Aberta consulta pública para definição de regulamento sobre Encarregado de Dados Pessoais

A Autoridade Nacional de Proteção de Dados (ANPD) iniciou no dia 7 de novembro consulta pública para definição final do Regulamento sobre Encarregado pelo tratamento de dados pessoais (DPO). As contribuição serão utilizadas para elaboração das normas que evolvem o papel do encarregado. A consulta está disponível na plataforma Participa Mais Brasil e o s interessados têm até o dia 07 de dezembro para enviar suas sugestões. Além da consulta, está prevista uma audiência pública com a mesma finalidade, ainda a ser divulgada pela ANPD.

A função do Encarregado pelo tratamento de dados pessoais está prevista no artigo 41 da Lei Geral de Proteção de Dados Pessoais. Ele é o responsável por mediar o diálogo entre a organização, os titulares dos dados pessoais e a Autoridade Nacional. Suas atividades incluem a recepção de reclamações dos titulares e de comunicações da ANPD, bem como o fomento a boas práticas de proteção de dados pessoais dentro das organizações.

O regulamento proposto inicialmente traz as seguintes previsões:

• Indicação formal: o encarregado deverá ser indicado formalmente por meio de portaria, políticas previamente estabelecidas, entre outros, pelos controladores de dados pessoais;
• Publicidade da nomeação: o nome completo ou nome empresarial do encarregado e as suas informações de contato devem ser disponibilizadas no site da organização, ou por meio de qualquer meio de comunicação disponível;
• Características da atuação: o encarregado poderá ser um integrante do quadro funcional da organização ou indivíduo externo (prestador de serviços), além de ser dotado de autonomia técnica e acesso facilitado à alta administração;
• Encarregado substituto: a organização deverá indicar formalmente o substituto do encarregado, o qual atuará nas ausências, impedimentos e vacâncias do titular;
• Língua portuguesa: o encarregado deverá se comunicar com os titulares de dados pessoais de forma clara, precisa e em língua portuguesa;
• Acúmulo de funções e conflito de interesses: o encarregado poderá acumular funções e exercer as suas atividades para mais de um agente de tratamento, desde que possível o pleno atendimento de suas atribuições e não exista conflito de interesses. Presume-se conflito de interesses como o acúmulo da função de encarregado com aquela em que haja competência para decisões referentes ao tratamento de dados pessoais, em nome do agente de tratamento;
• Responsabilidade pela conformidade: a ANPD indica expressamente que a responsabilidade pela conformidade é do agente de tratamento e não do encarregado;
• Atribuições complementares: além das previstas na LGPD ou definidas pelo controlador, compete ao encarregado orientar o controlador nas seguintes atividades:
  • Elaboração do comunicado de incidente de segurança da informação;
  • Elaboração do Relatório de Impacto a Proteção de Dados Pessoais (RIPD);
  • Identificação e análise de riscos relativos ao tratamento de dados pessoais;
  • Definição de medidas de segurança, técnicas e administrativas (Saiba mais sobre o tema);
  • Implementação da LGPD, regulamentos da ANPD e adoção de melhores práticas (Saiba quais são os documentos essenciais para a conformidade);
  • Análise de cláusulas contratuais com terceiros que versem sobre proteção de dados pessoais;
  • Transferências internacionais de dados (Saiba mais sobre o tema);
  • Formulação e implementação de regras de boas práticas e de governança e de programa de governança em privacidade.

Embora as disposições previstas no regulamento não sejam definitivas, elas devem ser avaliadas com cautela pois representam tendências no entendimento estabelecido pela ANPD sobre o papel dos encarregados pelo tratamento de dados pessoais.

Além disso, é recomendável que as cooperativas avaliem os impactos que o regulamento representa em seus respectivos programas de conformidade com a LGPD, especialmente no que respeito aos seguintes pontos:

• Nomeação formal do titular e substituto;
• Divulgação das informações dos nomeados no meio de comunicação cabível (ex.: site);
• Identificação de eventual conflito de interesse do profissional nomeado, a partir das definições apresentadas pela ANPD na minuta do Regulamento.

Gostou do tema? Nos acompanhe e fique por dentro dos avanços regulatórios envolvendo este importante personagem para o desenvolvimento da cultura de proteção de dados pessoais nas organizações.