A Lei Geral de Proteção de Dados (LGPD) tornou-se uma realidade indispensável para empresas de todos os setores, exigindo medidas sólidas para garantir a segurança e a transparência no tratamento de dados pessoais. Entre essas medidas, destaca-se a figura do Encarregado de Proteção de Dados (DPO), profissional essencial para a comunicação entre a empresa, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).
Até a publicação da resolução 18 da ANPD, contávamos com apenas 1 artigo na legislação trazendo algum conteúdo sobre a atuação do encarregado, mas de forma genérica e com a indicação de que o tema seria tratado no futuro.
A Relevância da LGPD e a Figura do DPO ( Data Protection Officer)
Quanto a obrigatoriedade da nomeação de um DPO, o tema foi tratado ao longo do tempo, por meio de outras resoluções da ANPD, mas é importante ressaltar que, atualmente os agentes de tratamento que exercem as seguintes atividades estão obrigados a nomear um DPO:
- aquelas que realizam tratamento de dados em larga escala ou que possa afetar significativamente interesses e direitos fundamentais dos titulares;
- fazem uso de tecnologias emergentes ou inovadoras;
- tratam dados para vigilância ou controle de zonas acessíveis ao público;
- são responsáveis por decisões tomadas unicamente com base em tratamento automatizado de dados pessoais, inclusive aquelas destinadas a definir o perfil pessoal, profissional, de saúde, de consumo e de crédito ou os aspectos da personalidade do titular; ou
- utilização de dados pessoais sensíveis ou de dados pessoais de crianças, de adolescentes e de idosos.
Principais Responsabilidades do Encarregado de Proteção de Dados Segundo a Resolução 18 da ANPD
Com a Resolução 18 da ANPD, publicada em julho de 2024, 5 anos após a vigência da LGPD, foram esclarecidas as responsabilidades do DPO, que incluem:
- aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências cabíveis;
- receber comunicações da ANPD e adotar providências;
- orientar os funcionários e os contratados do agente de tratamento a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;
- executar as demais atribuições determinadas pelo agente de tratamento ou estabelecidas em normas complementares comunicações da ANPD e adotar providências;
- registrar e comunicação de incidente de segurança;
- registrar das operações de tratamento de dados pessoais;
- criar relatório de impacto à proteção de dados pessoais;
- implementar mecanismos internos de supervisão e de mitigação de riscos relativos ao tratamento de dados pessoais;
- implementar medidas de segurança, técnicas e administrativas, aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito;
- criação de processos e políticas internas que assegurem o cumprimento da LGPD e dos regulamentos e orientações da ANPD;
- Criação de instrumentos contratuais que disciplinem questões relacionadas ao tratamento de dados pessoais;
- Apoio na transferências internacionais de dados;
- criação de regras de boas práticas e de governança e de programa de governança em privacidade;;
- apoio na criação de produtos e serviços que adotem padrões de design compatíveis com os princípios previstos na LGPD, incluindo a privacidade por padrão e a limitação da coleta de dados pessoais ao mínimo necessário para a realização de suas finalidades; e
- apoiar em outras atividades e tomada de decisões estratégicas referentes ao tratamento de dados pessoais.
Quando a Nomeação de um DPO se Torna Obrigatória?
A resolução também trouxe em seu conteúdo o encarregado pode ser pessoa física ou jurídica indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD), ainda, que esta atividade pode ser cumulada com outras atribuições, na hipótese de pessoa física, desde que não haja conflito de interesse, considerando as orientações do encarregado que vão acarretar em decisões estratégicas para os negócios. Neste caso, o conflito de interesse poderá gerar prejuízo aos titulares de dados, o que acarretará em sanções pela autoridade.
Como um Encarregado de Proteção de Dados Pode Garantir a Conformidade com a LGPD?
E qual a melhor alternativa para mitigar riscos e contar com profissionais com expertise e que não gerem conflitos de interesse? A nomeação de um DPO na modalidade ‘as a service”, o famoso DPO externo, que apoiará a organização e trará as seguintes vantagens:
- A indicação do Encarregado pelos agentes de tratamento de pequeno porte é considerada política de boas práticas e governança, ou seja, se trata de uma das hipóteses de atenuação das sanções administrativas (até 20%) que podem ser aplicadas pela ANPD;
- Diminuição de custos;
- Não há conflito de interesses com outras funções de colaboradores internos;
- Atuação Multidisciplinar. Conhecimento específico e benchmark de outras empresas, além de conhecimento específico de como proceder em caso de incidente com dados dados e suas repercussões legais;
- Inexistência de vínculo trabalhista;
- Possibilidade de atendimento de casos simples a complexos em menor tempo e com maior especialidade;
- Facilidade em atualização do conteúdo;
Conclusão: A Importância de um DPO para sua Empresa
Em resumo, a nomeação de um DPO externo é uma opção interessante e já consolidada em outros países, combinando qualidade técnica e flexibilidade na condução das atividades, além de permitir a atuação sem eventuais interferências dentro da hierarquia da empresa.
Independentemente do caso, é importante lembrar que o DPO deve ter capacitação adequada para atendimento das atribuições estabelecidas pela lei. E, tendo por inspiração da GDPR, caberá a ele atuar de forma independente e com o cuidado de prevenir a ocorrência de conflitos de interesse entre suas atribuições e outras funções por ele exercidas.
Entre em Contato
Caso sua empresa precise de orientação para nomeação de DPO, de consultoria especializada para auxiliá-lo no desempenho de suas funções ou de um DPO as a Service, o Assis e Mendes conta com equipe especializada em Privacidade e Proteção de Dados e DPOs certificados, com atuação no Brasil e na Europa. Entre em contato conosco pelo site www.assisemendes.com.br.
Sobre a autora
Fernanda Soares é advogada da equipe de Empresarial, Contratual, LGPD e Compliance do Assis e Mendes. Pós-graduada em Direito Processual Civil, Direito Civil e Empresarial, e especialista em Governança Corporativa, Compliance e Direito Digital pela Escola Paulista de Direito (EPD).
