自一般数据保护法发布以来, 在2018年, 对数据处理负责人(著名的“DPO”)的行为规范有很高的期望. 该规范最终于2024年7月由国家数据保护局发布 – ANPD (Resolução CD/ANPD nº 18, 2024年7月16日, 带来关于指定负责人的几个重要点, 你的职责和法律义务, 关于利益冲突
最初, 我们必须记住,只有微型企业不需要任命数据保护官, 小型企业和初创企业 – 所谓的“小型处理代理”. 然而, 如果公司开展高风险的个人数据活动(大量使用数据, 可能影响基本权利的数据处理, 通过新兴或创新技术 – 人工智能的案例, 例如, 应当任命数据保护官,即使其被视为小型代理商 – 这只能通过一个来发现评估由专业法律顾问进行
对于被要求指定负责人公司的要求, 需要注意多项措施以遵守ANPD发布的新规. 第一个注意事项涉及到DPO的任命方式. 根据新的系统, 必须通过书面文件进行任命, 日期和签名 – 应向ANPD提交的文件,若有此请求. 这些形式也应在指定替代人时遵循,该替代人将在数据保护官缺席(如休假或因健康问题缺席)时工作. ANPD的建议是这个“正式行为”应当, 例如, 一份服务合同(如果数据保护官是外部的), 但也可以通过对劳动合同的附加条款进行修改,如果负责人是根据CLT制度工作的员工
此外, 公司应“确定负责人的职责所需的专业资格”, 也建议通过正式行为(如内部政策)来进行, 确保任命一位具备适当个人数据保护和信息安全知识的人士
新规章中一个非常重要的点, 顺便说一下, 这就是授权数据保护官(DPO)可以是个人(可以是公司员工的一部分), 或作为法人外部的她, 结束对专门公司活动的疑问DPO 即服务.
无论DPO的法律性质如何, 规则要求适当披露您的身份和联系信息(最好在公司网站上), 包括完整姓名(如果是个人)或企业名称和负责人的姓名(如果是法人); 除了最低限度的联系信息(如电子邮件和电话), 允许接收持有人或ANPD的通信
关于DPO的活动, 该规范带来了一系列新的职责, 特别是为了向公司的领导提供支持和指导,关于:
我 – 安全事件的记录和沟通
二 – 个人数据处理操作的记录
三 – 个人数据保护影响报告
四 – 个人数据处理的内部监督和风险缓解机制
V – 安全措施, 技术和行政, 适当保护个人数据免受未经授权的访问以及意外或非法破坏的情况, 损失, 更改, 不当或非法的沟通或任何形式的处理
六 – 确保遵守第13号法律的内部流程和政策.709, 2018年8月14日, 以及ANPD的规章和指导方针
七 – 规范与个人数据处理相关问题的合同工具
八 – 国际数据转移
九 – 良好实践和治理规则以及隐私治理计划, 根据第条款. 第13号法第50条.709, 2018年8月14日
十 – 采用符合LGPD规定原则的设计标准的产品和服务, 包括默认隐私和将个人数据收集限制在实现其目的所需的最低限度; 和
十一 – 其他活动和与个人数据处理相关的战略决策
可以看出,数据保护官的职责大大增加, 因此,选择必须必然落在一个有能力的专业人士身上, 不再可能仅仅出于“形式上的需要”而任命一名内部员工. 这样, 变得更加有趣的是,企业评估聘用外部数据保护官(DPO), 特别是在其员工中没有具备执行负责人任务的资格或可用性的员工时
可用性, 顺便说一下, 在任命数据保护官时,另一个重要因素需要分析. 新规则要求负责人应避免任何利益冲突, 在公司内部担任其他职务时可能出现的情况, 或者当你将负责人的职能与组织内部的战略决策相关职能结合起来时
因此, 始终建议数据保护官能够专注于与个人数据保护相关的活动(特别是在公司处理大量个人数据时), 为了最大限度地降低利益冲突的风险 – 这可能导致对公司的罚款或其他处罚, 如果被ANPD检测到
最后, 始终重要的是强调, 即使有指定数据保护官, 负责处理和保护个人数据的是公司, 也就是说:在DPO的行为出现失误的情况下, 是组织 – 而不是被指定的人 – 将对因个人数据不当使用而产生的罚款或赔偿负责. 这样, 选择负责人时必须非常谨慎, 并优先获得必要的法律支持,以确保其符合LGPD和ANPD的规定
