巴西数据保护局（“ANPD”）的第一份指南（“指南”）涉及处理代理的定义和数据保护官员（“DPO”）的一般要求，发布近一年后，监管机构发布了更新版本，并进行了一些修改1，主要目的是澄清后者的作用。来自Fontes Tarso Ribeiro Advogados的Marcus Fontes、Bernardo JoséOliveira Araujo、Daniella Fernandes Ferrari、Beatriz Gomes Sampaio和Ana Paula Ferreira de Santana讨论了指南的更新版本以及巴西DPO的进一步预期发展。

关于处理代理，更新状态下的指南仅进行了少量修改，内容基本上与前一版本2相同。然而，相关更新涉及定义处理代理的流程图。该流程图主要用作区分单独控制器和联合控制器的视觉工具，代表了ANPD的一项出色举措，也是对巴西数据保护生态系统的一项受欢迎的贡献。

准则更新中引入的最重要修改是专门讨论DPO的章节，解决了前一版本准则提出的概念问题。此外，最新版本的指南确认，目前对DPO的注册没有监管要求，同时还提到了ANPD发布的其他法规，这些法规允许豁免为小企业和初创企业任命DPO。

关键外卖

由于2018年8月14日第13.709号法律《一般个人数据保护法》（经2019年7月8日第13-853号法律修订）（“LGPD”）没有规定此类责任，因此，指南第一版中规定的DPO作为负责确保数据保护合规性的人的先前定义被认为是极具争议的。在指南的更新版本中，该特定语言已被删除，并替换为对DPO一般任务的描述，如下所示：

“在履行其职责时，数据保护官员可能在促进和传播组织内的数据保护文化方面发挥重要作用，例如，当收到数据主体和国家政府当局的请求并采取措施时，甚至在收到数据主体的请求时，在指导员工和承包商有关个人数据保护的实践时。”

ANPD选择的新措辞似乎与LGPD一致，因为DPO不一定负责确保合规性，而是负责保持控制器、数据主体和ANPD之间的通信。

另一项重要补充包括与ANPD关于LGPD应用于小型加工剂的新法规协调，即2022年1月27日的CD/ANPD第2号决议（“决议”）。根据LGPD第41条第3款的规定，只要建立了与数据主体的通信渠道，ANPD允许免除为小企业（如决议所定义）任命DPO，从而为其数据保护合规工作提供了更大的灵活性。

此外，更新后的指南坚持认为，鉴于目前缺乏监管，没有向监管机构登记DPO的法律义务。作为补充，增加了语言，以强调该主题可能在未来由ANPD监管，因此重申了这一理解的可能暂时性。

最后，值得一提的一个小问题是DPO的专业资格。增加了语言，规定应根据组织/实体内发生的个人数据处理操作评估DPO在数据保护和信息安全方面的知识。

DPO监管的预期发展

尽管ANPD表示，更新后的指南是社会贡献和主题总体发展的结果，但与DPO有关的许多方面仍有待讨论和监管，正如之前由ANPD 2021至2022年监管议程确定的那样。

事实上，在2022年4月初，监管机构召开了一系列技术会议，旨在讨论与DPO和LGPD框架相关的各个方面，以收集未来监管工作的投入。会议分为五个会议，每个会议专门讨论以下主题之一：

• 特征和属性；
• 活动形式；外包和责任；
• 联系方式、解雇和任命的灵活性；和
• 公共部门。

尽管最初仅限于选定的合格嘉宾参加，但ANPD最近通过其官方渠道3提供了对活动的全面报道。

下一步的预期发展包括起草新的监管规范，正如专家建议的那样，这些规范应根据透明度和民主合法性的最佳做法提交公众协商。这不仅会增加利益相关者和整个社会对流程的开放性，而且有助于最大限度地减少打字错误和轻微校对错误。

最后，尽管最近更新的指南和ANPD正在进行的监管议程提供了额外的安全性，但关于加工剂的一些高级别问题仍然存在不确定性。具体而言，关于合同协议的指导，包括外包看起来像内部员工的运营商，以及如何记录对运营商的数据处理指令的问题，仍然必须解决。

本文：