Mise à jour des directives brésiliennes

Les directives brésiliennes mises à jour pour les agents de traitement des données personnelles et délégués à la protection des données.

La dernière version de la directive, publiée par l’autorité de protection des données brésilienne (ANPD) le 26 avril 2022, inclut de légères mais importantes révisions et clarifications.

En bref, l’ANPD a déclaré que cette nouvelle directive est nécessaire afin de :

• clarifier certains concepts relatifs à la LGPD et à l’ancienne directive ;
• inclure des exemples pratiques et des explications relatives aux individus qui sont en mesure d’exécuter les rôles de responsables du traitement, sous-traitant ou DPD, ainsi que leurs responsabilités ;
• apporter des clarifications à propos des attributions du DPD et aborder l’absence de nécessité d’enregistrer l’identité du DPD devant l’ANPD ;
• faire le point sur la Résolution CD/ANPD n° 2 du 27 janvier 2022 pour une norme sur l’application de la LGPD aux petits agents de traitement ; et
• exposer des notions trouvées dans des chaînes plus complexes, comme le sous-exploitant, pour montrer comment elles doivent être appliquées.

Détaillons un peu tout cela. Pour commencer, il y a eu des changements dans les libellés :

Dans l’exercice de ses fonctions, le délégué à la protection des données PEUT jouer un rôle important dans la promotion et la dissémination d’une culture de protection des données personnelles dans l’organisation

Le délégué à la protection des données était auparavant défini par l’ANPD comme « la personne chargée de veiller à la conformité LGPD d’une organisation, publique ou privée. »

L’idée que le délégué à la protection des données était personnellement responsable de la conformité de l’organisation à la LGPD a été supprimée de la version mise à jour de la directive. Par conséquent, c’est l’agent de traitement qui a la responsabilité civile et administrative de l’acquisition et du traitement des données à caractère personnel, et non le délégué à la protection des données en lui-même.

PETITE ENTREPRISE : AGENT DU DÉLÉGUÉ À LA PROTECTION DES DONNÉES POUR LE TRAITEMENT DES DONNÉES

Même si cela était déjà prévu par la formulation utilisée dans la première version, dans la nouvelle directive la Résolution n° 02/2022 autorise la norme d’applicabilité de la LGPD pour les agences de traitement des données des petites entreprises, les dispensant de nommer un délégué à la protection des données.

AVANT L’ANPD : IDENTITÉ ET COORDONNÉES DU DÉLÉGUÉ À LA PROTECTION DES DONNÉES

En raison de l’absence de restrictions législatives ou réglementaires, la version révisée de la directive n’exige pas que l’organisation notifie ou enregistre auprès de l’ANPD l’identité et les coordonnées du délégué à la protection des données, comme c’était le cas dans la version précédente. Ceci souligne toutefois qu’il s’agit seulement de la situation actuelle, qui pourrait être amenée à changer suivant les futures lois de l’ANPD.