Sedan publiceringen av den allmänna dataskyddslagen, år 2018, det fanns stora förväntningar på regleringen av rollen som Dataskyddsombud (den berömda "DPO"). Normen publicerades äntligen i juli 2024 av den nationella dataskyddsmyndigheten – ANPD (Resolução CD/ANPD nº 18, den 16 juli 2024, tar med mycket viktiga punkter om utnämningen av ansvarig, dina plikter och lagstadgade uppgifter, och om intressekonflikter
Inledningsvis, vi bör komma ihåg att utnämningen av en DPO endast inte är obligatorisk för mikroföretag, småföretag ochstartups – de så kallade "små behandlingsagenter". Men, om företaget bedriver verksamhet med hög risk för personuppgifter (med intensiv användning av data, behandling av uppgifter som kan påverka grundläggande rättigheter, eller genom framväxande eller innovativa teknologier – fallet med artificiell intelligens, till exempel, ska utse en DPO även om det anses vara en liten aktör – och detta kan endast upptäckas genom enbedömninggenomförd av en specialiserad juridisk konsultation
För företag som är skyldiga att utse en ansvarig, det finns flera åtgärder som måste beaktas för att uppfylla de nya regler som utfärdats av ANPD. Den första av dessa åtgärder handlar om hur DPO:n utses. Enligt det nya systemet, det är obligatoriskt att utnämningen görs genom ett skriftligt dokument, daterad och undertecknad – dokument som ska presenteras för ANPD om en begäran görs i den riktningen. Dessa formaliteter bör också beaktas vid utnämningen av den ersättare som ska agera vid DPO:s frånvaro (som semester eller frånvaro av hälsoskäl). Rekommendationen från ANPD är att denna "formella åtgärd" ska vara, till exempel, ett avtal om tjänster (om DPO:n är extern till organisationen), men kan också göras genom ett tillägg till anställningsavtalet om den ansvarige är en anställd som arbetar under CLT-reglerna
Dessutom, företaget ska "fastställa de yrkesmässiga kvalifikationer som krävs för att utföra uppgifterna för den ansvariga", vad som också rekommenderas att göras genom en formell åtgärd (som en intern policy), genom att säkerställa att en person med lämplig kunskap om skydd av personuppgifter och informationssäkerhet utses
En mycket viktig punkt i den nya regleringen, förresten, det är vad som tillåter att DPO kan vara både en fysisk person (och kan vara en del av företagets personal, eller extern till henne) såväl som juridisk person, avslutande av en fråga angående verksamheten hos specialiserade företag inomDPO som en tjänst.
Oavsett den juridiska naturen av DPO, regeln kräver att din identitet och dina kontaktuppgifter ska offentliggöras på ett korrekt sätt (helst på företagets webbplats), med angivelse av det fullständiga namnet (om fysisk person) eller företagsnamn och namnet på den ansvariga fysiska personen (i fallet med juridisk person); förutom minimala kontaktuppgifter (som e-post och telefon), som tillåter mottagande av kommunikationer från innehavare eller ANPD
När det gäller DPO:s aktiviteter, normen ger en rad nya uppgifter, noterbart för att ge stöd och vägledning till företagets ledning om
Jag – registrering och kommunikation av säkerhetsincidenter
II – register över behandling av personuppgifter
III – rapport om påverkan på skydd av personuppgifter
IV – interna övervaknings- och riskminskningsmekanismer relaterade till behandling av personuppgifter
V – säkerhetsåtgärder, tekniska och administrativa, lämpliga för att skydda personuppgifter mot obehörig åtkomst och mot oavsiktliga eller olagliga förstörelsehändelser, förlust, ändring, kommunikation eller någon form av olämplig eller olaglig behandling
VI – processer och interna policyer som säkerställer efterlevnaden av lag nr 13.709, den 14 augusti 2018, och reglerna och riktlinjerna från ANPD
VII – kontraktinstrument som reglerar frågor relaterade till behandling av personuppgifter
Åtta – internationella datatransfereringar
IX – regler för god praxis och styrning samt program för styrning av integritet, i enlighet med artikel. 50 av lag nr 13.709, den 14 augusti 2018
X – produkter och tjänster som antar designstandarder som är förenliga med de principer som anges i LGPD, inkludera integritet som standard och begränsning av insamlingen av personuppgifter till det minimum som krävs för att uppnå sina syften; och
XI – andra aktiviteter och strategiska beslut angående behandling av personuppgifter
Det konstateras att det har skett en stor utvidgning av DPO:s ansvar, så valet måste nödvändigtvis falla på en kvalificerad yrkesperson, inte har det längre varit möjligt att vanligtvis utse en intern medarbetare "bara av formell anledning". Således, det blir ännu mer intressant att företag överväger att anställa en extern DPO, särskilt när det inte finns en anställd med kvalifikationer eller tillgänglighet för att utföra uppgifterna som ansvarig i sin egen personalstyrka
Tillgängligheten, förresten, är en annan viktig faktor att beaktas vid utnämningen av DPO. De nya reglerna kräver att den ansvarige ska undvika alla intressekonflikter, som kan uppstå när man utför andra funktioner internt i företaget, eller när man kombinerar uppgifter som ansvarig med de som rör strategiska beslut inom organisationen
Därför, det är alltid rekommenderat att DPO:n kan ägna sig helt åt aktiviteter relaterade till skydd av personuppgifter (särskilt när det finns en stor mängd personuppgifter som hanteras av företaget), för att minimera risken för intressekonflikter – vad som kan leda till att företaget åläggs böter eller andra påföljder, om det upptäckts av ANPD
Slutligen, det är alltid viktigt att påpeka att, även om det finns utnämning av en DPO, den som är ansvarig för behandling och skydd av personuppgifter är företaget, det vill säga: i händelse av brister i DPO:s agerande, det är organisationen – och inte den namngivna personen – som kommer att svara för böter eller ersättningar som följer av felaktig användning av personuppgifter. Således, valet för den ansvarige bör göras med stor omsorg, och helst med det juridiska stöd som behövs för att säkerställa att det sker i enlighet med LGPD och ANPD:s regler
