Logo upLexis
search
BlogGeral

DPO: conheça as novas regras publicadas pela Au...

DPO: conheça as novas regras publicadas pela Autoridade Nacional de Proteção de Dados

Atualizado em 22 de agosto de 24 | Geral  por

Bárbara Guido.
Bárbara Guido

No dia 14 de agosto de 2024, a Lei Geral de Proteção de Dados (LGPD) completou 6 anos. A cada ano, a lei ganha mais relevância e importância na proteção dos direitos fundamentais dos cidadãos, principalmente com o avanço da digitalização e da informatização.

Após a sua promulgação, a LGPD passou por algumas mudanças e atualizações, a fim de se adequar às necessidades dos cidadãos e das empresas. A mais recente veio com a Resolução n.º 18, de 16 de julho de 2024, sobre a atuação do encarregado pelo tratamento de dados pessoais, editada e aprovada pela Autoridade Nacional de Proteção de Dados (ANPD).

Neste conteúdo, você entenderá melhor as novas regras estabelecidas por essa Resolução e o impacto delas no dia a dia. Continue a leitura a seguir!

Conhecendo a LGPD

A Lei Geral de Proteção de Dados, mais conhecida como LGPD, foi promulgada em 14 de agosto de 2018, visando ser um instrumento apto a proteger as informações pessoais de todos os brasileiros e brasileiras.

O foco da lei é proteger os cidadãos. Para isso, os artigos 17 e 18 estabelecem alguns direitos dos titulares de dados, tais como:

  • Confirmação da existência de tratamento de dados pessoais;
  • Acesso aos dados;
  • Correção de dados incompletos, inexatos ou desatualizados;
  • Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto na lei;
  • Revogação do consentimento para utilização de dados pessoais.

Além disso, a LGPD estabelece regras para o tratamento de dados pessoais por órgãos públicos, boas práticas de segurança e sanções administrativas em casos de infração à lei.

Acesse também o nosso artigo: LGPD: tudo que você precisa saber sobre o tema

Quem é o DPO ou Encarregado de Dados Pessoais?

Segundo o artigo 5º, inciso VIII da LGPD, o Encarregado de Dados Pessoais, também chamado de DPO (Data Protection Officer), é a “pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).”

Chamados de agentes de tratamento, o operador é a “pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador”. Já o Controlador é a “pessoa natural ou jurídica, de direito público ou privado, a quem compete as decisões referentes ao tratamento de dados pessoais”.

Vamos ao seguinte exemplo: a empresa XPTO contrata os serviços da empresa ABCD, atuante no segmento de desenvolvimento de software, para o desenvolvimento de um aplicativo de controle de ponto dos funcionários. Neste caso, a XPTO é a controladora. Já a ABCD é a operadora, pois terá acesso aos dados dos funcionários da XPTO, como nome completo, CPF, cargo, reconhecimento facial ou biometria, entre outros.

Assim, a XPTO deve ter uma pessoa responsável pela adequação à LGPD e pelo controle da privacidade de dados na empresa. Essa pessoa será o encarregado de dados ou DPO.

Caso haja algum incidente, como vazamento de dados pessoais, o encarregado será responsável por fazer a comunicação aos titulares afetados e à ANPD. Além disso, a empresa XPTO também atua como operadora, já que é responsável internamente pelos dados de seus funcionários e clientes. 

O que diz a Resolução n.º 18, de 16 de julho de 2024?

Com 21 artigos, a Resolução n.º 18 traz normas complementares à LGPD sobre a indicação, a definição, as atribuições e a atuação do Encarregado de Dados Pessoais (DPO), afetando também os demais agentes de tratamento. 

A resolução é um avanço na proteção de dados pessoais, pois preenche algumas lacunas deixadas pela LGPD e reforça a importância da atuação do Encarregado. 

Confira os principais pontos da resolução:

Indicação do Encarregado de Dados Pessoais (DPO) - artigo 3º ao 7º

O encarregado deverá ser indicado por meio de um ato formal do agente de tratamento, como um Termo de Nomeação. Neste documento deverão constar as formas de atuação e as atividades a serem desempenhadas pelo profissional. Quando solicitado, o documento de indicação deverá ser apresentado à ANPD.

Nas ausências, impedimentos e vacâncias do encarregado, a função será exercida por um substituto formalmente designado. As qualificações profissionais necessárias para o desempenho das atribuições do encarregado poderão ser estabelecidas pelos agentes de tratamento.

Identidade e informações de contato do Encarregado - artigos 8 e 9

No site do agente de tratamento, deverá constar as informações de contato do encarregado, de forma clara e objetiva, em local de destaque e de fácil acesso. 

Deveres dos agentes de tratamento - artigos 10 e 11

O Controlador e o Operador deverão prover os meios necessários para o desempenho das funções do encarregado, além de um canal de comunicação eficaz para o exercício dos direitos dos titulares.

Devem, também, garantir autonomia técnica ao encarregado, bem como acesso direto às decisões estratégicas e às pessoas de nível hierárquico elevado dentro da organização.

Características do Encarregado de Dados Pessoais (DPO) - artigos 12 a 14

O encarregado poderá ser pessoa física, integrante do quadro organizacional do agente de tratamento ou externo a esse; ou uma pessoa jurídica. Não há a obrigatoriedade de inscrição em qualquer entidade nem de qualquer certificação ou formação profissional específica.

O encarregado deverá ser capaz de comunicar-se com os titulares e com a ANPD, de forma clara e precisa e em língua portuguesa.

Atividades e das atribuições - artigos 15 a 17

O encarregado de dados pessoais possui diversas funções, tais como:

  • Receber reclamações dos titulares de dados, prestar esclarecimentos e adotar providências cabíveis;
  • Gerir o processo de comunicação e o relacionamento com a ANPD, adotando medidas necessárias para o atendimento de solicitações e para o fornecimento de informações pertinentes;
  • Orientar os funcionários e os contratados do agente de tratamento a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;
  • Monitorar o cumprimento da LGPD e de outras disposições associadas de proteção de dados.

É importante ressaltar que o encarregado não tem a responsabilidade, perante a ANPD, pela conformidade do tratamento dos dados pessoais realizado pelo controlador.

Conflito de interesse - artigos 18 a 21

O encarregado deve atuar com ética, integridade e autonomia técnica, evitando situações de conflito de interesse. O profissional poderá acumular funções desde que não haja conflito de interesse, o que será verificado caso a caso.

Constatada a possibilidade de conflito de interesse, o agente de tratamento poderá adotar uma das seguintes medidas: não indicar a pessoa para exercer a função, implementar medidas para afastar o risco de conflito de interesse ou substituir a pessoa designada. 

Assine nossa news!

Gostou do conteúdo? Então preencha o formulário abaixo e receba quinzenalmente em seu e-mail conteúdos sobre compliance, ESG, tecnologia, governança e muito mais!


Bárbara Guido é mineira, advogada pela UFJF e estudante de Jornalismo na UFOP. Apaixonada por comunicação, atua como analista de governança corporativa e redatora de conteúdo jurídico e técnico para sites e blogs.

LGPD

Matérias relacionadas

Ilustração de um corretor apresentando um imóvel.

Due diligence imobiliária: o que é e como realizá-la?

|

Geral

Imagem de um homem discursando em um púlpito.

O que é uma Pessoa Politicamente Exposta?

|

Geral

Imagem de duas pessoas conversando.

O que é homologação de fornecedores?

|

Geral