DPO quais sãos suas responsabilidades?

regulamentacao-encarregado-dpo

Analisamos os principais aspectos da regulamentação do DPO (Data Protection Officer – DPO).

A Autoridade de Proteção de Dados (ANPD) publicou a Resolução CD/ANPD nº 18/2024 para regulamentar a atuação do encarregado (DPO).

Anteriormente, a Resolução CD/ANPD nº 2/2022 já havia abordado temas importantes sobre essa função. Portanto, vamos analisar ambas as resoluções no setor privado.

1. Obrigatoriedade da Indicação do Encarregado

Em regra, todos os controladores, aqueles que definem quem compete tomar as decisões referentes ao tratamento de dados pessoais, são obrigados a indicar um encarregado.

No entanto, houve a dispensa da indicação do DPO para os agentes de tratamento de pequeno porte.

Porém, nesse caso, deve ser disponibilizado um canal de comunicação a fim de:

  • aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências.

Igualmente, foi facultada a indicação do Encarregado aos Operadores, ou seja, aqueles que tratam dados em nome do Controlador.

Entretanto, na prática, dificilmente um Operador não será também Controlador em algum momento nas suas operações comerciais, como, por exemplo, no tratamento de dados dos seus colaboradores, e/ou parceiros comerciais, etc.

Nesse contexto, é recomendável a indicação do DPO em ambos os casos.

Aliás, a indicação do Encarregado será considerada como política de boas práticas e de governança se, eventualmente, ocorrer alguma sanção administrativa.

2. Formalização da Indicação do DPO

A formalização da nomeação do Encarregado deverá ser feita por meio de um ato formal – documento escrito, datado e assinado – que demonstre a intenção do agente de tratamento em designar o DPO.

Nesse ato, também deve constar as formas de atuação e as atividades que serão desempenhadas.

Além disso, a ANPD poderá solicitar ao agente de tratamento que apresente o documento que formalizou a nomeação do DPO.

3. Encarregado Substituto

Nos de casos de ausências, impedimentos e vacâncias do DPO, a função será exercida por um substituto formalmente designado.

Portanto, recomenda-se, no próprio documento que indicou o Encarregado, incluir um substituo a fim de facilitar o atendimento dos titulares de dados.

4. Quem pode atuar como Encarregado?

De acordo com as orientações da ANPD, ele pode ser representado por:

  • pessoa física, podendo ser um funcionário da organização ou um agente externo
  • pessoa jurídica, normalmente são consultorias externas que prestam o serviço conhecido como DPO as a service

Em ambos os casos é fundamental que o Encarregado tenha liberdade e independência para exercer suas atividades.

5. Qualificações necessárias para exercer a função

Em primeiro lugar, esclarecemos que não é necessário registrar-se em nenhuma entidade, nem possuir certificação ou formação profissional específica para exercer a função de DPO.

Segundo a ANPD, cabe ao agente de tratamento estabelecer as qualificações profissionais necessárias para o desempenho das atribuições do encarregado, considerando seus conhecimentos sobre a legislação de proteção de dados pessoais, além do contexto, volume e risco das operações de tratamento realizadas.

Em outras palavras, os próprios agentes de tratamento devem estabelecer as qualificações necessárias para o desempenho das atribuições do DPO.

Portanto, uma empresa, controladora, deve verificar quais são os riscos no tratamento de dados e quais medidas são necessárias para assegurar sua proteção, por exemplo:

  • um hospital precisará de um profissional qualificado em privacidade e proteção de dados, pois sua atividade principal envolve dados sensíveis.

Por outro lado, uma padaria, a princípio, poderia indicar um colaborador interno para exercer a função de DPO, mas, é recomendável que ele seja treinado para exercer essa função.

6. Da divulgação da identidade do Encarregado

De acordo com ANPD, deverão ser divulgadas – publicamente – a identidade e as informações de contato do DPO, de forma clara e objetiva, em local de destaque e de fácil acesso, no sítio eletrônico do agente de tratamento.

Entretanto, o agente de tratamento que não possuir sítio eletrônico poderá realizar a divulgação da identidade e das informações de contato do encarregado por quaisquer outros meios de comunicação disponíveis, especialmente aqueles usualmente utilizados para contato com os titulares.

  • Encarregado Pessoa Física: o nome completo
  • Encarregado Pessoa Jurídica: o nome empresarial ou o título do estabelecimento, bem como o nome completo da pessoa responsável

Em ambos os casos, a divulgação das informações de contato do DPO abrangerá, no mínimo, os dados referentes aos meios de comunicação que viabilizem o exercício dos direitos dos titulares junto ao controlador e possibilitem o recebimento de comunicações da ANPD.

7. Deveres dos Agente de Tratamento 
  • prover os meios necessários para o exercício das atribuições do DPO, neles compreendidos, entre outros, recursos humanos, técnicos e administrativos
  • solicitar assistência e orientação do encarregado quando da realização de atividades e tomada de decisões estratégicas referentes ao tratamento de dados pessoais
  • garantir ao encarregado a autonomia técnica necessária para cumprir suas atividades, livre de interferências indevidas, especialmente na orientação a respeito das práticas a serem tomadas em relação à proteção de dados pessoais
  • assegurar aos titulares meios céleres, eficazes e adequados para viabilizar a comunicação com o encarregado e o exercício de direitos
  • garantir ao encarregado acesso direto às pessoas de maior nível hierárquico dentro da organização, aos responsáveis pela tomada de decisões estratégicas que afetem ou envolvam o tratamento de dados pessoais, bem como às demais áreas da organização
8. Novas Atribuições do DPO

Além das atribuições previstas na LGPD – art. 41 – também caberá ao DPO prestar assistência e orientação a fim de:

  • registro e comunicação de incidente de segurança
  • registro das operações de tratamento de dados pessoais
  • relatório de impacto à proteção de dados pessoais
  • mecanismos internos de supervisão e de mitigação de riscos relativos ao tratamento de dados pessoais
  • medidas de segurança da informação (SI)
  • processos e políticas internas
  • instrumentos contratuais que disciplinem questões relacionadas ao tratamento de dados pessoais
  • transferências internacionais de dados
  • regras de boas práticas e de governança e de programa de governança em privacidade
  • produtos e serviços que adotem padrões de design compatíveis com os princípios previstos na LGPD
  • outras atividades e tomada de decisões estratégicas referentes ao tratamento de dados pessoais
8.1 Receber comunicação da ANPD

Após receber um comunicação da ANPD, o DPO  deve adotar as medidas necessárias para atender a solicitação e para fornecer informações pertinentes, adotando, entre outras, as seguintes providências:

a) encaminhar internamente a demanda para as unidades competentes;

b) fornecer a orientação e a assistência necessárias ao agente de tratamento; e

c) indicar expressamente o representante do agente de tratamento perante a ANPD para fins de atuação em processos administrativos, quando esta função não for exercida pelo próprio encarregado.

9. Responsabilidade do Encarregado sobre conformidade da LGPD

O encarregado não tem responsabilidade sobre a não conformidade do agente de tratamento, perante a ANPD.

10. Acúmulo de função

O encarregado poderá acumular funções e exercer as suas atividades para mais de um agente de tratamento, desde que seja possível o pleno atendimento de suas atribuições relacionadas a cada agente de tratamento e inexista conflito de interesse.

Contudo, vale lembrar que acúmulo de função, dependendo de quem exercer o cargo, poderá acarretar em questões trabalhistas, como, por exemplo, aumento salarial.

Nesse contexto, pode ser uma boa estratégia a contratação um DPO terceirizado (DPO as a service), mediante um contrato de prestação de serviço a fim de garantir a independência da tomada da decisão o encarregado e diminuir os riscos trabalhistas do controlador.

11. Conflito de interesse

Conflito de interesse foi definido como: a situação que possa comprometer, influenciar ou afetar, de maneira imprópria, a objetividade e o julgamento técnico no desempenho das atribuições do DPO .

Por sua vez, pode-se configurar conflito de interesse:

  • entre as atribuições exercidas internamente em um agente de tratamento ou no exercício da atividade de encarregado em agentes de tratamento distintos; ou
  • com o acúmulo das atividades de encarregado com outras que envolvam a tomada de decisões estratégicas sobre o tratamento de dados pessoais pelo controlador, ressalvadas as operações com dados pessoais inerentes às atribuições do encarregado.

Como podemos ver, a ANPD não exemplificou concretamente em quais situações ocorrem o conflito de interesse, entretanto, estabeleceu diretrizes que podem gerar eventuais conflitos.

Portanto, caberá o agente de tratamento analisar contexto em que processa dados para verificar se o encarregado tem todas as condições necessárias para exercer essa função de forma independente e sem conflitos de interesse.

Aliás, caso seja constatado um conflito de interesse na atuação de um encarregado, deve o agente de tratamento substituí-lo.

11.1 Encarregado – obrigação de declarar possível conflito de interesse

O encarregado deverá declarar ao agente de tratamento qualquer situação que possa configurar conflito de interesse, responsabilizando-se pela veracidade das informações prestadas.


Dúvidas sobre a atuação do Encarregado (DPO)?

Entre em contato conosco via WhatsApp ou e-mail: contato@giarllarielli.adv.br

 

Gustavo Giarllarielli

Giarllarielli Advogados
Precisa de ajuda? Converse com a gente!