A Autoridade Nacional de Proteção de Dados (ANPD) publicou recentemente a regulamentação das atividades do encarregado de dados pessoais, também conhecido como Data Protection Officer (DPO). Esta nova regulamentação representa um marco significativo na maturidade da proteção de dados pessoais no Brasil. Ela estabelece normas claras e detalhadas para a indicação e atuação do DPO, visando reforçar a transparência e a segurança no tratamento de dados pessoais. Neste artigo, exploraremos os principais aspectos desta regulamentação e seu impacto nas empresas.
A indicação do DPO deve ser realizada por meio de um ato formal, documentado, datado e assinado. Este documento deve especificar de maneira clara e inequívoca as formas de atuação e as atividades a serem desempenhadas pelo DPO. Além disso, o documento deve ser apresentado à ANPD quando solicitado, garantindo que a nomeação seja transparente e verificável. Esta formalidade é crucial para assegurar que o DPO esteja devidamente capacitado e autorizado a desempenhar suas funções.
Um aspecto importante da nova regulamentação é a exigência de designar formalmente um substituto para o DPO. Isso garante que a função de encarregado de dados nunca fique desocupada, evitando obstáculos no exercício dos direitos dos titulares de dados ou na comunicação com a ANPD. A presença de um substituto assegura a continuidade das atividades de proteção de dados, mesmo em casos de ausência ou impedimentos do DPO titular.
A responsabilidade de definir as qualificações para a função de DPO recai sobre o agente de tratamento. O indicado deve possuir conhecimento aprofundado sobre a legislação de proteção de dados, bem como entender o contexto, volume e riscos associados às operações de tratamento de dados pessoais. Esta abordagem flexível permite que cada organização selecione um DPO que esteja bem alinhado com suas necessidades específicas e peculiaridades operacionais.
A identidade e as informações de contato do DPO devem ser divulgadas publicamente de forma clara, objetiva e acessível. Se o DPO for uma pessoa física, seu nome completo deve ser divulgado. Se for uma pessoa jurídica, o nome empresarial ou título do estabelecimento, juntamente com o nome completo da pessoa natural responsável, deve ser informado. Esta transparência é essencial para que os titulares de dados saibam quem é o responsável pela proteção de seus dados pessoais e como podem entrar em contato.
Para que o DPO possa desempenhar suas funções de maneira eficaz, é necessário garantir que ele tenha acesso a recursos humanos, técnicos e administrativos adequados. Além disso, o DPO deve possuir autonomia técnica para atuar sem interferências indevidas, especialmente na orientação sobre práticas de proteção de dados pessoais. O acesso direto às pessoas de maior nível hierárquico dentro da organização é igualmente importante para garantir que o DPO possa influenciar decisões estratégicas relacionadas à proteção de dados.
A comunicação eficaz é um requisito fundamental para o DPO. Ele deve ser capaz de se comunicar de forma clara e precisa com os titulares de dados e com a ANPD, sempre em língua portuguesa. Esta habilidade de comunicação é crucial para garantir que todas as partes interessadas estejam informadas sobre as práticas de proteção de dados e possam exercer seus direitos de maneira eficaz.
A regulamentação deixa claro que o exercício da atividade de encarregado de dados não exige inscrição em qualquer entidade específica nem qualquer certificação ou formação profissional determinada. Esta abordagem inclusiva permite que uma ampla gama de profissionais possa atuar como DPO, desde que possuam o conhecimento necessário e a capacidade de cumprir suas responsabilidades.
A ética, integridade e autonomia técnica são pilares fundamentais para o DPO, que deve evitar qualquer situação de conflito de interesse. Conflitos podem ocorrer tanto internamente, nas funções diárias, quanto externamente, se o DPO atuar em mais de um agente de tratamento. O acúmulo de funções que envolvam a tomada de decisões estratégicas sobre o tratamento de dados pessoais também pode gerar conflitos. É responsabilidade do agente de tratamento monitorar e evitar tais conflitos.
Boas Práticas para conformidade do DPO:
1. Documentação Formal: Garantir que a indicação do DPO seja formalizada por meio de documento escrito, datado e assinado.
2. Designação de Substituto: Nomear formalmente um substituto para o DPO para assegurar continuidade.
3. Definição de Qualificações: Estabelecer critérios claros para a seleção do DPO, baseados no conhecimento da legislação e dos riscos associados.
4. Divulgação Transparente: Manter a identidade e as informações de contato do DPO atualizadas e acessíveis ao público.
5. Recursos Adequados: Prover os recursos necessários para que o DPO desempenhe suas funções de maneira eficaz.
6. Autonomia Técnica: Garantir que o DPO tenha autonomia para atuar sem interferências indevidas.
7. Comunicação Eficaz: Assegurar que o DPO possa se comunicar claramente com os titulares de dados e a ANPD.
João V. V. Doreto