Aggiornamento delle linee guida brasiliane

Aggiornamento delle linee guida brasiliane per i responsabili del trattamento e i responsabili per la protezione dei dati.

L’ultima versione delle linee guida, pubblicata dall’autorità per la protezione dei dati del Brasile (ANPD) il 26 aprile 2022, include delle revisioni e dei chiarimenti piccoli ma significativi.

In breve, l’ANPD ha dichiarato che le ultime linee guida servono a:

• chiarire alcuni concetti della LGPD e delle precedenti linee guida;
• fornire degli esempi e delle spiegazioni pratiche su chi può ricoprire il ruolo di titolare del trattamento, responsabile del trattamento e DPO (Responsabile per la protezione dei dati o RPD, in italiano), così come sulle loro responsabilità;
• fornire dei chiarimenti sulle attribuzioni del DPO e chiarire se sia necessario registrare l’identità del DPO presso l’ANPD;
• fornire degli aggiornamenti riguardo la Risoluzione CD/ANPD n. 2 del 27 gennaio 2022, per un Regolamento sull’applicazione della LGPD alle piccole imprese che trattano dati personali; e
• presentare delle nozioni che è possibile trovare in catene più complicate, come quella del sub-operatore, per mostrare in che modo possano essere applicate.

Proviamo ad andare più nel dettaglio. Per cominciare, c’è stato un cambiamento nella formulazione:

Nell’esercizio dei suoi doveri, il Responsabile per la protezione dei dati PUÒ ricoprire un ruolo importante per la promozione e disseminazione della cultura della protezione dei dati personali all’interno dell’organizzazione.

L’ANPD aveva precedentemente definito il Responsabile per la protezione dei dati “l’individuo responsabile per garantire la conformità di un’organizzazione, pubblica o privata, con la LGPD”

L’idea che il Responsabile per la protezione dei dati sia personalmente responsabile per la conformità dell’organizzazione con la LGPD è stata eliminata nell’ultima versione delle linee guida. Di conseguenza, il responsabile del trattamento ha la responsabilità civile e amministrativa per l’acquisizione e il trattamento dei dati personali, e non il responsabile per la protezione dei dati.

RESPONSABILI PER LA PROTEZIONE DEI DATI PER LE PICCOLE IMPRESE

Sebbene quest’aspetto fosse già previsto, stando alla formulazione della prima versione, nelle nuove linee guida la Risoluzione n. 2 02/2022 autorizza il Regolamento per l’Applicazione della LGPD alle piccole imprese che trattano dati personali, esentandole dalla nomina di un Responsabile per la protezione dei dati.

IDENTITÀ E INFORMAZIONI DI CONTATTO DEL DPO PRESSO L’ANPD

A causa della mancanza di restrizioni legislative e normative, la nuova versione delle linee guida non richiede alle organizzazioni di notificare o registrare l’identità del responsabile per la protezione dei dati presso l’ANPD, come invece si richiedeva precedentemente. Tuttavia, il consiglio sottolinea che ciò corrisponde alle circostanze attuali, che potrebbero sempre cambiare in base alle future leggi dell’ANPD.