den ansvarige", vilket också rekommenderas att göras genom en formell handling (som en intern policy), för att säkerställa att en person med lämplig kunskap om dataskydd och informationssäkerhet utses.
En mycket viktig punkt i den nya regleringen, för övrigt, är den som tillåter att DPO kan vara både fysisk person (och kunna vara en del av företagets personal eller extern) och juridisk person, vilket avslutar en tvekan angående verksamheten hos specialiserade företag iDPO som en tjänst.
Oavsett den juridiska karaktären av DPO kräver regeln att deras identitet och kontaktuppgifter offentliggörs på ett lämpligt sätt (helst på företagets webbplats), med angivande av fullständigt namn (om det är en fysisk person) eller företagsnamn och namnet på den fysiska person som är ansvarig (i fall av ett juridiskt företag); samt minimala kontaktuppgifter (som e-post och telefon) som möjliggör mottagande av meddelanden från registrerade eller ANPD.
När det gäller DPO:s aktiviteter innehåller normen en rad nya uppgifter, särskilt för att ge stöd och vägledning till företagets ledning om:
I – registrering och rapportering av säkerhetsincident;
II – registrering av behandling av personuppgifter;
III – rapport om påverkan på skyddet av personuppgifter;
IV – interna övervaknings- och riskminimeringsmekanismer för behandling av personuppgifter;
V – säkerhetsåtgärder, tekniska och administrativa, som är lämpliga för att skydda personuppgifterna mot obehörig åtkomst och mot oavsiktliga eller olagliga situationer av förstöring, förlust, ändring, kommunikation eller någon form av olämplig eller olaglig behandling;
VI – processer och interna policyer som säkerställer efterlevnad av lag nr 13.709, av den 14 augusti 2018, samt ANPD:s regler och riktlinjer
VII – kontraktuella instrument som reglerar frågor rörande behandling av personuppgifter;
VIII – internationella dataöverföringar;
IX – riktlinjer för god praxis, styrning och ett styrprogram för integritetsskydd, enligt artikel 50 i lag nr 13.709 av den 14 augusti 2018;
X – produkter och tjänster som följer designstandarder som är förenliga med principerna i LGPD, inklusive standardintegritet och begränsning av insamling av personuppgifter till det minsta nödvändiga för att uppnå deras ändamål; och
XI – andra aktiviteter och strategiska beslut rörande behandling av personuppgifter.
Det konstateras att det skett en stor utvidgning av DPO:s ansvar, så valet måste nödvändigtvis falla på en kvalificerad professionell, och det är inte längre möjligt att använda den vanliga praktiken att utse en intern medarbetare "av enkel formalitet". Det blir därför ännu mer intressant för företagen att överväga att anlita en extern dataskyddsombud, särskilt när det inte finns någon anställd inom företaget med rätt kompetens eller tillgänglighet för att utföra uppgifterna som dataskyddsombud.
Tillgängligheten är för övrigt en annan viktig faktor att analysera vid utseendet av DPO. De nya regler kräver att den ansvarige ska undvika eventuella intressekonflikter, som kan uppstå när denne utför andra funktioner internt i företaget, eller när denne kombinerar rollen som ansvarig med uppgifter som rör strategiska beslut inom organisationen.
Därför är det alltid rekommenderat att dataskyddsombudet kan ägna sig helt åt aktiviteter relaterade till skydd av personuppgifter (särskilt när företaget hanterar en stor mängd personuppgifter), för att minimera risken för intressekonflikter – vilket kan leda till böter eller andra sanktioner mot företaget om det upptäcks av ANPD.
Slutligen är det alltid viktigt att understryka att, även om en dataskyddsombud (DPO) utses, är det företaget som är ansvarigt för behandling och skydd av personuppgifter, det vill säga: vid brister i DPO:s verksamhet är det organisationen – och inte den utsedda personen – som kommer att hållas ansvarig för böter eller skadestånd som följer av missbruk av personuppgifter. Således bör valet av ansvarig göras med stor omsorg, och helst med nödvändig juridisk support för att säkerställa att det sker i enlighet med LGPD och ANPD:s regler.
