Próximo ao marco de 6 anos da vigência da Lei Geral de Proteção de Dados (LGPD), a Autoridade Nacional de Proteção de Dados (ANPD) aprovou o Regulamento sobre a Atuação do Encarregado de Proteção de Dados Pessoais. Este regulamento visa estabelecer normas complementares sobre a indicação, definição, atribuições e atuação do Encarregado, conhecido também como DPO (Data Protection Officer).
Desde a implementação da LGPD, a atuação do DPO tornou-se essencial para a governança da proteção de dados em instituições que tratam dados pessoais. Assim, o novo regulamento reforça o papel do DPO, detalhando os aspectos relacionados à divulgação de sua identidade e informações de contato, além de definir os deveres dos agentes de tratamento e situações de conflito de interesse.
Para aprovar o regulamento, a ANPD envolveu diversas etapas de participação social, incluindo Tomada de Subsídios, Consulta Pública e Audiência Pública. A área técnica da Autoridade analisou quase 1.200 contribuições de mais de 200 pessoas, garantindo uma ampla discussão sobre o tema.
Indicação do Encarregado de Proteção de Dados
Segundo o art. 41 da LGPD, o controlador e o operador devem indicar um encarregado pelo tratamento de dados pessoais, responsável por garantir a conformidade da empresa com a LGPD. O novo regulamento da ANPD especifica:
– O encarregado, seja pessoa física ou jurídica, deve ser indicado formalmente pelo agente de tratamento de dados.
– A indicação deve ser realizada por ato formal, documentado, datado e assinado pelo agente de tratamento.
– Em ausências, impedimentos ou vacâncias, a função deve ser exercida por substituto formalmente designado.
– A indicação do DPO para operadores será considerada política de boas práticas de governança para fins do disposto no art. 52, § 1º, inciso IX, da Lei nº 13.709, de 14 de agosto de 2018, e no art. 13, inciso II, do anexo da Resolução CD/ANPD nº 4, de 24 de fevereiro de 2023.
Atribuições e Regras para o Exercício das Atividades do DPO
O novo regulamento define que o agente de tratamento deve estabelecer as qualificações profissionais necessárias para o desempenho das atribuições do DPO, considerando conhecimentos sobre a legislação de proteção de dados, além do contexto, volume e risco de tratamento realizados.
Entre as atribuições do DPO estão:
– Prestar assistência e orientação ao agente de tratamento na elaboração de políticas e procedimentos;
– Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências cabíveis;
– Receber comunicações da ANPD e adotar as medidas necessárias para atendimento das solicitações;
– Definir e implementar registros e comunicação de incidentes, registros de operações de tratamento, relatórios de impacto à proteção de dados pessoais, mecanismos internos de supervisão e mitigação de riscos, medidas de segurança técnicas e administrativas, processos e políticas internas;
– Produzir e implementar instrumentos contratuais relacionados ao tratamento de dados pessoais, além de regras de boas práticas e produtos e serviços que adotem padrões de design compatíveis com os princípios da LGPD;
Embora o DPO seja responsável pelas comunicações entre os agentes de tratamento de dados pessoais, a responsabilidade perante a ANPD pela conformidade do tratamento ainda recai sobre o controlador/operador.
Relevância da Normatização para a sua Empresa
Para agentes de tratamento de dados pessoais, sejam instituições privadas ou públicas, é essencial apresentar publicamente e manter atualizadas as informações de identidade e contato do encarregado. Isso demonstra o compromisso com o princípio da transparência exigido pela LGPD e reforça a preocupação em tratar os dados pessoais de forma segura e conforme as normas vigentes.
Com as novas regras, os agentes de tratamento também devem:
– Prover os meios necessários para o exercício das atribuições do DPO, incluindo recursos humanos, técnicos e administrativos.
– Solicitar assistência e orientação do DPO ao realizar atividades e tomar decisões estratégicas relacionadas ao tratamento de dados pessoais.
– Garantir autonomia técnica ao DPO e acesso direto às pessoas de maior nível hierárquico.
Quais os próximos passos que a sua empresa deve tomar?
A recente aprovação dessa norma reforça a relevância da conformidade da LGPD e destaca a necessidade urgente de adequação por parte das empresas brasileiras. Dentro desse contexto, podemos observar também que o Encarregado de Proteção de Dados, o DPO, assume um papel estratégico para a segurança e credibilidade corporativa.
Em um período onde vazamentos de dados e violações de privacidade estão frequentemente nas manchetes, empresas que demonstram um compromisso com a proteção dos dados pessoais se destacam e garantem a confiança de seus stakeholders.
Dentro desse contexto, ao integrar a proteção de dados à cultura organizacional, o Encarregado também desempenha um papel crucial na manutenção da confiança tanto de clientes quanto de parceiros comerciais.
O BL Consultoria Digital se destaca como um parceiro ideal nessa área, oferecendo uma abordagem especializada e adaptada às necessidades específicas de cada cliente. Com um profundo conhecimento da legislação vigente, incluindo a Lei Geral de Proteção de Dados (LGPD), nossa equipe está preparada para ajudar sua empresa a não apenas cumprir com as normas, mas também a maximizar a segurança e a privacidade dos dados que você gerencia.
Converse com nossos advogados sobre os próximos passos necessários e garanta que sua empresa esteja em conformidade com a legislação e pronta para atuar em um ambiente cada vez mais digital e regulado.
