O “Encarregado de Proteção de Dados", também conhecido como “DPO” (Data Protection Officer), é uma figura presente na Lei Geral de Proteção de Dados (LGPD) que vem ganhando cada vez mais destaque. Seu papel se tornou ainda mais importante, muito também em decorrência da Resolução n.º 18, de 16 de julho de 2024, da ANPD, que aprovou o Regulamento sobre a atuação do Encarregado pelo Tratamento de Dados Pessoais.
Diante a isso, neste artigo exploramos as novas regras da ANPD, suas implicações para o papel do Encarregado e como as empresas devem se adaptar a essa nova realidade regulatória.
1. O Papel do Encarregado segundo a LGPD
A Lei Geral de Proteção de Dados, em seu artigo 41, fala que as empresas precisam nomear um “Encarregado de Dados”, figura esta que será responsável por atuar como um “elo” entre as empresas, os titulares de dados e a Autoridade Nacional de Proteção de Dados.
Dentre as suas atribuições, conforme a própria lei, estão as seguintes:
I - aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
II - receber comunicações da autoridade nacional e adotar providências;
III - orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
IV - executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
Essas atribuições mostram que este profissional é essencial para garantir que as operações dentro da empresa estejam adequadas e em conformidade com as normas vigentes, promovendo transparência e confiança entre empresas e consumidores, bem como demonstra a preocupação do negócio com a proteção de dados pessoais.
2. Resolução n.º 18 da ANPD
Com o intuito de complementar o disposto na legislação, a ANPD editou um Regulamento sobre o assunto, o qual consta na Resolução n.º 18, trazendo alguns complementos para entendermos melhor sobre as atribuições e responsabilidades deste profissional. Entre as novas regras, destacam-se:
Complemento de atribuições: Estão dispostas novas atribuições na resolução com o intuito de complementar as atividades do encarregado, trazendo providências que devem ser tomadas caso sejam recebidas comunicações da ANPD, como: I - encaminhar internamente a demanda para as unidades competentes; II - fornecer a orientação e a assistência necessárias ao agente de tratamento; e III - indicar expressamente o representante do agente de tratamento perante a ANPD para fins de atuação em processos administrativos, quando esta função não for exercida pelo próprio encarregado.
Qualificação e Capacitação: A ANPD fala que o Encarregado precisa ser alguém que tenha conhecimento na área de proteção de dados e nas práticas regulatórias aplicáveis à LGPD, bem como precisa ser capaz de se comunicar com os titulares e com a própria Autoridade, de forma clara e precisa e em língua portuguesa. Além disso, consta que o exercício da atividade do Encarregado não pressupõe inscrição em qualquer entidade, nem qualquer certificação ou formação profissional específica, podendo, ainda, ser tanto um agente interno ou ser alguém contratado, ou seja, um agente externo.
Funções: A ANPD traz que o encarregado poderá acumular funções e, até mesmo, exercer atividades para mais de um agente de tratamento, contudo, deve observar sempre a possibilidade de atendimento das atribuições relacionadas a cada um e desde que não exista conflito de interesse. Quanto a este ponto do conflito de interesse, a resolução traz expressamente que pode ser configurado nas seguintes situações: I - entre as atribuições exercidas internamente em um agente de tratamento ou no exercício da atividade de encarregado em agentes de tratamento distintos; ou II - com o acúmulo das atividades de encarregado com outras que envolvam a tomada de decisões estratégicas sobre o tratamento de dados pessoais pelo controlador, ressalvadas as operações com dados pessoais inerentes às atribuições do encarregado.
Formalização da Nomeação: As novas regras determinam que a nomeação do Encarregado seja formalizada e comunicada publicamente, garantindo que os titulares de dados e a ANPD saibam quem é o responsável pela gestão de dados dentro da organização. Além disso, é necessário que haja um canal de comunicação eficiente para que o público possa contatar o Encarregado.
Substituto: Por fim, outro ponto importante na Resolução é a necessidade de nomeação de um Encarregado substituto para o caso do Encarregado “oficial” não estar disponível, sendo que tal nomeação também deve ser formalizada.
3. Desafios e Oportunidades Para Empresas e Encarregados
As novas disposições sobre o tema que envolve o Encarregado de Dados Pessoais trazem alguns desafios, principalmente quando falamos de empresas menores ou aquelas que ainda não possuem uma estrutura adequada à privacidade e proteção de dados, ou ainda, que não tenham uma cultura acerca do tema implementada.
Entre os principais desafios estão:
Adequação rápida: Empresas que ainda não nomearam um Encarregado qualificado e que não estejam dispensadas, precisarão se adaptar rapidamente às exigências da ANPD para evitar penalidades.
Capacitação contínua: O Encarregado terá que se manter atualizado não apenas em relação à LGPD, mas também em relação a novas tecnologias de proteção de dados, exigindo treinamentos regulares e desenvolvimento constante.
Procedimentos internos: Além disso, é importante que as empresas estruturem procedimentos internos não apenas de nomeação e recebimento de solicitações e requisições, mas também para que o Encarregado possa atuar, com autonomia técnica necessária para cumprir suas atividades.
Estes desafios provocam mudanças que buscam, não só adequar o negócio à legislação vigente, mas também criar oportunidade de estruturar o fortalecimento da imagem da empresa, gerando uma cultura de privacidade e confiança, que em muitos dos casos se traduz em um aumento de lealdade por parte dos clientes e parceiros.
4. A Responsabilidade do Encarregado frente às penalidades
A primeira penalidade aplicada pela ANPD ocorreu em 2023 e envolveu o uso indevido de dados para campanhas eleitorais e a falta de nomeação de um Encarregado.
De lá para cá, foram abertos procedimentos de investigação por parte dela, bem como outros órgãos estão notificando empresas e, ainda, já há um vasto número de processos judiciais tramitando nos tribunais requerendo a aplicação da LGPD e/ou utilizando-a como base para fundamentar decisões.
O Encarregado precisa garantir, dentre outras situações, que a empresa:
Responda prontamente a casos de incidentes de segurança, notificando a ANPD e os titulares dentro dos prazos estabelecidos, quando aplicável ou tome outras medidas necessárias;
Implemente controles efetivos para evitar o uso indevido ou compartilhamento inadequado de dados pessoais;
Revise regularmente contratos e cláusulas envolvendo terceiros, especialmente aqueles que tratam dados em nome da empresa, para assegurar que os requisitos da LGPD estão sendo cumpridos.
Com cada vez mais penalizações e fiscalizações, o Encarregado é uma importante ferramenta na linha de defesa da empresa na proteção contra sanções.
CONCLUSÃO
O Encarregado de Dados, comumente chamado de “DPO”, teve o fortalecimento das suas funções com as novas regras da ANPD, sendo um componente estratégico para a conformidade da empresa, não apenas para evitar sanções, mas também para promover a cultura de proteção de dados e agregar confiança nas operações desempenhadas pelo negócio e dentro dele.
Logo, é perceptível que, ainda que haja a Resolução CD/ANPD n.º 02, de 27 de janeiro de 22, que aprova o regulamento para agentes de tratamento de pequeno porte, a nomeação deste profissional é uma boa prática a ser adotada. Desta forma, o suporte de uma consultoria especializada no assunto é imprescindível.
Por Bárbara Mattes, advogada da NDM especialista em Proteção de Dados.
