A Atuação do Encarregado de Dados Pessoais (DPO) de acordo com a nova Norma da ANPD
Recentemente, a Autoridade Nacional de Proteção de Dados (ANPD) publicou a Resolução CD/ANPD Nº 18, de 16 de julho de 2024, aprovando o regulamento que trata da atuação do ‘’Encarregado pelo Tratamento de Dados Pessoais’’, também conhecido como DPO (Data Protection Officer). Este documento descreve as responsabilidades do encarregado, estabelece diretrizes para a divulgação de informações de contato e trata das situações em que pode haver conflito de interesse.
Abaixo, serão destacados os principais pontos da norma, de forma clara e objetiva, para que as empresas privadas, órgãos públicos e profissionais que atuam nessa função, entendam como essa regulamentação impacta as organizações e suas obrigações.
Indicação do Encarregado
A resolução da ANPD determina que o encarregado, seja ele pessoa física ou jurídica, deve ser formalmente designado pelo agente de tratamento de dados (Controlador ou Operador). Essa designação exige a elaboração de um documento oficial que defina claramente as responsabilidades e as atividades que o encarregado irá executar, incluindo as formas de atuação e interação com os titulares de dados e com a Autoridade Nacional de Proteção de Dados (ANPD).
No caso de órgãos públicos, a norma especifica que a nomeação do encarregado é necessária sempre que houver operações de tratamento de dados pessoais. Preferencialmente, essa função deve ser atribuída a servidores ou empregados com "reputação ilibada". A nomeação também deve ser publicada no Diário Oficial da União, dos Estados, do Distrito Federal ou dos Municípios, conforme a esfera de atuação. Essa exigência garante transparência e uma comunicação clara sobre quem será o responsável pela proteção de dados dentro dessas entidades.
Além disso, a resolução permite que o encarregado seja externo à organização, o que abre portas para a contratação de consultorias especializadas ou profissionais independentes que ofereçam serviços de DPO. Essa flexibilidade é crucial, especialmente para empresas que não possuem recursos internos para manter um profissional dedicado exclusivamente à proteção de dados. No entanto, cabe ao agente de tratamento garantir que o profissional indicado tenha as qualificações necessárias e autonomia para desempenhar suas funções de forma independente.
Para os agentes de tratamento de pequeno porte, a ANPD isenta a obrigatoriedade de nomear um encarregado, desde que mantenham um canal de comunicação eficaz para atendimento aos titulares de dados. No caso dos operadores, a designação de um encarregado é opcional, mas será considerada uma “política de boas práticas de governança.” Essa medida incentiva a adoção de processos que aprimorem a governança de dados, sem impor um fardo desproporcional a empresas de menor porte ou operadores que realizam operações de menor complexidade.
Substituição do Encarregado e Continuidade das Atividades
O Art. 4º da Resolução da ANPD destaca uma questão crucial para a continuidade das atividades relacionadas à proteção de dados: a substituição do encarregado em casos de ausência, impedimentos ou vacância do cargo. A norma estabelece que, nessas situações, deve haver um substituto, podendo ser ele pessoa física ou jurídica, formalmente designado, garantindo que as atividades de proteção de dados e comunicação com titulares e a ANPD não sejam interrompidas. Isso é especialmente importante para evitar qualquer atraso ou falha no atendimento de solicitações de titulares ou nas respostas a incidentes de segurança, algo fundamental para a conformidade com a LGPD.
Essa exigência assegura que a empresa ou organização tenha uma estrutura de governança sólida, na qual a figura do encarregado não é centralizada em apenas uma pessoa, mas possui um sistema de continuidade. A ausência de um substituto poderia acarretar lacunas no cumprimento das obrigações legais, como responder a solicitações da ANPD ou garantir que os direitos dos titulares sejam respeitados. Por isso, a norma é clara ao reforçar que essas ausências não podem se transformar em barreiras ao exercício dos direitos dos titulares de dados ou no atendimento às demandas da autoridade reguladora. Isso demonstra a importância de planejar previamente a sucessão ou substituição do encarregado, para manter o sistema de proteção de dados robusto e funcional em todos os momentos.
Divulgação das Informações do Encarregado
Nesta nova Resolução, a ANPD reforça a necessidade de transparência em relação à identidade e aos meios de contato do encarregado pelo tratamento de dados pessoais. É imprescindível que essas informações estejam disponíveis de forma clara e acessível ao público, preferencialmente no site da empresa, em um local de destaque. Isso facilita o contato dos titulares de dados, que têm o direito de solicitar informações sobre como seus dados estão sendo tratados, além de ser fundamental para que a ANPD possa se comunicar diretamente com o encarregado, quando necessário. Dessa forma, a empresa demonstra compromisso com a proteção de dados e com o respeito aos direitos dos titulares.
A norma também prevê que a divulgação deve incluir, no mínimo, o nome completo do encarregado, caso ele seja uma pessoa física, ou o nome empresarial e o responsável designado, se for uma pessoa jurídica. Além disso, deve haver informações de contato atualizadas que permitam uma comunicação eficiente, tanto para atender às demandas dos titulares quanto para receber notificações da ANPD. A obrigatoriedade dessa divulgação garante que os processos de governança de dados pessoais sejam transparentes e que as empresas estejam sempre prontas para atender às solicitações dos titulares de dados de maneira célere e adequada.
Em situações em que a empresa não possui um site, o regulamento oferece a flexibilidade de utilizar outros meios de comunicação, desde que sejam acessíveis e amplamente utilizados pelos titulares de dados. Isso é particularmente relevante para pequenas empresas e organizações que operam em ambientes onde a presença digital não é tão forte. Mesmo nesses casos, a comunicação com os titulares e a ANPD não pode ser comprometida. A clareza e a prontidão na divulgação dessas informações são essenciais para garantir a confiança dos titulares e o cumprimento eficaz da LGPD, além de contribuir para a mitigação de riscos relacionados ao tratamento de dados pessoais.
Esse nível de transparência não só assegura que os titulares de dados saibam com quem entrar em contato para questões de privacidade, mas também eleva o padrão de conformidade da empresa, ao garantir que todas as partes interessadas – titulares, ANPD e a própria organização – estejam alinhadas em termos de comunicação e responsabilidades em relação à proteção de dados pessoais.
Autonomia do DPO
A autonomia do encarregado (DPO) é um dos pontos centrais da resolução da ANPD, como detalhado nos Artigos 10 e 11. Esses artigos estabelecem que o DPO deve contar com autonomia técnica para desempenhar suas funções, sem sofrer interferências indevidas da alta gestão ou de outras áreas da organização. Essa independência é essencial para que o DPO possa atuar de maneira imparcial e objetiva ao aconselhar a organização sobre questões relacionadas à proteção de dados e ao cumprimento da LGPD. O encarregado precisa ter a liberdade de indicar possíveis vulnerabilidades e sugerir melhorias nos processos sem restrições, garantindo que a organização esteja sempre alinhada às melhores práticas de privacidade e segurança de dados.
Além de garantir essa autonomia, a ANPD deixa claro que a organização tem a responsabilidade de fornecer ao DPO todos os recursos necessários para que ele execute suas atividades de forma eficiente. Isso inclui desde a alocação de equipes de apoio até a disponibilização de ferramentas e tecnologias adequadas. A ausência desses recursos pode comprometer a capacidade do DPO de monitorar e orientar corretamente a organização sobre o tratamento de dados pessoais. Portanto, cabe à organização garantir que o encarregado tenha o suporte técnico, administrativo e financeiro adequado para exercer sua função de maneira efetiva e independente. Essa estrutura de apoio também abrange o acesso a informações críticas e a outras áreas da organização, permitindo que o DPO colabore diretamente com setores como TI, Jurídico e Recursos Humanos.
Outro ponto fundamental dos Artigos 10 e 11 é a exigência de que o DPO tenha acesso direto às pessoas de maior nível hierárquico dentro da empresa, incluindo executivos e gestores responsáveis pelas decisões estratégicas que possam impactar o tratamento de dados pessoais. Isso significa que o DPO deve participar de reuniões e discussões em que as decisões sobre o uso de dados são tomadas, garantindo que as questões de privacidade e proteção de dados sejam levadas em consideração desde a concepção de novos projetos e operações. Sem esse nível de acesso, o DPO corre o risco de ser visto apenas como uma figura simbólica, sem influência real sobre as práticas de tratamento de dados.
A autonomia do DPO também é um reflexo da confiança que a empresa deposita nesse profissional. Ele deve ser capaz de agir sem pressões externas e ser uma voz independente dentro da organização, assegurando que as decisões sejam baseadas na conformidade legal e nas melhores práticas de governança de dados. A empresa que reconhece e respeita essa autonomia estará mais bem preparada para mitigar riscos, evitar sanções regulatórias e fortalecer a confiança dos clientes e parceiros em suas práticas de proteção de dados.
Qualificações e Requisitos do Encarregado
O Art. 14 da Resolução da ANPD trata de um aspecto importante e que gera dúvidas frequentes entre as empresas: as qualificações e requisitos formais para o exercício da função de encarregado (DPO). Ao contrário de outras regulamentações internacionais, como o GDPR na Europa, a resolução brasileira esclarece que o exercício da função de DPO não exige inscrição em qualquer entidade específica, nem a obtenção de certificações ou formações profissionais obrigatórias. Ou seja, o profissional designado para atuar como encarregado não precisa possuir credenciais formais ou registros em órgãos específicos, desde que tenha o conhecimento necessário para atuar de forma eficiente e técnica no cumprimento de suas atribuições.
Essa flexibilidade reconhece a diversidade de perfis que podem desempenhar a função de encarregado, permitindo que empresas ajustem a escolha do DPO às suas próprias necessidades, considerando o contexto e o volume de dados tratados. No entanto, é importante ressaltar que, apesar de não haver uma exigência de certificações formais, o agente de tratamento deve garantir que o encarregado tenha expertise suficiente na legislação de proteção de dados, bem como uma compreensão sólida sobre governança de dados e as práticas recomendadas. A escolha de um DPO bem preparado tecnicamente será um diferencial importante para garantir o cumprimento da LGPD e a mitigação de riscos no tratamento de dados pessoais.
Atribuições do Encarregado
As atividades e responsabilidades do encarregado (DPO), que vão muito além de uma função consultiva. O DPO é o elo entre o controlador de dados, os titulares e a Autoridade Nacional de Proteção de Dados (ANPD), garantindo que os direitos dos titulares sejam respeitados e que as obrigações legais do controlador sejam cumpridas. Entre suas principais atribuições está a aceitação e a resolução de reclamações e dúvidas dos titulares de dados, orientando a empresa na adoção de providências cabíveis. Esse papel é crucial, pois, em muitos casos, o encarregado será a primeira pessoa a ser acionada quando surgirem questões sobre o uso e proteção de dados pessoais, devendo estar preparado para agir de maneira rápida e eficiente.
Além disso, o DPO tem a responsabilidade de receber as comunicações da ANPD e adotar as providências necessárias para garantir o atendimento adequado das demandas regulatórias. Isso pode envolver o encaminhamento das solicitações internas às áreas competentes, como Jurídico ou TI, além de prestar orientação sobre as ações a serem tomadas pela empresa em casos de incidentes de segurança ou pedidos de acesso a dados. O encarregado também deve atuar de maneira proativa, orientando os colaboradores e contratados sobre as melhores práticas de proteção de dados pessoais, garantindo que todos na organização estejam cientes de suas obrigações em relação à LGPD. Essa orientação pode incluir treinamentos regulares, desenvolvimento de políticas internas e a implementação de processos para assegurar a conformidade contínua.
Os Artigos 15 e 16 também destacam o papel estratégico do DPO na criação e manutenção de mecanismos internos de supervisão e mitigação de riscos relacionados ao tratamento de dados pessoais. Isso inclui a elaboração de relatórios de impacto à proteção de dados (RIPD), registros detalhados das operações de tratamento e a supervisão de medidas de segurança, tanto técnicas quanto administrativas. O DPO deve garantir que essas medidas estejam adequadas para proteger os dados pessoais de acessos não autorizados, alterações indevidas ou outros tipos de tratamento inadequado. O encarregado também deve estar envolvido na definição de processos para lidar com incidentes de segurança, assegurando que a empresa esteja preparada para responder rapidamente a qualquer situação que possa comprometer a integridade ou a confidencialidade dos dados pessoais.
O DPO deve ser um facilitador da governança de dados dentro da organização, auxiliando na implementação de boas práticas e na adoção de uma cultura de privacidade. Ele deve auxiliar na construção de políticas e mecanismos de privacidade por design e por padrão, integrando esses princípios em novos produtos, serviços e processos desde sua concepção. O sucesso do encarregado em suas funções depende não apenas de seu conhecimento técnico, mas também de sua capacidade de trabalhar em conjunto com todas as áreas da empresa, garantindo que a proteção de dados esteja no centro da tomada de decisões estratégicas.
Conflito de Interesse
A resolução da ANPD aborda de maneira detalhada as questões relacionadas ao conflito de interesses, assegurando que o encarregado (DPO) atue de forma ética, íntegra e com total autonomia. De acordo com o regulamento, é obrigação do DPO evitar situações que possam comprometer sua independência ou prejudicar a imparcialidade de suas funções. Caso ele identifique qualquer potencial conflito, deve prontamente informar o agente de tratamento para que as devidas medidas sejam tomadas. Essa transparência é essencial para garantir que as atividades relacionadas à proteção de dados sejam conduzidas de forma adequada, sem interferências indevidas que possam comprometer o cumprimento da LGPD.
A ANPD também é clara ao afirmar que o regulamento não impede o encarregado de acumular funções dentro da organização ou até mesmo de atuar como DPO para mais de um agente de tratamento. Contudo, isso só é permitido desde que o profissional consiga cumprir todas as suas responsabilidades de forma eficaz e que não haja conflitos de interesses que comprometam sua atuação. A capacidade do DPO de manter sua imparcialidade é essencial para assegurar que as decisões sobre o tratamento de dados pessoais sejam tomadas com base em critérios legais e técnicos, sem a influência de outras funções que ele possa exercer na organização ou em outras empresas.
O regulamento define situações específicas que podem configurar um conflito de interesses, como o acúmulo de funções que envolvam a tomada de decisões estratégicas sobre o tratamento de dados pessoais ou a execução de atribuições em mais de um agente de tratamento sem a devida separação de responsabilidades. Nesse caso, o agente de tratamento tem o dever de monitorar a atuação do DPO e garantir que ele não assuma tarefas que possam comprometer sua independência. Se for constatada a possibilidade de um conflito, o agente de tratamento deve tomar medidas imediatas, como substituir o DPO ou alterar suas funções para eliminar o risco.
A ANPD também reserva o direito de investigar possíveis conflitos de interesse e, se necessário, aplicar sanções ao agente de tratamento, conforme previsto na LGPD. Isso reforça a necessidade de os agentes de tratamento estarem atentos à escolha e ao acompanhamento das atividades do encarregado, garantindo que ele tenha condições de exercer suas funções com total autonomia e sem pressões que possam interferir em sua imparcialidade. Além disso, ao assegurar que o DPO atue sem conflitos, as empresas estarão mais protegidas contra possíveis violações da legislação de proteção de dados e garantirão a eficácia de suas políticas de governança em privacidade.
DPO não é Responsável por Infrações do Controlador
É importante destacar que o encarregado não é responsável diretamente por qualquer não conformidade com a LGPD por parte do controlador.
Embora o DPO tenha um papel crucial em orientar, monitorar e garantir a conformidade da empresa com a LGPD, a responsabilidade legal pelas ações de tratamento de dados recai exclusivamente sobre o controlador ou operador. Isso significa que, mesmo que o DPO faça recomendações ou alerte sobre potenciais riscos, a decisão final sobre o tratamento de dados é do controlador, e ele é o único responsável perante a ANPD e os titulares de dados.
Esse ponto é fundamental para proteger a autonomia do DPO e assegurar que ele possa exercer suas funções com independência e imparcialidade. Ao desvincular a responsabilidade legal do DPO em relação a infrações, a norma garante que o encarregado possa atuar como um consultor estratégico dentro da organização, sem o receio de ser penalizado por decisões sobre as quais ele não tem poder de controle direto. Isso também fortalece o papel do DPO como um facilitador da conformidade, já que ele pode se concentrar em fornecer orientações adequadas e promover uma cultura de proteção de dados sem se envolver nas implicações legais diretas.
Ainda que o encarregado tenha um papel ativo em orientar e supervisionar as práticas de proteção de dados, ele não tem autoridade para tomar decisões estratégicas ou operacionais sobre como os dados serão tratados. Isso reforça a necessidade de uma boa governança dentro da organização, onde o DPO é um ator central na implementação de medidas de proteção, mas o controle final e a responsabilidade continuam a pertencer aos gestores e líderes da empresa.
Ademais, a ANPD em sua nova Norma, não isenta o DPO de suas obrigações de diligência. Ele deve continuar a desempenhar suas atribuições com zelo e competência, orientando a empresa sobre conformidade e mitigação de riscos. Se o encarregado falhar em suas funções de aconselhamento e monitoramento, isso pode comprometer a eficácia do programa de proteção de dados da organização, mas ainda assim, a responsabilidade por violações da LGPD, perante à ANPD, sempre permanecerá com o controlador, que é quem toma as decisões finais sobre o tratamento de dados pessoais.
Perguntas e respostas rápidas sobre a Resolução CD/ANPD Nº 18 de 16 de Julho de 2024
A resolução exige que todas as empresas, incluindo órgãos públicos, designem formalmente um Encarregado de Dados Pessoais (DPO) e divulguem suas informações de contato de maneira acessível ao público, como no site da empresa ou em outro meio amplamente utilizado. No caso de órgãos públicos, a nomeação deve ser publicada em Diário Oficial, e a empresa deve garantir que o DPO tenha as qualificações necessárias para exercer suas funções de forma independente.
A ANPD estabelece que o DPO deve atuar com autonomia técnica e sem interferências indevidas da alta gestão ou de outras áreas da organização. Ele deve ter liberdade para sugerir melhorias nos processos de proteção de dados e acesso direto aos níveis hierárquicos mais altos da empresa, assegurando que a proteção de dados seja considerada em todas as decisões estratégicas.
A resolução determina que, em caso de ausência, impedimento ou vacância do cargo de DPO, um substituto formalmente designado deve ser nomeado para garantir a continuidade das atividades de proteção de dados e a comunicação com titulares de dados e a ANPD. Essa substituição deve ser planejada para evitar atrasos ou falhas no atendimento às demandas legais e dos titulares.
A Resolução CD/ANPD Nº 18 não exige que o DPO tenha certificações formais ou inscrições em entidades específicas, mas a empresa deve garantir que o profissional tenha o conhecimento necessário sobre a legislação de proteção de dados e as melhores práticas de governança de dados. Essa flexibilidade permite que diferentes perfis ocupem o cargo, desde que tenham expertise suficiente para cumprir suas funções.
A resolução aborda detalhadamente os possíveis conflitos de interesse que podem comprometer a independência do DPO. O DPO deve evitar situações que possam prejudicar sua imparcialidade, informando imediatamente ao agente de tratamento sobre qualquer potencial conflito. A ANPD também prevê que o DPO pode acumular funções dentro da organização, desde que isso não comprometa sua independência e que ele consiga cumprir todas as suas responsabilidades de maneira eficaz.