ANPD regulamenta indicação do encarregado de dados: saiba o que mudou

A Autoridade Nacional de Proteção de Dados (ANPD) publicou uma nova resolução que regulamenta a obrigatoriedade da indicação do encarregado de dados (Data Protection Officer – DPO), conforme previsto no § 3º do artigo 41 da Lei Geral de Proteção de Dados (LGPD). Essa nova norma estabelece diretrizes claras para a nomeação e atuação do DPO, reforçando a importância dessa função no cumprimento das exigências da LGPD.

O Que Mudou com a nova resolução?

A nova resolução da ANPD exige que a indicação do encarregado de dados seja realizada formalmente, através de um documento escrito e inequívoco. No caso de pessoas de direito público, essa indicação deve ser publicada no Diário Oficial, garantindo a transparência e a formalização do processo.

Todas as empresas, independentemente do seu porte, estão obrigadas a nomear um encarregado de dados. A empresa (controlador) tem a responsabilidade de definir as qualificações profissionais que o DPO deve possuir, considerando:

– Conhecimento sobre a LGPD: o encarregado deve estar bem informado sobre a legislação para garantir a conformidade.

– Volume de dados tratados: o DPO deve ser capaz de gerenciar o fluxo de dados conforme o porte e as operações da empresa.

– Risco do tratamento de dados: a avaliação dos riscos associados ao tratamento de dados pessoais é crucial para o desempenho adequado do DPO.

Flexibilidade na escolha do encarregado

A nova resolução oferece flexibilidade na escolha do encarregado de dados, permitindo que essa função seja desempenhada por:

– Pessoa física: o encarregado pode ser um funcionário da própria empresa ou uma pessoa externa contratada para essa função.

– Pessoa jurídica: empresas especializadas também podem ser contratadas para exercer o papel de DPO.

Importante destacar que a função de encarregado de dados não exige inscrição em associações, conselhos profissionais, ou a obtenção de certificações ou formações específicas. No entanto, cabe à empresa estabelecer as qualificações necessárias para garantir que o DPO possa desempenhar suas funções de forma eficaz.

Transparência e acessibilidade

Além da nomeação formal, a resolução determina que as informações de contato e a identidade do encarregado de dados sejam publicadas de forma clara e acessível no site da empresa, em um local de destaque. Isso garante que os titulares de dados saibam como entrar em contato com o DPO para exercer seus direitos previstos na LGPD.

Exceções para micro e pequenas empresas

A resolução faz uma distinção importante para microempresas (ME) e empresas de pequeno porte (EPP). Para esses negócios, a nomeação de um encarregado de dados não é obrigatória. No entanto, essas empresas ainda devem oferecer um canal de comunicação eficiente entre o titular dos dados e o controlador, assegurando que os direitos dos titulares sejam respeitados.

Introdução do encarregado adjunto

A nova norma também inova ao introduzir a figura do encarregado adjunto. Esse profissional pode substituir o DPO em caso de ausência, impedimento ou vacância, desde que tenha sido formalmente designado para essa função. A presença de um encarregado adjunto garante a continuidade das atividades de proteção de dados, mesmo em situações imprevistas.

A função do operador de dados

Uma curiosidade é que a resolução não torna obrigatória a indicação de um DPO para operadores de dados, que são as entidades que processam dados pessoais em nome do controlador, como operadoras de planos de saúde. A indicação de um DPO para operadores de dados é facultativa, e caso seja realizada, será vista como uma prática de governança que pode ajudar a minimizar sanções em caso de infrações à LGPD.

Conflito de interesses e autonomia do DPO

A resolução também aborda o delicado tema do conflito de interesses, especialmente quando o DPO é um empregado do controlador. A subordinação ao empregador pode limitar a autonomia do DPO, particularmente em situações onde o interesse da empresa pode conflitar com as obrigações legais do encarregado, como a decisão de relatar um incidente de vazamento de dados à ANPD.

Para mitigar esses riscos, o DPO deve evitar acumular funções que possam comprometer sua imparcialidade. Se surgir um potencial conflito de interesses, o encarregado deve comunicar imediatamente ao controlador, que deve adotar medidas para eliminar o conflito ou, se necessário, substituir o DPO.

Considerações finais

A nova resolução da ANPD é um marco importante para a regulamentação da LGPD, oferecendo orientações claras sobre a indicação e as responsabilidades do encarregado de dados. No entanto, ainda existem pontos que merecem atenção e discussão, como a faculdade de indicação do DPO para operadores de dados e as medidas necessárias para evitar conflitos de interesses.