自2018年《通用数据保护法》颁布以来,人们对数据处理负责人(即著名的“DPO”)的监管充满了期待。 该规范于2024年7月由国家数据保护局(ANPD)发布(ANPD第18号决议,2024年7月16日),内容涉及指定负责人、其职责和法律权限以及利益冲突等重要事项。
首先,我们必须记住,对于微型企业、小型企业和初创企业所谓的“微型处理代理”。 然而,如果公司从事高风险个人数据的活动(包括大量使用数据、处理可能影响基本权利的数据,或通过新兴或创新技术——例如人工智能——进行处理),即使被认为是小型企业,也必须指定数据保护官(DPO)——而这一点只能通过一个评估由专门的法律咨询机构进行。
对于被要求指定负责人(Encarregado)的企业,有许多注意事项需要遵守,以符合ANPD制定的新规。 第一个注意事项涉及到DPO的任命方式。 根据新的制度,必须通过书面、注明日期并签名的文件进行任命——如果有相关请求,须向ANPD出示该文件。 在指派代理人在数据保护官(DPO)缺席期间(如休假或因健康原因休假)应遵守这些程序。 ANPD的建议是,这种“正式行为”可以是例如服务合同(如果数据保护官是外部的组织),但也可以通过劳动合同的补充协议来完成,前提是负责人是根据CLT制度工作的员工。
此外,公司必须“确立履行负责人职责所必需的专业资格”,这也建议通过正式行为(例如内部政策)来实现,从而确保任命具有足够个人数据保护和信息安全知识的人员。
事实上,新法规的一个非常重要的一点是,它授权 DPO 可以是自然人(可以是公司员工,也可以是公司外部人员)或法人,从而消除了人们对专门从事数据保护的公司绩效的怀疑。DPO 即服务.
无论DPO的法律性质如何,该规则都要求适当披露其身份和联系信息(最好在公司的网站上),注明全名(如果是自然人)或公司名称和负责自然人的姓名(如果是法人);除最低限度的联系信息(如电子邮件和电话)外,还允许接收来自持有人或 ANPD 的通信。
关于DPO的活动,该标准带来了一系列新的属性,特别是为公司领导层提供以下方面的帮助和指导:
I——记录和报告安全事件;
II – 个人数据处理操作的记录;
III——对个人数据保护的影响报告;
IV – 监督和降低与个人数据处理有关的风险的内部机制;
V – 技术和管理安全措施,能够保护个人数据免遭未经授权的访问和意外或非法的破坏、丢失、更改、传达或任何形式的不充分或非法处理;
VI – 确保遵守 2018 年 8 月 14 日第 13,709 号法律以及 ANPD 法规和指南的内部流程和政策;
VII – 规范与个人数据处理相关问题的合同文书;
八、国际数据传输;
IX – 良好实践和治理规则以及隐私治理计划,根据艺术。 2018 年 8 月 14 日第 13,709 号法律第 50 条;
X – 采用与 LGPD 中规定的原则兼容的设计标准的产品和服务,包括默认保护隐私以及将个人数据的收集限制在实现其目的所需的最低限度;和
XI – 有关处理个人数据的其他活动和战略决策。
发现DPO的职责大幅增加,因此必须选择一位有能力的专业人士,不再允许出于“形式上的原因”任命一名内部员工。 因此,企业评估聘请外部数据保护官(DPO)变得更加有意义,尤其是在其员工队伍中没有具备资格或有能力履行负责人职责的员工时。
此外,可用性也是在任命DPO时需要考虑的另一个重要因素。 新规定要求负责人应避免任何可能在公司内部履行其他职能时出现的利益冲突,或在承担负责人职责的同时兼任与组织战略决策相关的职务。
因此,始终建议 DPO 能够专注于与个人数据保护相关的活动(特别是当公司处理大量个人数据时),以尽量减少利益冲突的风险——如果被 ANPD 发现,这可能会导致对公司处以罚款或其他处罚。
最后,仍然需要强调的是,即使指定了数据保护官(DPO),负责个人数据的处理和保护的是公司,也就是说:在DPO的工作失误的情况下,是组织——而不是被指定的人——将承担因个人数据滥用而产生的罚款或赔偿责任。 因此,负责人(Encarregado)的选择应非常谨慎,最好在必要的法律支持下进行,以确保符合《通用数据保护条例》(LGPD)和国家数据保护局(ANPD)的规定。
