Foi publicada no Diário Oficial da União, hoje, 17 de julho, a Resolução que regulamenta as atividades do encarregado de dados (DPO).
Trata-se de uma orientação que era muito aguardada pelas empresas e pelos profissionais de proteção de dados.
Segue abaixo a legislação esquematizada e explicada:
REGULAMENTO DO ENCARREGADO DE DADOS:
Encarregado de dados:
Pessoa física ou jurídica;
capacidade de comunicação de forma clara, com os titulares;
não pressupõe a inscrição em qualquer entidade nem qualquer certificação ou formação profissional específica;
Deverá atuar com ética, integridade e autonomia técnica, evitando situações que possam configurar conflito de interesse;
poderá acumular funções e exercer as suas atividades para mais de um agente de tratamento;
Art. 19. O encarregado poderá acumular funções e exercer as suas atividades para mais de um agente de tratamento, desde que seja possível o pleno atendimento de suas atribuições relacionadas a cada agente de tratamento e inexista conflito de interesse.
Qualificações profissionais para ser encarregado de dados:
o agente de tratamento que irá definir essas qualificações.
Art. 7º Cabe ao agente de tratamento estabelecer as qualificações profissionais necessárias para o desempenho das atribuições do encarregado, considerando seus conhecimentos sobre a legislação de proteção de dados pessoais, bem como o contexto, o volume e o risco das operações de tratamento realizadas.
Das atribuições legais do Encarregado de Dados:
aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências cabíveis;
receber comunicações da ANPD e adotar providências;
adotar as medidas necessárias para o atendimento da solicitação e para o fornecimento das informações pertinentes, adotando, entre outras, as seguintes providências:
encaminhar internamente a demanda para as unidades competentes;
fornecer a orientação e a assistência necessárias ao agente de tratamento; e
indicar expressamente o representante do agente de tratamento perante a ANPD para fins de atuação em processos administrativos, quando esta função não for exercida pelo próprio encarregado.
orientar os funcionários e os contratados do agente de tratamento a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
executar as demais atribuições determinadas pelo agente de tratamento (definidas no ato forma que o indicou) ou estabelecidas em normas complementares.
prestar assistência e orientação ao agente de tratamento na elaboração, definição e implementação, conforme o caso, de:
registro e comunicação de incidente de segurança;
registro das operações de tratamento de dados pessoais;
relatório de impacto à proteção de dados pessoais;
mecanismos internos de supervisão e de mitigação de riscos relativos ao tratamento de dados pessoais;
medidas de segurança, técnicas e administrativas, aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito;
processos e políticas internas que assegurem o cumprimento da Lei nº 13.709, de 14 de agosto de 2018, e dos regulamentos e orientações da ANPD;
instrumentos contratuais que disciplinem questões relacionadas ao tratamento de dados pessoais;
transferências internacionais de dados;
regras de boas práticas e de governança e de programa de governança em privacidade, nos termos do art. 50 da Lei nº 13.709, de 14 de agosto de 2018;
produtos e serviços que adotem padrões de design compatíveis com os princípios previstos na LGPD, incluindo a privacidade por padrão e a limitação da coleta de dados pessoais ao mínimo necessário para a realização de suas finalidades; e
outras atividades e tomada de decisões estratégicas referentes ao tratamento de dados pessoais.
Indicação de DPO pelo Operador:
Facultativa;
Considerado ato de boas práticas;
Se indicado, tem que seguir as regras do regulamento;
Art. 6º A indicação de encarregado por operadores é facultativa e será considerada política de boas práticas de governança (...)
Indicação do encarregado pelos agentes de tratamento por ato formal:
ato formal: documento escrito, datado e assinado, que demonstre, claramente, a designação do encarregado (pessoa jurídica ou física)
substituto: também será designado formalmente;
Art. 3º: A indicação do encarregado deve ser realizada por ato formal do agente de tratamento, do qual constem as formas de atuação e as atividades a serem desempenhadas.
Ato formal: §1º Entende-se por ato formal o documento escrito, datado e assinado, que, de maneira clara e inequívoca, demonstre a intenção do agente de tratamento em designar como encarregado uma pessoa natural ou uma pessoa jurídica.
Agente de tratamento de pequeno porte: disponibilização do canal de comunicações
Indicação de encarregado de dados de pessoa jurídica de direito público:
preferência servidor ou empregado público.
nomeação deve sair no DO
Art. 5º As pessoas jurídicas de direito público referidas no art. 1º, parágrafo único, da Lei nº 12.527, de 18 de novembro de 2011, deverão indicar encarregado quando realizarem operações de tratamento de dados pessoais, recaindo a indicação, preferencialmente, sobre servidores ou empregados públicos detentores de reputação ilibada.
Divulgação da identidade do Agente de tratamento:
Agente de tratamento tem que divulgar e manter atualizada as informações de identidade do encarregado de dados;
As informações do encarregado devem ser divulgadas, de forma clara:
nos sites do agente de tratamento;
quando o agente não tiver site: quaisquer outros meios de comunicação disponíveis, especialmente aqueles usualmente utilizados para contato com os titulares.
Informações, mínimas, do encarregado que tem que ser divulgadas:
o nome completo, se for pessoa natural; ou
o nome empresarial ou o título do estabelecimento, bem como o nome completo da pessoa natural responsável, se pessoa jurídica.
Deveres dos agentes de tratamento perante os encarregados de dados:
prover os meios necessários para o exercício das atribuições do encarregado, neles compreendidos, entre outros, recursos humanos, técnicos e administrativos;
solicitar assistência e orientação do encarregado quando da realização de atividades e tomada de decisões estratégicas referentes ao tratamento de dados pessoais;
garantir ao encarregado a autonomia técnica necessária para cumprir suas atividades, livre de interferências indevidas, especialmente na orientação a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;
assegurar aos titulares meios céleres, eficazes e adequados para viabilizar a comunicação com o encarregado e o exercício de direitos;
garantir ao encarregado acesso direto às pessoas de maior nível hierárquico dentro da organização, aos responsáveis pela tomada de decisões estratégicas que afetem ou envolvam o tratamento de dados pessoais, bem como às demais áreas da organização.
Conflito de interesses no desempenho da atividade de encarregados:
O conflito de interesse pode se configurar:
entre as atribuições exercidas internamente em um agente de tratamento ou no exercício da atividade de encarregado em agentes de tratamento distintos; ou
com o acúmulo das atividades de encarregado com outras que envolvam a tomada de decisões estratégicas sobre o tratamento de dados pessoais pelo controlador, ressalvadas as operações com dados pessoais inerentes às atribuições do encarregado.
Deverá ser analisado no caso concreto;
O encarregado de dados deverá comunicar ao agente de tratamento qualquer situação que possa configurar conflito de interesses;
O agente de tratamento deverá cuidar para que não existam situações de conflito de interesses;
Caso seja constatado conflito de interesse o agente deve:
não indicar a pessoa para exercer a função de encarregado;
implementar medidas para afastar o risco de conflito de interesse; ou
substituir a pessoa designada para exercer a função de encarregado.
Responsabilidade pelo tratamento de dados:
não é do encarregado de dados;
é do agente de tratamento;
Art. 11. O agente de tratamento é o responsável pela conformidade do tratamento dos dados pessoais, nos termos da Lei nº 13.709, de 14 de agosto de 2018.
Art. 17. O desempenho das atividades e das atribuições dispostas nos arts. 15 e 16 não confere ao encarregado a responsabilidade, perante a ANPD, pela conformidade do tratamento dos dados pessoais realizado pelo controlador.
Resolução disponível em: https://www.in.gov.br/en/web/dou/-/resolucao-cd/anpd-n-18-de-16-de-julho-de-2024-572632074
Ficou muito bom!!