A Lei Geral de Proteção de Dados Pessoais (LGPD) trouxe importantes obrigações para quem realiza o tratamento de dados no Brasil. Dentre essas elas, está a indicação do Encarregado, também conhecido como DPO. Essa cargo tem um papel fundamental para aqueles que almejam a conformidade com a LGPD. Nesse sentido, a ANPD, a fim de estabelecer esclarecer a atuação do DPO, elaborou a Resolução nº 18/2024. Vale lembrar que já havia atribuições ao encarregado na Resolução nº 2/2022. Portanto, vamos analisar ambas as Resoluções no âmbito do setor privado.
1. Obrigatoriedade da Indicação do Encarregado
Os controladores, responsáveis por definir as tomadas de decisões sobre o tratamento de dados pessoais, têm a obrigação de indicar um Encarregado
No entanto, houve a dispensa da indicação do DPO para os agentes de tratamento de pequeno porte.
Porém, nesse caso, é necessário disponibilizar um canal de comunicação para:
- aceitar reclamações;
- comunicações dos titulares;
- prestar esclarecimentos;
- adotar providências.
Igualmente, os operadores, responsáveis por tratar dados em nome do Controlador, podem (facultativo) indicar um Encarregado, se assim desejarem.
Entretanto, na prática, muitos operadores atuam como controladores, como, por exemplo, no tratamento de dados dos seus colaboradores, parceiros comerciais, etc. Portanto, é recomendável a indicação do DPO em ambos os casos.
Aliás, a indicação do Encarregado é considerado como política de boas práticas e de governança se, eventualmente, ocorrer alguma sanção administrativa.
2. Formalização da Indicação do DPO
A formalização da nomeação do Encarregado deverá ser feita por meio de um ato formal – documento escrito, datado e assinado – que demonstre a intenção do agente de tratamento em designar o DPO. Nesse ato, igualmente, deve constar:
- as formas de atuação do DPO;
- as atividades que serão desempenhadas.
Ademais, a ANPD poderá solicitar ao agente de tratamento que apresente o documento que formalizou a nomeação do DPO.
3. Encarregado Substituto – Atuação DPO
Em casos de ausências, impedimentos ou vacâncias do DPO, um substituto formalmente designado exercerá a função. Portanto, recomenda-se, no próprio documento que indicou o Encarregado, incluir um substituo a fim de facilitar o atendimento dos titulares de dados.
4. Quem pode atuar como Encarregado?
O DPO pode ser representado por:
- pessoa física (funcionário da organização ou um agente externo);
- pessoa jurídica, normalmente são consultorias externas especialistas em DPO as a service.
Em ambos os casos é fundamental que o Encarregado tenha liberdade e independência para exercer suas atividades.
5. Qualificações necessárias para atuação do DPO
Em primeiro lugar, esclarecemos que não é necessário registrar-se em nenhuma entidade, nem possuir certificação ou formação profissional específica para exercer a função de DPO.
Segundo a ANPD, cabe ao agente de tratamento estabelecer as qualificações profissionais necessárias para o desempenho das atribuições do Encarregado, considerando seus conhecimentos sobre a legislação de proteção de dados pessoais. Além disso, deve-se levar em conta o contexto, volume e risco das operações de tratamento realizadas
Em outras palavras, os próprios agentes de tratamento devem estabelecer as qualificações necessárias para o desempenho das atribuições do DPO. Portanto, uma empresa, controladora, deve verificar quais são os riscos no tratamento de dados e quais medidas são necessárias para assegurar sua proteção, por exemplo:
- um hospital precisará de um profissional qualificado, pois sua atividade principal envolve dados sensíveis. Por sua vez, uma pequena empresa, em tese, pode designar um colaborador interno, contudo, é recomendável que ele receba treinamento para exercer a função.
6. Da divulgação da identidade do Encarregado
De acordo com ANPD, deverão ser divulgadas – publicamente – a identidade e as informações de contato do DPO, de forma clara e objetiva, em local de destaque e de fácil acesso, no sítio eletrônico do agente de tratamento.
Entretanto, o agente de tratamento que não possuir sítio eletrônico poderá realizar a divulgação da identidade e das informações de contato do Encarregado por quaisquer outros meios de comunicação disponíveis, especialmente aqueles usualmente utilizados para contato com os titulares.
- Encarregado Pessoa Física: o nome completo;
- Encarregado Pessoa Jurídica: o nome empresarial ou o título do estabelecimento, bem como o nome completo da pessoa responsável.
Em ambos os casos, a divulgação das informações de contato do DPO abrangerá, no mínimo, os dados referentes aos meios de comunicação que viabilizem o exercício dos direitos dos titulares junto ao controlador e possibilitem o recebimento de comunicações da ANPD.
7. Deveres dos Agente de Tratamento
- prover os meios necessários para o exercício das atribuições do DPO, neles compreendidos, entre outros, recursos humanos, técnicos e administrativos
- solicitar assistência e orientação do Encarregado quando da realização de atividades e tomada de decisões estratégicas referentes ao tratamento de dados pessoais
- garantir ao Encarregado a autonomia técnica necessária para cumprir suas atividades, livre de interferências indevidas, especialmente na orientação a respeito das práticas a serem tomadas em relação à proteção de dados pessoais
- assegurar aos titulares meios céleres, eficazes e adequados para viabilizar a comunicação com o Encarregado e o exercício de direitos
- garantir ao Encarregado acesso direto às pessoas de maior nível hierárquico dentro da organização, aos responsáveis pela tomada de decisões estratégicas que afetem ou envolvam o tratamento de dados pessoais, bem como às demais áreas da organização
8. Novas Atribuições do DPO
Além das atribuições previstas na LGPD – art. 41 – também caberá ao DPO prestar assistência e orientação a fim de:
- registro e comunicação de incidente de segurança
- registro das operações de tratamento de dados pessoais
- relatório de impacto à proteção de dados pessoais
- mecanismos internos de supervisão e de mitigação de riscos relativos ao tratamento de dados pessoais
- medidas de segurança da informação (SI)
- processos e políticas internas
- instrumentos contratuais que disciplinem questões relacionadas ao tratamento de dados pessoais
- transferências internacionais de dados
- regras de boas práticas e de governança e de programa de governança em privacidade
- produtos e serviços que adotem padrões de design compatíveis com os princípios previstos na LGPD
- outras atividades e tomada de decisões estratégicas referentes ao tratamento de dados pessoais
8.1 Receber comunicação da ANPD – Atuação DPO
Após receber uma comunicação da ANPD, o DPO deve, então, adotar as medidas necessárias para atender à solicitação e fornecer informações pertinentes, , entre outras, as seguintes providências:
a) encaminhar internamente a demanda para as unidades competentes;
b) fornecer a orientação e a assistência necessárias ao agente de tratamento; e
c) indicar expressamente o representante do agente de tratamento perante a ANPD para fins de atuação em processos administrativos, quando esta função não for exercida pelo próprio Encarregado.
9. Responsabilidade do Encarregado sobre conformidade da LGPD
O Encarregado não tem responsabilidade sobre a não conformidade do agente de tratamento, perante a ANPD.
10. Acúmulo de função
O Encarregado pode acumular funções e atuar para mais de um agente de tratamento, desde que atenda plenamente suas atribuições relacionadas a cada agente de tratamento e não haja conflito de interesse.
Contudo, vale lembrar que acúmulo de função na atuação do DPO, dependendo de quem exercer o cargo, poderá acarretar em questões trabalhistas, como, por exemplo, aumento salarial. Nesse contexto, a contratação de um DPO terceirizado, mediante um contrato de prestação de serviço aumenta a independência da tomada de decisão do Encarregado, além de diminuir riscos trabalhistas do controlador.
11. Conflito de interesse
Conflito de interesse foi definido como: a situação que possa comprometer, influenciar ou afetar, de maneira imprópria, a objetividade e o julgamento técnico no desempenho das atribuições da atuação do DPO .
Por sua vez, pode-se configurar conflito de interesse:
- entre as atribuições exercidas internamente em um agente de tratamento ou no exercício da atividade de Encarregado em agentes de tratamento distintos; ou
- com o acúmulo das atividades de Encarregado com outras que envolvam a tomada de decisões estratégicas sobre o tratamento de dados pessoais pelo controlador, ressalvadas as operações com dados pessoais inerentes às atribuições do Encarregado.
Como podemos ver, a ANPD não exemplificou concretamente em quais situações ocorrem o conflito de interesse. No entanto, estabeleceu diretrizes que podem gerar eventuais conflitos.
Portanto, caberá o agente de tratamento analisar contexto em que processa dados para verificar se o DPO tem todas as condições necessárias para exercer essa função de forma independente e sem conflitos de interesse. Aliás, caso seja constatado um conflito de interesse na atuação de um Encarregado, deve o agente de tratamento substituí-lo.
11.1 Encarregado – obrigação de declarar possível conflito de interesse
O Encarregado deverá declarar ao agente de tratamento qualquer situação que possa configurar conflito de interesse, responsabilizando-se pela veracidade das informações prestadas.
12. Conclusão
A Regulamentação da ANPD, preconizada pela Resolução nº 18/2024, da ANPD, é um avanço para a consolidação na aplicação da LGPD, pois nos fornece uma análise detalhada sobre a atuação do DPO, desde a sua formalização da indicação até possíveis configurações de conflitos de interesse.
Em geral, as normativas novas trazidas são esclarecedoras e oportunas, porém, com relação a possibilidade de conflitos interesse na atuação do DPO, acreditamos que pela falta de exemplos concretos, será difícil sua aplicação na prática, especialmente, quando a obrigação de declarar o eventual conflito recair sobre o Encarregado.
Por fim, reiteramos a importância da indicação do DPO para empresas que almejam estar em conformidade com a LGPD.
Dúvidas sobre como implementar a LGPD na sua empresa?
Para facilitar a implementação da LGPD em sua empresa, preparamos um checklist com os principais passos que você deve seguir para garantir a conformidade legal.
