Kể từ khi ban hành Luật Bảo vệ Dữ liệu Chung vào năm 2018, đã có nhiều kỳ vọng liên quan đến quy định về hiệu suất của Người kiểm soát Dữ liệu (“DPO” nổi tiếng). Tiêu chuẩn cuối cùng đã được Cơ quan Bảo vệ Dữ liệu Quốc gia công bố vào tháng 7 năm 2024 (Nghị quyết CD/ANPD số 18, ngày 16 tháng 7 năm 2024), mang lại những điểm rất quan trọng về việc chỉ định người phụ trách, nhiệm vụ và nghĩa vụ pháp lý của người đó cũng như về xung đột lợi ích.
Ban đầu, chúng ta nên nhớ rằng việc chỉ bổ nhiệm DPO là không bắt buộc đối với các doanh nghiệp siêu nhỏ, doanh nghiệp nhỏ và khởi nghiệp nd cái gọi là “tác nhân xử lý nhỏ”. tuy nhiên, nếu công ty phát triển các hoạt động có rủi ro cao cho dữ liệu cá nhân (với việc sử dụng dữ liệu chuyên sâu, xử lý dữ liệu có thể ảnh hưởng đến các quyền cơ bản hoặc thông qua các công nghệ mới nổi hoặc sáng tạo (trong trường hợp Trí tuệ nhân tạo chẳng hạn), công ty nên chỉ định DPO ngay cả khi nó được coi là một tác nhân nhỏ & điều này chỉ có thể được phát hiện bằng phương tiện a đánh giá được thực hiện bởi một tư vấn pháp luật chuyên ngành.
Đối với các công ty được yêu cầu chỉ định một khoản Phí, có một số biện pháp phòng ngừa sẽ cần phải được tuân thủ để tuân thủ các quy tắc mới do ANPD ban hành. đầu tiên trong số này liên quan đến chính cách DPO được bổ nhiệm. trong hệ thống mới, bắt buộc việc bổ nhiệm được thực hiện thông qua một tài liệu bằng văn bản, ngày và ký 1 tài liệu nên được trình bày cho ANPD nếu có yêu cầu theo nghĩa này. Các thủ tục này cũng nên được tuân thủ trong chỉ định của người thay thế sẽ hành động trong sự vắng mặt của DPO (chẳng hạn như ngày nghỉ hoặc vắng mặt vì lý do sức khỏe). Chế độ ANPD được khuyến nghị rằng chính thức“ato này, ví dụ, một công việc có thể được thực hiện cho DPO, nhưng cũng có thể là một nhân viên có thể là một việc làm có thể là một hợp đồng lao động cũng là một xét xử bởi hợp đồng.
Ngoài ra, công ty nên thiết lập trình độ chuyên môn cần thiết để thực hiện nhiệm vụ của nhân viên INCARN, điều này cũng được khuyến nghị thực hiện bằng một hành động chính thức (chẳng hạn như chính sách nội bộ), do đó đảm bảo rằng một người có đủ kiến thức về bảo vệ dữ liệu cá nhân và bảo mật thông tin được chỉ định.
Trên thực tế, một điểm rất quan trọng của quy định mới là điều cho phép DPO vừa là một cá nhân (có thể là nhân viên của công ty hoặc bên ngoài công ty) vừa là một pháp nhân, chấm dứt nghi ngờ về hiệu quả hoạt động của các công ty chuyên môn. TRONG DPO như một dịch vụ.
Bất kể bản chất pháp lý của DPO, quy tắc yêu cầu thông tin nhận dạng và liên hệ của bạn phải được tiết lộ một cách thích hợp (tốt nhất là trên trang web của công ty), kèm theo tên đầy đủ (nếu là cá nhân) hoặc tên doanh nghiệp và tên của thể nhân chịu trách nhiệm (trong trường hợp là pháp nhân); ngoài thông tin liên hệ tối thiểu (chẳng hạn như email và điện thoại), cho phép nhận thông tin liên lạc từ chủ sở hữu hoặc ANPD.
Về hoạt động của DPO, tiêu chuẩn mang đến một loạt nhiệm vụ mới, đặc biệt là hỗ trợ và hướng dẫn lãnh đạo công ty về:
I. ghi chép và báo cáo sự cố an ninh;
II. hồ sơ hoạt động xử lý dữ liệu cá nhân;
III - Báo cáo tác động đến việc bảo vệ dữ liệu cá nhân;
IV. cơ chế nội bộ để giám sát và giảm thiểu rủi ro liên quan đến việc xử lý dữ liệu cá nhân;
V. các biện pháp bảo mật kỹ thuật và hành chính, có khả năng bảo vệ dữ liệu cá nhân khỏi bị truy cập trái phép và các tình huống vô tình hoặc bất hợp pháp về phá hủy, mất mát, thay đổi, liên lạc hoặc bất kỳ hình thức đối xử không đúng đắn hoặc bất hợp pháp nào;
VI 13.709, ngày 14 tháng 8 năm 2018, và các quy định và hướng dẫn của ANPD;
VII các văn kiện hợp đồng điều chỉnh các vấn đề liên quan đến việc xử lý dữ liệu cá nhân;
VIII Truyền dữ liệu quốc tế;
IX 'các quy tắc thực hành tốt và chương trình quản trị và quản trị trong quyền riêng tư, theo điều 50 của Luật số. 13.709, ngày 14 tháng 8 năm 2018;
X. các sản phẩm và dịch vụ áp dụng các tiêu chuẩn thiết kế phù hợp với các nguyên tắc được nêu trong LGPD, bao gồm quyền riêng tư theo mặc định và giới hạn việc thu thập dữ liệu cá nhân ở mức tối thiểu cần thiết để đạt được mục đích của nó; Và
XI. các hoạt động khác và ra quyết định chiến lược liên quan đến việc xử lý dữ liệu cá nhân.
Người ta xác minh rằng có sự mở rộng lớn về trách nhiệm của DPO, do đó sự lựa chọn nhất thiết phải thuộc về một chuyên gia được đào tạo, không còn có thể thực hiện thông lệ bổ nhiệm một nhân viên nội bộ “bằng hình thức đơn giản”. Do đó, điều thú vị hơn nữa là các công ty đánh giá việc thuê một DPO bên ngoài, đặc biệt khi không có nhân viên nào trong đội ngũ nhân viên của họ có trình độ chuyên môn hoặc sẵn sàng thực hiện các nhiệm vụ của Người phụ trách.
Hơn nữa, tính sẵn sàng là một yếu tố quan trọng khác cần được phân tích khi bổ nhiệm DPO. Các quy định mới yêu cầu người phụ trách phải tránh mọi xung đột lợi ích có thể phát sinh khi anh ta thực hiện các chức năng khác trong nội bộ công ty hoặc khi anh ta tích lũy các chức năng của người phụ trách liên quan đến các quyết định chiến lược trong tổ chức.
Do đó, DPO luôn được khuyến nghị có thể dành riêng cho các hoạt động liên quan đến bảo vệ dữ liệu cá nhân (đặc biệt khi có một lượng lớn dữ liệu cá nhân được công ty xử lý), nhằm giảm nguy cơ xung đột lợi ích đến mức tối đa (có thể dẫn đến phạt tiền hoặc các hình phạt khác đối với công ty nếu bị ANPD phát hiện.
Cuối cùng, luôn luôn cần lưu ý rằng, ngay cả khi có sự chỉ định của một DPO, công ty chịu trách nhiệm xử lý và bảo vệ dữ liệu cá nhân, đó là: trong trường hợp thất bại trong việc thực hiện của DPO, đó là tổ chức ¡n chứ không phải người có tên ̄ sẽ chịu trách nhiệm về tiền phạt hoặc bồi thường phát sinh từ việc lạm dụng dữ liệu cá nhân. như vậy, việc lựa chọn Người chịu trách nhiệm nên được thực hiện hết sức cẩn thận, và tốt nhất là với sự hỗ trợ pháp lý cần thiết để đảm bảo rằng nó xảy ra phù hợp với LGPD và các quy tắc của ANPD.
