No dia 17 de julho de 2024, a Autoridade Nacional de Proteção de Dados (ANPD) publicou no Diário Oficial a Resolução que aprova o Regulamento sobre a atuação do Encarregado pelo tratamento de dados pessoais, também conhecido como DPO (Data Protection Officer).

Alguns pontos foram esclarecidos pela ANPD, sendo os principais deles:

  • O Encarregado deve ser nomeado por ato formal (em documento escrito e assinado);
  • Deve haver a nomeação formal de um Encarregado substituto, que atuará na ausência do Encarregado principal;
  • A indicação de Encarregado por Operadores é facultativa, mas considerada uma boa prática;
  • Deverá haver a publicação da identidade do Encarregado, com indicação do nome completo (não bastando a indicação de um e-mail para comunicação).

     

Destaca-se que o Regulamento confirma que o Encarregado pode ser pessoa jurídica, pode ser nomeado como Encarregado por mais de uma instituição e não precisa de certificação ou formação específica, apesar de precisar ter conhecimentos para garantir o exercício de suas atividades.

Essas atividades incluem comunicação com os titulares de dados pessoais, comunicação com a ANPD e fornecer orientações a respeito de:

(i) registro e comunicação de incidentes de segurança;
(ii) registro das operações de tratamento de dados pessoais;
(iii) elaboração de relatório de impacto à proteção de dados pessoais;
(iv) implementação e avaliação de medidas de segurança técnica e administrativas; entre outras atividades relacionadas à conformidade da instituição/organização.

Apesar do Encarregado poder acumular funções – dentro da empresa ou prestando serviços a mais de uma empresa – deverá ser garantida a inexistência de conflito de interesses que possa comprometer o desempenho técnico de suas funções. Alguns desses pontos foram (e ainda são) objeto de críticas, por inovarem em obrigações não previstas na LGPD (o Regulamento não poderia criar uma obrigação não prevista na lei – como a indicação do Encarregado substituto) ou por manterem algumas questões sem esclarecimento (como na hipótese do Encarregado contar com um intérprete para se comunicar em português com os titulares, nos casos de empresas submetidas à LGPD mas não estabelecidas no Brasil).

De todo modo, o Regulamento apresenta alguns caminhos já esperados e preenche algumas lacunas existentes na Lei Geral de Proteção de Dados. Agora, os agentes de tratamento (empresas, instituições etc.) deverão conferir se estão atendendo às diretrizes e obrigações do Regulamento, promovendo as adequações necessárias.

A Alves Oliveira atua como Encarregada externa em algumas empresas e fica à disposição para esclarecer eventuais dúvidas que ainda possam surgir. Fique à vontade para entrar em contato conosco!

Leia também sobre+ Tendências Globais e Desafios Regulatórios da Inteligência Artifical

ㅤㅤSócio Gestor

E-mail: g.belmudes@alvesoliveira.adv.br