Essa semana, a ANPD divulgou uma nova resolução que detalha a atuação deste profissional
A Autoridade Nacional de Proteção de Dados (ANPD) publicou nesta semana o regulamento sobre a atuação do Encarregado pelo Tratamento de Dados Pessoais, também conhecido como “DPO” (da sigla em inglês para Data Protection Officer). Segundo a Lei Geral de Proteção de Dados Pessoais (LGPD), o encarregado deve fazer a interface entre o titular dos dados, o responsável pelo tratamento deles (empresa ou órgão público) e a ANPD.
Também é responsabilidade do DPO, conforme a Resolução nº 18, publicada no Diário Oficial da União, orientar a empresa para a qual trabalha sobre as melhores práticas no tratamento de dados. Mas não foi imposta a ele responsabilidade pessoal em caso de descumprimento da LGPD (Lei nº 13.709, de 2018).
Para a elaboração da norma, a área técnica da ANPD analisou quase 1200 contribuições de mais de 200 pessoas. O novo regulamento detalha como a empresa/órgão público deve divulgar a identidade do encarregado e suas informações de contato, seus deveres e as situações de conflito de interesse.
Se constatada a possibilidade de conflito de interesse, por exemplo, o agente que faz o tratamento dos dados pessoais deverá adotar as seguintes providências, conforme o caso: não indicar a pessoa para exercer a função de encarregado; implementar medidas para afastar o risco de conflito de interesse; ou substituir a pessoa designada para exercer a função de encarregado.
Apesar de a LGPD ter entrado em vigor no ano de 2020, nem todas as empresas que precisam, por lei, ter um encarregado já têm. “Muitas empresas ainda não possuem encarregado nomeado e mesmo aquelas que já nomearam um encarregado precisarão implementar medidas para formalizar a nomeação, considerando as novas regras previstas no regulamento, como a obrigação de divulgar no site da empresa o nome completo do encarregado, algo que normalmente não é feito atualmente”. afirma Felipe Palhares, sócio da área de proteção de dados e cybersecurity do escritório BMA Advogados.
Segundo Palhares, o perfil dos DPO já em ação no país, em geral, é de profissionais com background jurídico ou de tecnologia da informação, “considerando que conhecimentos sobre a legislação de proteção de dados e sobre aspectos técnicos são de grande valia para o exercício da função”.
Como todas as pessoas ou empresas que tomam decisões sobre o tratamento de dados pessoais são obrigados a nomear um encarregado, exceto aqueles alcançados pelas benesses previstas no regulamento da LGPD para agentes de tratamento de pequeno porte, o BMA recomenda aos clientes que todos que lidem com dados pessoais nomeiem um encarregado. Por meio de um e-book, resumido abaixo em cinco perguntas e respostas, especialistas da banca sobre o tema esclarecem eventuais dúvidas sobre a figura do encarregado.
“Como desconhecer tais requisitos pode resultar na imposição de sanções, entendemos que era fundamental apresentar o tema de forma direta e prática”, afirma Palhares. A LGPD prevê multa administrativa que pode chegar a R$ 50 milhões.
1 – Quais são as qualificações profissionais mínimas para ser nomeado como encarregado?
O exercício da função não está sujeito à obtenção de qualquer certificação ou à inscrição em qualquer entidade ou mesmo a uma formação profissional específica. O encarregado precisa ter conhecimentos sobre a legislação de proteção de dados pessoais e deve ser qualificado para realizar as atribuições definidas pelo regulamento.
Mas o agente de tratamento não pode nomear encarregado que possa ter conflito de interesses no exercício de suas funções. Caso seja constatado posterior conflito, o encarregado deve ser substituído.
2 – Como nomear um encarregado?
A nomeação deve ser realizada por ato formal (documento escrito, datado e assinado), que indique as formas de atuação e as atividades a serem desempenhadas pelo encarregado. A mera indicação do nome do encarregado em Políticas/Avisos de Privacidade dificilmente atenderá respectivo requisito. O documento de nomeação deverá ser disponibilizado à ANPD, quando solicitado.
Nos casos de ausências, impedimentos e vacâncias do encarregado titular, é necessário designar, formalmente, um encarregado substituto.
3 – O encarregado precisa ser empregado?
Não. O encarregado pode ser tanto uma pessoa física (empregado do Controlador, ou uma pessoa de fora da organização) quanto uma pessoa jurídica (uma empresa que presta serviços de DPO-as-a-service, ou uma consultoria externa, por exemplo).
4 – Um DPO nomeado pelo controlador dos dados pessoais em outros países pode também ser o encarregado no Brasil?
Sim, desde que seja possível o pleno atendimento de suas atribuições e que o encarregado seja capaz de se comunicar com a ANPD e com os titulares, de forma clara e precisa, e na língua portuguesa. O regulamento não deixa claro se esse último requisito (de ser capaz de se comunicar em língua portuguesa) é uma exigência de que o próprio encarregado seja fluente em português ou se a existência de pessoas em seu time, que tenham capacidade de se comunicar em língua portuguesa e possam auxiliar o encarregado nessa interlocução, seria suficiente.
5 – Existem deveres das empresas ou órgãos públicos que precisam tratar dados pessoais em relação ao encarregado?
Sim. Cabe ao agente de tratamento: prover recursos humanos, técnicos e administrativos para que o encarregado tenha condições de exercer suas funções; solicitar assistência e orientação do encarregado sobre temas relacionados ao tratamento de dados pessoais; garantir ao encarregado autonomia técnica para cumprir suas atividades, livre de interferências indevidas; assegurar aos titulares meios céleres, eficazes e adequados para viabilizar a comunicação com o encarregado; e garantir ao encarregado acesso direto à alta administração e aos responsáveis pela tomada de decisões estratégicas relacionadas ao tratamento de dados pessoais, assim como às demais áreas da organização.
Fonte: Valor Econômico, 20 de julho de 2024