A Autoridade Nacional de Proteção de Dados (ANPD) publicou, em 17 de julho, a Resolução CD/ANPD 18/24, que estabelece o regulamento sobre a atuação do encarregado pelo tratamento de dados pessoais – o Data Protection Officer (DPO). O texto aprovado era muito aguardado e trouxe importantes aspectos a serem considerados pelas entidades. Apresentamos, a seguir, os principais pontos.

 DPO interno ou externo

A resolução confirma a prática consolidada no mercado sobre a existência de DPO externo, ao prever que o encarregado poderá ser uma pessoa física – integrante do quadro organizacional do agente de tratamento ou externo – ou uma pessoa jurídica. Trata-se do modelo chamado “DPO as a Service”, ou seja, em vez de nomear um colaborador interno, a empresa opta por contratar um terceiro (pessoa física ou jurídica).

Há vários profissionais, consultorias e escritórios de advocacia que oferecem, atualmente, esse tipo de serviço. Apesar disso, entendemos que o ideal é, sempre que possível, o encarregado viver o dia a dia da empresa, interagindo com as áreas e pessoas, para entender melhor os processos e produtos da organização.

Divulgação da identificação do encarregado

A resolução determina, expressamente, que os dados de identificação do encarregado estejam disponíveis no site da empresa. Não basta apenas ter o canal de atendimento, é preciso identificar o encarregado com nome completo, no caso de pessoas físicas. No caso de pessoas jurídicas que atuem no formato “DPO as a Service”, deve ser apresentado o nome empresarial ou o título do estabelecimento, bem como o nome completo da pessoa física responsável.

Esse ponto pode virar alvo de discussões, pois é compreensível que os profissionais e empresas não se sintam confortáveis em divulgar esses detalhes, inclusive por expor a pessoa.

Conflitos de interesse

Qualquer situação que possa comprometer, influenciar ou afetar de forma imprópria o julgamento objetivo do encarregado no desempenho de sua função caracterizará o conflito – situação passível de sanção específica pela ANPD. O que era no máximo uma boa prática, portanto, passa a ser um ponto de extrema atenção para a governança.

As empresas deverão fazer uma avaliação cuidadosa dos indicados, para detectar a existência ou não de conflitos de interesse no desempenho da função.

Uma das melhores formas de realizar isso é conduzir a análise como um estudo de caso. Deve-se considerar a posição do colaborador, suas atribuições internas, autonomia técnica, acúmulo de atividades, vinculação orçamentária, perfil de remuneração, tomadas de decisões, entre outros aspectos.

É recomendável que o agente de tratamento estude e documente sua avaliação e decisão. Ele deve estar pronto para prestar contas de suas atividades.

Nomeação do encarregado e do seu substituto por ato formal

A resolução reafirma a obrigatoriedade e importância de empresas que usam (tratam) dados pessoais em suas atividades como controladoras (isto é, tomam decisões sobre esses dados) nomearem encarregados. A obrigação já é prevista expressamente no artigo 41 da Lei Geral de Proteção de Dados Pessoais (LGPD).

A nova norma determina também a nomeação de um substituto, que cumprirá as funções no caso da ausência do encarregado. As empresas precisam registrar a nomeação de ambos em ato formal, ou seja, em um documento escrito, datado e assinado, que, de maneira clara e inequívoca, demonstre a intenção do agente de tratamento em designar o encarregado.

Esse documento pode ser requisitado sempre que a ANPD julgar necessário – como nos casos de comunicação de incidentes de segurança (de acordo com a Resolução CD/ANPD 15/24).

É muito importante prestar atenção à parte final do artigo que trata da indicação por ato formal do encarregado (art. 3º): “constem as formas de atuação e as atividades a serem desempenhadas”.

Como determinado, portanto, essas informações devem ser discriminadas no ato, de forma personalizada para cada organização. Em outras palavras, não basta copiar e colar o texto dos artigos 15 e 16 da Resolução CD/ANPD 18/24, que tratam das atividades e atribuições do DPO. É preciso formular e escrever quais são as funções específicas do encarregado dentro de determinada governança corporativa.

Com isso, a ANPD quer evitar nomeações meramente formais ou que ocorram em situações pontuais (por exemplo, às pressas, após incidentes). Esses tipos de postura evidenciam a ausência de comprometimento contínuo do agente com uma cultura de privacidade.

Ressaltamos que o ato de nomeação não deve ser publicado, mas sim registrado e arquivado na empresa. A divulgação se refere apenas à identificação do encarregado, tanto titular como o seu substituto. Aconselha-se que, para se chegar à informação sobre o encarregado, não sejam necessários mais do que três cliques no site da empresa.

Maior detalhamento das atividades e atribuições da função

A resolução detalha quais as atividades e atribuições devem ser desempenhadas pelo encarregado. Destaca-se, por exemplo, seu papel fundamental no registro e comunicação de incidentes, na condução de avaliações de riscos e na orientação sobre proteção de dados nos contratos comerciais firmados pela empresa.

A lista é extensa e há expectativa dos reguladores que as empresas estejam preparadas para atendê-la em seus planejamentos e protocolos. Documentos e evidências que detalhem e respaldem o bom desempenho do encarregado são um ótimo caminho para que a empresa comprove seu compromisso.

As competências do encarregado incluem:

  • aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências cabíveis;
  • receber comunicações da ANPD e adotar providências;
  • orientar os funcionários e os contratados do agente de tratamento sobre as práticas a serem tomadas em relação à proteção de dados pessoais;
  • executar as demais atribuições determinadas pelo agente de tratamento ou estabelecidas em normas complementares; e
  • prestar assistência e orientação sobre temas relacionados à proteção de dados pessoais, o que inclui o registro e comunicação de incidentes de segurança, avaliações de riscos, processos e políticas internas, contratos comerciais, transferência internacional de dados e boas práticas de governança.

Como já dito, é importante que essas atividades estejam de acordo com a realidade específica da prática e governança da corporação.

Dispensa do encarregado

Ficam dispensados da obrigação de nomear o encarregado de dados os chamados agentes de pequeno porte – como microempresas, empresas de pequeno porte, startups e entes despersonalizados. Esses agentes, porém, precisam contar com um canal eficiente para atender os titulares dos dados e a ANPD.

Vale lembrar que nem todo agente de pequeno porte estará dispensado da nomeação. Situações específicas da Resolução CD/ANPD 2/22 foram mantidas. Continuam obrigadas a nomear encarregado titular e substituto as empresas – independentemente do tamanho e natureza –, que:

  • realizem tratamento de alto risco para os titulares, obtenham receita bruta superior ao limite estabelecido no art. 3º, II, da Lei Complementar 123/06 ou, no caso de startups, no art. 4º, § 1º, I, da Lei Complementar 182/21; ou
  • pertençam a grupo econômico de fato ou de direito, cuja receita global ultrapasse os limites mencionados acima.

Compromisso do controlador

O novo regulamento reforça, ainda, a expectativa de que os controladores se comprometam com o bom desempenho da função. Para isso, as empresas devem ser capazes de demonstrar que:

  • oferecem os meios necessários para o desempenho dessas atividades;
  • engajam efetivamente o encarregado nas rotinas da organização;
  • asseguram autonomia técnica aos profissionais; e
  • conferem aos profissionais acesso direto às altas lideranças.

Com o regulamento, os programas de governança em privacidade e proteção de dados ganham novos contornos. É importante que as empresas façam uma reavaliação suas estruturas, políticas e práticas para assegurar que seu programa atende às novas condições.

Nosso time de Direito Digital e Proteção de Dados está à disposição para conduzir e apoiar medidas para atender à nova regulação.