Encarregado de dados pessoais ganha regulamentação

Resolução da ANPD delimita atuação do DPO

0

Após passar por consulta pública que recebeu cerca de 1.200 contribuições, a Autoridade Nacional de Proteção de Dados (ANPD) divulgou a regulamentação da atividade do encarregado pelo tratamento de dados pessoais (data protection officer ou DPO, na sigla em inglês).

A Resolução CD/ANPD 18, publicada em 16 de julho, deu especial atenção a situações que podem configurar conflito de interesse na atuação do DPO. “A nova regulamentação introduz um conceito abrangente de conflito de interesse, estipulando que o DPO não deve ter esse tipo de conflito em sua atuação”, afirmam Gabriela Saad Krieck e Luis Fernando Prado, sócia e parceiro especialista em privacidade e proteção de dados do Carneiro de Oliveira Advogados.

Eles explicam que, embora a ausência de conflitos de interesse já fosse considerada uma boa prática, não era um requisito regulatório explícito, e alertam que, especialmente em casos de acúmulo de funções, as empresas devem avaliar se as demais atividades do DPO não estão em conflito com suas atribuições na proteção de dados.

Outro ponto importante da norma foi a determinação de que o DPO deve ter acesso direto às pessoas de maior nível hierárquico dentro da organização. A nova regulamentação também especificou que o DPO deve prestar assistência e orientação em temas como comunicação de incidentes de segurança, registro de operações de tratamento, elaboração de relatórios de impacto à proteção de dados, transferência internacional de dados e implementação de boas práticas e medidas de segurança no tratamento de dados.

Um dos pontos que geraram discussão após a apresentação da minuta da norma submetida à audiência pública foi a necessidade de os agentes de tratamento de dados (empresas ou órgãos públicos) divulgarem dados de contato do DPO em seus sites na internet – que foi mantida pela Resolução CD/ANPD 18

Na entrevista abaixo, Krieck e Prado abordam pontos da nova regulamentação da ANPD.


– Recentemente, a Agência Nacional de Proteção de Dados (ANPD) editou o regulamento aplicável à atuação do encarregado pelo tratamento de dados (DPO, na sigla em inglês). Conforme o que estabelece a Lei Geral de Proteção de Dados (LGPD), quais são as funções dessa figura?

Gabriela Saad Krieck e Luis Fernando Prado: A LGPD já atribuía diversas funções ao DPO, como aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências, receber comunicações da autoridade nacional e orientar os funcionários e contratados da entidade sobre práticas de proteção de dados pessoais. A nova regulamentação, aprovada por meio da Resolução CD/ANPD nº 18/2024, acrescenta que o DPO deve prestar assistência e orientação em temas como comunicação de incidentes de segurança, registro de operações de tratamento, elaboração de relatórios de impacto à proteção de dados, transferência internacional de dados e implementação de boas práticas e medidas de segurança no tratamento de dados.


– Quais os pontos mais relevantes desse novo regulamento da ANPD para o DPO?

Gabriela Saad Krieck e Luis Fernando Prado: A nova regulamentação introduz um conceito abrangente de conflito de interesse, estipulando que o DPO não deve ter esse tipo de conflito em sua atuação. Embora a ausência de conflitos de interesse já fosse considerada uma boa prática, não era um requisito regulatório explícito no Brasil. Portanto, especialmente em casos de acúmulo de funções, as empresas devem avaliar se as demais atividades do DPO não conflitam com suas atribuições na proteção de dados. Além disso, entre outros requisitos, a regulamentação também estabelece que o DPO deve ter acesso direto às pessoas de maior nível hierárquico dentro da organização.


– Na sua avaliação, está caminhando a um ritmo adequado a regulamentação da LGPD? Por quê?

Luis Fernando Prado: A ANPD enfrenta muitos temas complexos e possui recursos limitados, o que dificulta a celeridade de suas atividades. No entanto, 2024 tem sido marcado por uma intensificação de suas atividades, tanto em termos de regulação quanto de fiscalização.


– Como você vê a adaptação das empresas à LGPD, de maneira geral? Ela tem sido satisfatória ou ainda sofre com lacunas importantes?

Luis Fernando Prado: Nos últimos anos, as organizações têm investido significativamente em proteção de dados. É crucial entender que, em relação à proteção de dados, não existe uma linha de chegada. As organizações são dinâmicas, assim como seus processos e práticas de coleta e uso de dados. Portanto, os investimentos feitos nos últimos anos devem ser contínuos, especialmente porque a inteligência artificial exigirá ainda mais esforços das empresas em termos de ética digital, com as boas práticas de proteção de dados como ponto de partida essencial.


Leia também

Comunicação inadequada de incidente de segurança ganha advertência da ANPD

Com apenas cinco anos, LGPD já deixa saldo de avanços

Deixe uma resposta

Seu endereço de e-mail não será publicado.