O guia orientativo da ANPD, publicado em dezembro de 2024, para a atuação do encarregado pelo tratamento de dados pessoais fornece informações detalhadas sobre a função, as responsabilidades e as boas práticas relacionadas à gestão de dados conforme a LGPD.
No que diz respeito às empresas, o guia é essencial para implementar uma governança de privacidade robusta, garantindo conformidade com a legislação, prevenindo penalidades, protegendo dados pessoais de clientes e parceiros e promovendo a confiança no mercado.
Abaixo, listamos as principais informações do guia “Atuação do Encarregado pelo Tratamento de Dados Pessoais”:
Qual a Função e Importância do Encarregado?
O encarregado, também conhecido como Data Protection Officer (DPO), é designado para atuar como canal de comunicação entre a organização, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD). Seus objetivos incluem garantir que a organização cumpra a LGPD, servir como ponto de contato para questões relativas à privacidade e à proteção de dados e facilitar o diálogo entre os titulares de dados e a ANPD.
Suas responsabilidades gerais abrangem aceitar reclamações e comunicações dos titulares de dados, prestar esclarecimentos sobre práticas de tratamento de dados e implementar medidas para atender às solicitações da ANPD.
Sobre a Indicação do Encarregado de Dados
A indicação do encarregado é obrigatória para controladores e opcional para operadores, sendo considerada uma boa prática. Pequenas empresas podem ser dispensadas de indicar um encarregado caso não realizem tratamento de alto risco e tenham receita abaixo de R$ 4,8 milhões ou, no caso de startups, abaixo de R$ 16 milhões anuais.
Quais os Modelos de indicação permitidos?
O encarregado pode ser indicado como pessoa natural, sendo um indivíduo qualificado, ou como pessoa jurídica, com a contratação de uma empresa especializada que designa um profissional responsável pela função.
- Pessoa Natural: Designação de um indivíduo, geralmente um funcionário qualificado.
- Pessoa Jurídica: Contratação de empresas especializadas, com indicação de responsável técnico.
A indicação deve ser formalizada por documento datado e assinado, armazenado pela organização e, no caso de órgãos públicos, publicado no Diário Oficial.
Perfil e Competências Necessárias:
Os conhecimentos desejáveis para o encarregado incluem:
- Legislação de proteção de dados;
- Segurança da informação;
- Compliance;
- Gestão de riscos;
- Governança e entendimento das atividades principais da organização.
Além disso, o Encarregado de Dados Pessoais deve operar livre de interferências indevidas, garantindo objetividade e ética. Não há obrigatoriedade de formação ou certificações específicas, podendo o encarregado ser pessoa física ou jurídica.
Para isso, o guia fornece exemplos práticos de designação formal do encarregado.
Atividades e Atribuições
As funções previstas pela LGPD para o encarregado incluem:
– Aceitar reclamações e comunicações dos titulares;
– Receber comunicações da ANPD e adotar providências;
-Orientar colaboradores sobre práticas de proteção de dados e executar atribuições adicionais definidas pelo controlador.
Entre as atividades complementares, destacam-se:
– O gerenciamento de incidentes, auxiliando no registro e na comunicação de incidentes de segurança;
– A supervisão de operações, com orientação sobre o registro das operações de tratamento e elaboração de relatórios de impacto à proteção de dados;
– A promoção da governança em privacidade, implementando programas de governança e boas práticas, além de definir políticas de segurança da informação.
O encarregado também pode atuar na consultoria contratual, revisando e ajustando cláusulas relacionadas à proteção de dados em contratos.
O guia também destaca que na prevenção de conflitos de interesse, o encarregado não deve tomar decisões estratégicas relacionadas ao tratamento de dados nem acumular cargos que comprometam sua objetividade, como chefias de TI ou RH. Ele também pode atuar em mais de uma empresa, desde que não existam conflitos entre as funções exercidas.
Guia sobre Atuação do Encarregado de Dados: Relevância para Empresas
A implementação de uma governança de privacidade robusta proporciona diversos benefícios para as empresas. Esses benefícios incluem conformidade legal, prevenção de penalidades, mitigação de riscos relacionados à segurança de dados, aumento da confiança dos clientes e parceiros comerciais e eficiência operacional na gestão de dados.
Por isso, seguir as diretrizes definidas pela ANPD e incluídas neste guia é essencial para empresas que desejam implementar soluções eficazes e garantir a conformidade com a legislação brasileira.
