Gabriela MalufUma nova resolução da Autoridade Nacional de Proteção de Dados (ANPD), em cumprimento ao disposto no artigo 41, parágrafo 3° da LGPD, inovou na regulamentação da obrigatoriedade da indicação do encarregado de dados ou Data Protection Officer (DPO), que passa a ser formalmente indicado expressamente por ato formal e inequívoco. A nova regra é válida tanto para empresas privadas quanto públicas e a referida indicação deverá ser publicada em Diário Oficial, como parte da nova formalidade exigida.
Vale notar que as funções do encarregado, como garantir a conformidade com a LGPD, orientar colaboradores e mitigar incidentes de vazamento de dados, são vitais para a segurança dos dados, conforme a Resolução 18 da ANPD, artigo 16. Neste artigo, trataremos da nova Resolução da ANPD e quais as novidades em relação ao DPO e outras implicações relevantes. Acompanhe!
DPO: O que diz a nova Resolução da ANPD?
A Autoridade Nacional de Proteção de Dados (ANPD) divulgou, em julho de 2024, o regulamento sobre a atuação do “encarregado pelo tratamento de dados pessoais”, conhecido como Data Protection Officer (DPO). Aprovada pela Resolução CD/ANPD 18, essa norma especifica os deveres do encarregado, define as regras para a divulgação de suas informações de contato e aborda questões relacionadas a possíveis conflitos de interesse.
Vale lembrar que a figura do DPO foi implementada pela Lei Geral de Proteção de Dados (LGPD), e o encarregado tem a função de mediar a relação entre os titulares dos dados, os agentes de tratamento (controlador e operador), e a própria ANPD, podendo ser tanto uma pessoa física quanto jurídica.
A nova regra determina que o DPO (que pode ser pessoa física ou jurídica), seja nomeado formalmente pelo agente de tratamento de dados. A nomeação precisa ser oficializada por meio de um documento que detalha suas responsabilidades e métodos de atuação. No caso de órgãos públicos, essa designação deve ser publicada em veículos oficiais, e a pessoa escolhida precisa ser alguém com boa reputação.
Além disso, a Resolução em análise não menciona formação específica, mas a empresa deve definir as qualificações necessárias ao DPO, conforme a complexidade do tratamento de dados e os riscos envolvidos. Portanto, a formação do DPO é definida conforme as necessidades de cada organização, podendo ser uma pessoa física ou jurídica, interna ou externa à empresa, sem exigência de inscrição em associação, conselho profissional ou outra certificação obrigatória.
A ANPD definiu que o encarregado deve atuar como intermediário entre os titulares e a autoridade, e não precisa possuir certificações ou formação específica. No entanto, as atribuições envolvem receber reclamações, orientar a empresa sobre proteção de dados e ser o ponto de contato com a ANPD. Concluindo, vale destacar que, segundo a ANPD, o encarregado não é diretamente responsável perante a autoridade pela conformidade do tratamento de dados, sendo essa uma obrigação do controlador.
Quando é dispensada a indicação formal do DPO?
Para agentes de pequeno porte, a ANPD permite que a indicação do encarregado seja dispensada, desde que exista um canal de comunicação adequado com os titulares de dados. Por outro lado, para operadores, a nomeação é opcional, mas recomendada como uma prática de boa governança.
Isso porque o regulamento aborda possíveis conflitos de interesse, determinando que o encarregado deve atuar com integridade e independência. Logo, embora não haja restrições para o acúmulo de funções, tal fato não deve comprometer sua autonomia ou causar conflitos de interesses. Neste contexto, o agente de tratamento é responsável por evitar que o encarregado acumule funções que possam comprometer sua imparcialidade, sendo que casos suspeitos de conflito serão investigados pela ANPD, que poderá aplicar sanções conforme previsto na LGPD.
A exceção aos operadores gera questionamentos, pois a LGPD (art. 5º, inciso VIII) sugere que tanto controladores quanto operadores devem indicar um encarregado, mas o artigo 41 menciona essa exigência apenas para os controladores. Isso porque tanto controladores quanto operadores compartilham responsabilidades, conforme o artigo 42 da LGPD, e a ausência de um encarregado por parte dos operadores pode enfraquecer a proteção dos dados.
