A Autoridade Nacional de Proteção de Dados (ANPD) aprovou, em 17 de julho de 2024, um Regulamento para orientar a atuação do Encarregado de Dados Pessoais, conforme já previsto na Lei Geral de Proteção de Dados (LGPD).
O Encarregado de Dados, também conhecido como Data Protection Officer (DPO), é uma função introduzida pela LGPD como a responsável por assegurar que as organizações cumpram as normas de proteção de dados através de orientações, mediação e monitoramento. Ele atua como elo entre a instituição, os titulares dos dados e a ANPD.
A LGPD contém previsões gerais sobre suas funções e obrigações, porém sem muitos detalhamentos. Alguns detalhamentos foram feitos em documentos e regulamentos separados, o que permitiu instituir tal função da forma correta em grande parte das organizações. Diante deste cenário, este regulamento surge como forma de estabelecer diretrizes claras para o encarregado em documento unificado e legalmente formalizado, incluindo obrigações como:
- Monitoramento do Cumprimento da LGPD: Garantir que a organização esteja em conformidade com as normas da LGPD no tratamento de dados pessoais.
- Intermediário com a Autoridade Nacional: Ser o ponto de contato para a organização, titulares dos dados e ANPD, facilitando a comunicação e colaboração.
- Orientação e Educação: Orientar a organização e seus funcionários sobre práticas adequadas de proteção de dados, promovendo a conscientização sobre privacidade.
- Monitoramento de Incidentes: Responsável por gerenciar e notificar incidentes de segurança que possam comprometer dados pessoais, garantindo conformidade com a LGPD.
- Avaliação de Impacto à Proteção de Dados (ANPD): Participar na avaliação dos riscos relacionados ao tratamento de dados pessoais, quando necessário.
- Cooperação com a ANPD: Colaborar com a ANPD em investigações e processos relacionados à proteção de dados.
O regulamento define também requisitos para nomeação, qualificação e independência do Encarregado, assegurando que possa desempenhar suas funções de maneira imparcial e eficaz:
- O Encarregado deverá possuir conhecimentos especializados em proteção de dados e estar disponível para a organização e titulares dos dados, além de todos os conhecimentos específicos exigidos como requisitos pelo controlador ou organização contratante.
- O Encarregado deverá manter independência em suas funções, evitando e corrigindo conflitos de interesses. Caso o controlador não o informe sobre possíveis conflitos de interesse, este poderá sofrer sanções.
- É obrigação do Encarregado atuar de forma ética e transparente, buscando garantir que as boas práticas são seguidas pela organização, mas isso não o faz responsável pelo tratamento de dados, o que continua como responsabilidade do Controlador conforme a LGPD.
- Não é obrigatório retirar qualquer certificação para atuar como Encarregado, embora a organização possa exigir conhecimentos específicos à seu exclusivo critério e necessidade.
- As empresas legalmente isentas da exigência de nomear um Encarregado (Pequenas empresas) permanecerão assim, porém são obrigadas a disponibilizar um canal exclusivo para contato com o responsável pela proteção dos dados em seu site ou, caso não possua, no meio em que comumente se comunica com os titulares.
Em resumo, o regulamento estabelece diretrizes claras para o papel do Encarregado de Dados Pessoais a fim de promover a conformidade com a LGPD e fortalecer a confiança das pessoas na gestão de suas informações pessoais pelas organizações.
Para mais detalhes veja a norma na íntegra:
https://www.in.gov.br/en/web/dou/-/resolucao-cd/anpd-n-18-de-16-de-julho-de-2024-572632074
