O que muda com a nova Resolução da ANPD sobre o Encarregado pelo Tratamento de Dados Pessoais?
A Resolução nº 18/2024 da ANPD, publicada em 17/07/24, estabelece regras complementares às já presentes na LGPD para a atuação do Encarregado pelo Tratamento de Dados, também conhecido como Data Protection Officer ou simplesmente DPO. Embora essa figura já esteja prevista na LGPD, a Resolução introduziu novidades importantes para as organizações garantirem a sua conformidade com a lei.
- Nomear o Encarregado: a indicação do DPO deve ser realizada por ato formal, com indicação da forma de atuação e atividades desempenhadas. Esse ato formal é documento escrito, datado e assinado pela organização que demonstre o interesse em designar um Encarregado, podendo ser, por exemplo, uma carta de atribuições, um contrato de prestação de serviços ou semelhante, conforme o caso. Deve haver também a formalização de um substituto para o Encarregado, para casos de conflito de interesse ou ausência do Encarregado.
- Publicizar o Encarregado: a organização deve divulgar a identidade (nome completo ou nome empresarial) e as informações de contato do Encarregado, em local de destaque e de fácil acesso no sítio eletrônico ou, caso este não exista, em outros canais de comunicação. Quando o Encarregado for uma pessoa jurídica, também é preciso indicar o nome completo da pessoa natural responsável.
- Contar com profissional qualificado: a atuação do Encarregado não pressupõe a inscrição em qualquer entidade nem qualquer formação profissional ou certificação específica. Deve, no entanto, possuir conhecimento sobre proteção de dados, além de deter conhecimento necessário para o exercício das suas funções, considerando o volume e o risco das operações de tratamento de dados. Também é preciso que seja capaz de se comunicar de forma clara e precisa e em língua portuguesa com os titulares e com a ANPD.
- Garantir a sua atuação plena: no caso de ausências, impedimentos e vacâncias do Encarregado, a organização precisa designar formalmente um substituto para exercer tal função.
- Prover os recursos necessários: a organização precisa prover os meios necessários para o exercício das funções do Encarregado, compreendendo recursos humanos, técnicos e administrativos. Além disso, é preciso garantir ao Encarregado autonomia técnica para cumprimento de suas atividades, além de acesso aos tomadores de decisões referentes ao tratamento de dados pessoais.
- Evitar conflitos de interesse: é necessário garantir que não há situações que conflitem interesses da organização com a atuação do Encarregado, como tomadas de decisão estratégica sobre o tratamento. Ainda, acúmulos de função ou atuação do Encarregado para mais de um agente de tratamento não devem interferir em suas funções. A organização deve adotar providências quando configurado o conflito de interesses, até mesmo com a substituição da pessoa designada para tal cargo.
Para além do que dispõe a LGPD, o Encarregado também prestará assistência e orientação em temas como:
- Registros de incidentes de segurança e das operações de tratamento.
- Medidas de segurança, técnicas e administrativas.
- Processos e políticas internas, mecanismos de supervisão e de mitigação de riscos, programa de governança de privacidade e documentação de evidência.
- Boas práticas e desenvolvimento de produtos e processos adequados à LGPD.
- Instrumentos contratuais e práticas de transferências internacionais de dados.
O agente de tratamento, isto é, a organização, ainda é o responsável pela conformidade do tratamento de dados pessoais perante a lei, sendo que a nomeação do Encarregado não transfere a ele tal responsabilidade.
Para ler o texto da Resolução na íntegra, clique aqui.
Para mais informações, entre em contato conosco! Teremos o maior prazer em atendê-lo(a).