A Autoridade Nacional de Proteção de Dados (ANPD) promoveu reuniões técnicas sobre a tomada de subsídios para a elaboração de minuta da norma sobre o DPO (Data Protection Officer) ou Encarregado pelo Tratamento de Dados Pessoais. Prevista na agenda regulatória do biênio 2021-2022, a elaboração da norma prevê o início do processo de regulamentação ainda neste primeiro semestre.
As reuniões foram divididas em 5 blocos com perguntas elaboradas pela equipe técnica da ANPD e, em cada bloco, participaram 4 debatedores selecionados por bloco, totalizando 20 pessoas das 991 inscritas. Assim, a reunião teve cinco blocos com perguntas elaboradas pela equipe técnica da ANPD e respondidas por especialistas externos.
Os principais pontos abordados na reunião foram:
- Características e atribuições do Encarregado;
- Formas de atuação do Encarregado;
- Responsabilização e terceirização do Encarregado (DPO as a Service);
- Informação de contato, dispensa e flexibilização de indicação do Encarregado.
Quais os critérios para designar um DPO?
O entendimento mais assertivo foi que as qualificações sejam compatíveis com o risco das atividades de tratamento do controlador, assim como a natureza e o porte da respectiva entidade. Além disso, o profissional deverá ter domínio das normas e práticas de proteção de dados, gerais e setoriais, possuir conhecimento de tecnologia e segurança da informação e também sobre o setor empresarial e da organização.
Ficou estabelecido que o encarregado pode acumular funções, já que não há legislação em contrário. Contudo, é necessário cuidado para não haver conflito de interesses decorrente desse acúmulo de funções.
O controlador pode indicar mais de um encarregado?
Sim, os Encarregados podem possuir diferentes atuações nos segmentos de negócios de uma mesma empresa. Ademais, o Encarregado interno também poderá atuar em conjunto com outras pessoas da organização ou com empresa ou profissionais externos, que possam auxiliá-lo.
Poderá haver terceirização do DPO?
Não ficou estabelecido, através da LGPD (Lei Geral de Proteção de Dados), distinção se o Encarregado deve ser pessoa natural ou jurídica, bem como se deve ser funcionário do controlador ou agente externo. Por esse motivo, existe a possibilidade de contratação de pessoas jurídicas para exercer essa função, ou seja, a possibilidade de terceirização do Encarregado (DPO as a Service).
Ao levar em consideração que inexistem limitações para que uma pessoa jurídica assuma a função de Encarregado, decorre também a inexistência de limitações para que suas funções sejam delegadas a outra pessoa jurídica, podendo essa função ser exercida também com base em Contrato de Prestação de Serviço, celebrado com indivíduo ou companhia externa ao agente de tratamento.
Como deverá ser divulgada as informações de contato do DPO e de seu substituto?
Devem ser divulgadas apenas as informações de contato do Encarregado, a fim de que titulares de dados e Autoridades de Supervisão possam entrar em contato fácil e diretamente com ele, sem ter de contatar a outra parte da organização.
Não há necessidade de identificação de substituto do Encarregado, que é apenas alguém para o qual é delegado um conjunto de papéis e responsabilidades. O responsável final continua sendo o Encarregado “principal”.
As reuniões técnicas aconteceram nos dias 05 a 08 de abril de 2022 e os vídeos das reuniões estão disponíveis no canal da Autoridade no Youtube.
Bloco 1 – Características e atribuições do Encarregado
Bloco 2 – Formas de atuação do encarregado
Bloco 3 – Terceirização e responsabilização
Bloco 4 – Informação de contato do Encarregado, dispensa e flexibilização
Bloco 5 – Setor Público
Fonte: Gov.br
