ANPD 調節 DPO 的效能

自 2018 年《一般資料保護法》發布以來，人們對資料處理負責人（著名的「DPO」）的績效的監管有很多期望。 該標準最終於 2024 年 7 月由國家資料保護局 - ANPD（解析 CD/ANPD No. 18，2024 年 7 月 16 日）發布，對負責人的指定、他們的職責和法律歸屬以及利益衝突提出了非常重要的觀點。.

最初，我們必須記住，對於微型企業、小型企業和 新創公司 – 所謂的「小型治療劑」。 但是，如果公司為個人資料開發高風險活動（透過密集使用數據、可能影響基本權利的數據處理，或透過新興或創新技術——例如人工智慧），即使它被認為是小型代理商，它也應該命名為 DPO——這只能透過 評估 由專業法律諮詢公司執行。.

對於需要任命負責人的公司，需要遵守幾項預防措施，以符合 ANPD 發布的新規則。 這些預防措施中的第一個涉及 DPO 的命名方式。 根據新系統，必須透過書面文件進行，日期和簽署是必須的——如果有這方面的請求，必須提交給 ANPD 的文件。 這些手續也必須在指示者在沒有 DPO 的情況下採取行動的指示（例如出於健康原因的假期或假期）時遵守。 ANPD 建議將這種「正式行為」為例如服務提供合約（如果 DPO 是組織外部的），但如果負責人是 CLT 制度下工作的僱員，它也可以通過對僱傭合約的修改來完成。.

此外，公司必須「確立履行個人職責所需的專業資格」，也建議透過正式行為（例如內部政策）來完成，從而確保指定對個人資料和資訊安全有足夠的了解的人。.

順便一提，新法規的一個非常重要的一點是授權 DPO 既是個人（它可以是公司員工的一部分，也可以是其外部）和法人實體，從而結束了對專門從事的公司的業績的懷疑 為服務的 DPO.

無論 DPO 的法律性質如何，該規則都要求正確揭露您的身分和聯絡資訊（最好在公司網站上），指出全名（如果是個人）或公司名稱和責任個人的姓名（在法律實體的情況下）；除了允許收到持有人或 ANPD 的通訊的最低聯絡資訊（例如電子郵件和電話）。.

關於 DPO 活動，該標準帶來了一系列新的任務，特別是為公司的領導提供協助和指導：

I – 安全事件的登記和通訊；;

II – 個人資料處理作業註冊；;

III – 個人資料保護影響報告；;

IV – 監督和減輕與個人資料處理相關的風險的內部機制；;

V – 安全、技術和行政措施，能夠保護個人資料免受未經授權的存取，以及免受損壞、遺失、更改、通訊或任何形式的不當或非法待遇的意外或非法情況；;

VI – 確保遵守 2018 年 8 月 14 日第 13,709 號法律和 ANPD 法規和指南的內部流程和政策；;

VII – 管理與個人資料處理相關的問題的合約工具；;

VIII – 國際資料傳輸；;

IX – 良好實踐和治理規則以及隱私治理計劃，根據藝術。 2018 年 8 月 14 日第 13,709 號法律第 50 條；;

X – 採用與 LGPD 中規定的原則相容的設計標準的產品和服務，包括預設隱私權，並將個人資料的收集限制在實現其目的所需的最低限度；

XI – 關於個人資料處理的其他活動和策略決策。.

看來 DPO 的職責大幅擴大，因此選擇必須落在訓練有素的專業人士身上，而「以簡單的形式」命名內部員工的常見做法已不再可能。 因此，公司評估外部 DPO 的聘用變得更加有趣，尤其是當沒有員工有資格或有資格執行負責人的任務時。.

順便一提，可用性是指定 DPO 時要分析的另一個重要因素。 新規則要求負責人應避免在公司內部執行其他職能時可能出現的任何利益衝突，或在他將負責人的角色與組織內的策略決策相關人員累積時。.

因此，始終建議 DPO 可以專門用於與保護個人資料相關的活動（尤其是在公司處理大量個人資料時），以盡可能降低利益衝突的風險——如果被 ANPD 發現，這可能會導致對公司實施罰款或其他處罰。.

最後，重要的是要強調，即使任命了 DPO，公司也負責個人資料的處理和保護，即：在 DPO 的表現失敗的情況下，將因濫用個人資料而導致的罰款或賠償，是組織——而不是指定人員——將承擔罰款或賠償。 因此，必須非常小心地選擇負責人，最好是必要的法律支持，以確保它按照 GGPD 和 ANPD 規則進行。.