Nova Regulamentação da ANPD sobre o Encarregado de Dados (DPO): O Que Você Precisa Saber
Postado por
Edson Costa
A Autoridade Nacional de Proteção de Dados (ANPD) publicou, no dia 17/07/2024, o regulamento sobre a atuação do “encarregado pelo tratamento de dados pessoais”, ou Data Protection Officer (DPO). Este novo regulamento, aprovado na Resolução CD/ANPD 18, detalha as responsabilidades e funções desse papel crucial na proteção de dados, alinhado à Lei Geral de Proteção de Dados Pessoais (LGPD).
Waldemar Gonçalves, Diretor-Presidente da ANPD, anunciou a norma durante a conferência “Computer Privacy and Data Protection” para a América Latina (CPDP LatAm), no Rio de Janeiro. O regulamento reflete demandas da sociedade e confere maior segurança jurídica às operações de tratamento de dados, após um processo de regulamentação que incluiu etapas de participação social como Tomada de Subsídios, Consulta Pública e Audiência Pública.
O Papel do Encarregado de Dados na LGPD
O encarregado de dados, criado pela LGPD, tem a função de atuar como interface entre o titular dos dados, o agente de tratamento e a ANPD. Ele também é responsável por orientar a organização em relação às melhores práticas no tratamento de dados, garantindo que a empresa esteja em conformidade com a legislação vigente.
O novo regulamento, aprovado na Resolução CD/ANPD 18, detalha quais são os deveres do encarregado e dispõe, entre outros temas, sobre as regras para divulgação de informações de contato e situações de conflito de interesse.
Este documento confere maior segurança jurídica às operações de tratamento, refletindo demandas da sociedade. Ele passou por um intenso processo de regulamentação, que incluiu várias etapas de participação social, como Tomada de Subsídios, Consulta Pública e Audiência Pública.
“[O encarregado] é um ator fundamental para garantir o cumprimento do direito fundamental à proteção dos dados pessoais e, consequentemente, para consolidar uma cultura de proteção de dados no país – o que passa, também, pela mudança na cultura de negócios no Brasil, passando de acordos orais para compromissos escritos”, disse Waldemar Gonçalves.
Detalhamento da Resolução CD/ANPD 18
A Resolução CD/ANPD 18 estabelece diretrizes específicas sobre as atividades do encarregado, incluindo as regras para a divulgação de informações de contato e as situações que possam configurar conflitos de interesse. O documento também aborda como deve ser formalizada a indicação do DPO e os deveres do agente de tratamento em relação ao suporte e autonomia do encarregado.
Exigências para a Nomeação do Encarregado
A resolução da ANPD reforça que o encarregado pode ser uma pessoa física ou jurídica, e estabelece que deve ser formalmente indicado pelo agente de tratamento de dados. É obrigatório que a nomeação seja registrada em um documento formal, datado e assinado, que descreva as atividades desempenhadas e as formas de atuação do DPO. Este documento deverá estar disponível para apresentação à ANPD sempre que solicitado.
Quanto ao formato do documento, a Agência não exigiu um modelo específico, possibilitando que cada agente adeque aos seus padrões internos de documentação.
Para agentes de pequeno porte, a ANPD dispensa a necessidade de indicar um DPO, mas exige que um canal de comunicação efetivo seja mantido para os titulares dos dados.
Importante ressaltar que, apesar de muito comum entre as pequenas empresas, optar por serviços de e-mail gratuito como canal de comunicação pode não garantir a efetividade deste contato. Adicionalmente, a ANPD já havia orientado que, apesar de dispensável a indicação, em caso de incidentes ou necessidade de esclarecimentos, é dever do agente apresentar um representante que entenda sobre os assuntos que envolvem a LGPD.
A autoridade determinou que, para os órgãos públicos, a indicação de um encarregado seja feita sempre que forem realizadas operações de tratamento de dados pessoais. O documento estabelece que o indicado deve ser, preferencialmente, um servidor ou um empregado de “reputação ilibada”, sendo que a indicação precisa ser publicada no Diário Oficial da União, do Estado, do Distrito Federal ou do Município.
Os Conhecimentos e Certificações do Encarregado
A grande novidade em relação às habilidades do encarregado é que fica estabelecido que este deve ser capaz de se comunicar claramente por escrito e verbalmente na “língua portuguesa” do Brasil.
Apesar de ser necessário que este comprove conhecimentos técnicos e jurídicos relacionados aos temas envolvidos na LGPD, não ficou estabelecida a necessidade de formação profissional específica, certificações ou filiação em qualquer órgão, entidade ou sindicato.
Apesar de não obrigatório, é importante ressaltar que certificações internacionais são sempre consideradas “boas práticas” para se comprovar conhecimentos.
Responsabilidades do Encarregado e do Agente de Tratamento
É de responsabilidade do agente de tratamento garantir que o encarregado possua os meios necessários para o exercício de suas atribuições, assegurando sua autonomia técnica. O DPO é responsável por receber e encaminhar comunicações da ANPD, orientar o agente de tratamento e participar da elaboração de relatórios de impacto, entre outras atividades.
Ponto importantíssimo para a consciência do agente é que a ANPD deixa claro que, perante a ANPD, não cabe ao encarregado a responsabilidade pela conformidade do tratamento dos dados pessoais realizado pelo controlador.
Cabe ao encarregado, ao receber comunicações da ANPD, fornecer orientação ao agente de tratamento, indicando claramente o representante do agente de tratamento perante a ANPD para fins de atuação em processos administrativos, quando essa função não for exercida pelo próprio encarregado.
Dentre as atividades listadas no documento, estão:
Orientação na implementação de medidas de segurança;
Aceitar reclamações dos titulares e tomar as providências cabíveis;
Participação na elaboração do relatório de impacto;
Receber comunicações da ANPD e tomar as providências necessárias;
Orientar os funcionários e os contratados a respeito das práticas de proteção de dados pessoais;
Comunicação de incidentes de segurança de dados pessoais; e,
Atividades de assistência e orientação ao agente de tratamento na elaboração de registros.
A Divulgação da Identidade do Encarregado
A Divulgação da Identidade do Encarregado
O agente de tratamento tem o dever de divulgar e manter atualizada a identidade e o contato do DPO em seu site de maneira clara e objetiva. Para encarregados pessoa jurídica, devem ser divulgados o nome empresarial ou título do estabelecimento e o nome do representante legal. Já para encarregados pessoa física, seja ela empregada ou não do agente de tratamento, é necessário informar o nome completo e um contato que permita o exercício dos direitos dos titulares e os contatos oficiais com a ANPD.
Em ambos os casos, ficou estabelecida a necessidade de se informar um contato efetivo que permita tanto o exercício do direito dos titulares quanto os contatos oficiais da ANPD.
Conflito de Interesses
O documento aborda de maneira detalhada a questão do conflito de interesses, deixando claro que é de responsabilidade do encarregado declarar ao agente de tratamento qualquer situação que possa configurar conflito de interesses, devendo o encarregado atuar com “ética, integridade e autonomia” para evitar esse tipo de situação.
Cabe ao agente de tratamento atentar para que o encarregado não exerça atribuições que acarretem conflito de interesses. Havendo a possibilidade de conflito, cabe ao agente implementar medidas para afastar o risco, deixar de indicar a pessoa para a função de encarregado ou substituir a pessoa que já foi designada.
Desde que não exista conflito de interesses e que este possa cumprir suas atribuições, o regulamento não proíbe o encarregado de acumular funções nem de trabalhar para mais de um agente de tratamento.
A ANPD verificará os casos suspeitos de conflito de interesses, podendo aplicar sanções ao agente de tratamento nos termos previstos na LGPD.
Na prática, uma boa maneira encontrada pelos agentes para evitar o conflito de interesses é a contratação de um encarregado pessoa jurídica.
Impacto na Proteção de Dados no Brasil
A nova regulamentação fortalece a proteção de dados no Brasil, incentivando a conformidade e a transparência nas operações de tratamento de dados. Empresas de todos os portes devem adaptar suas práticas para atender às novas exigências, o que inclui a correta indicação e capacitação do encarregado de dados.
O que é o Encarregado de Dados (DPO)?
O Encarregado de Dados, ou DPO, é o profissional responsável por atuar como ponte entre os titulares dos dados, a organização e a ANPD, garantindo que a empresa esteja em conformidade com a LGPD.
Quais são as principais responsabilidades do DPO segundo a nova regulamentação da ANPD?
As principais responsabilidades incluem orientar a organização sobre a proteção de dados, receber comunicações da ANPD, e participar na elaboração de relatórios de impacto, entre outras funções.
O que acontece se uma empresa não indicar um DPO?
Empresas que não indicarem um DPO, quando exigido, podem enfrentar sanções por não estarem em conformidade com a LGPD.
O DPO pode acumular funções em uma empresa?
Sim, desde que não haja conflito de interesses e que o DPO possa cumprir suas atribuições com independência.
Como a ANPD verifica conflitos de interesse relacionados ao DPO?
A ANPD pode investigar casos suspeitos de conflito de interesses e aplicar sanções ao agente de tratamento conforme previsto na LGPD.
A regulamentação exige que o DPO tenha certificações específicas?
Não é obrigatório, mas certificações internacionais são consideradas boas práticas para comprovar conhecimento na área.
É o DPO e Head de Segurança e Proteção de Dados Pessoais do Studio Estratégia. Também, é CEO e Fundador da ECCON, graduado em Engenharia Eletrônica pela Fundação Armando Alvares Penteado – FAAP, especialista em Governança, Risco e Compliance (GRC), Gestão e Tecnologia em Segurança da Informação (DM Business School e Faculdade Impacta de Tecnologia), certificado Data Protection Officer (DPO) pela EXIN, instrutor certificado pela EXIN ISFS, PDPE, PDPF e PDPP, Membro IBRASPD® e parceiro do Studio Estratégia para execução de serviços de implementação de Segurança da Informação e Proteção de Dados (GDPR e LGPD).
Instrutor oficial da EXIN para certificação de profissionais como DPO.
Até 2023, DPO (Terceirizado) de importantes e conceituadas empresas de pequeno, médio e grande porte, como GREENPEACE Brasil e HARALD Chocolates.
Para fornecer as melhores experiências, usamos tecnologias como cookies para armazenar e/ou acessar informações do dispositivo. O consentimento para essas tecnologias nos permitirá processar dados como comportamento de navegação ou IDs exclusivos neste site. Não consentir ou retirar o consentimento pode afetar negativamente certos recursos e funções.
Funcional
Sempre ativo
O armazenamento ou acesso técnico é estritamente necessário para a finalidade legítima de permitir a utilização de um serviço específico explicitamente solicitado pelo assinante ou utilizador, ou com a finalidade exclusiva de efetuar a transmissão de uma comunicação através de uma rede de comunicações eletrónicas.
Preferências
O armazenamento ou acesso técnico é necessário para o propósito legítimo de armazenar preferências que não são solicitadas pelo assinante ou usuário.
Estatísticas
O armazenamento ou acesso técnico que é usado exclusivamente para fins estatísticos.O armazenamento técnico ou acesso que é usado exclusivamente para fins estatísticos anônimos. Sem uma intimação, conformidade voluntária por parte de seu provedor de serviços de Internet ou registros adicionais de terceiros, as informações armazenadas ou recuperadas apenas para esse fim geralmente não podem ser usadas para identificá-lo.
Marketing
O armazenamento ou acesso técnico é necessário para criar perfis de usuário para enviar publicidade ou para rastrear o usuário em um site ou em vários sites para fins de marketing semelhantes.
