A figura do ‘Encarregado pelo Tratamento de Dados Pessoais’ (também conhecido como DPO – Data Protection Officer) costuma despertar certo estranhamento num primeiro contato com as normas de proteção de dados. É que, diferentemente do ‘Controlador’ e do ‘Titular’ – que mantém certa equivalência com o ‘Fornecedor’ e o ‘Consumidor’ nas relações de consumo – o DPO não possui um correspondente tão reconhecido pelo público. 

Introduzido pela Lei Geral de Proteção de Dados (LGPD), especialmente em seu artigo 41, o Encarregado carecia de regulamentação específica que conferisse maior segurança aos modelos já adotados pelo mercado, nesses seis anos de publicação da lei.  

Com a publicação da Resolução nº 18, de 16 de julho de 2024, pela Autoridade Nacional de Proteção de Dados (ANPD), e a consequente regulamentação da atuação do DPO no Brasil, os Agentes de Tratamento (empresas, por exemplo) ficam mais expostos à fiscalização e precisam estar atentos aos detalhes trazidos pelas novas regras.  

Principais Pontos da Resolução 

1. Indicação do Encarregado

O Controlador deve formalizar a indicação do DPO, que pode ser uma pessoa natural ou jurídica, por meio de documento escrito, datado e assinado. 

2. Publicidade

As informações de contato do Encarregado deverão ser divulgadas publicamente, em local de destaque e fácil acesso, no site do Agente de Tratamento. A identidade do DPO abrangerá, no mínimo: nome completo (se for pessoa natural), ou nome empresarial / título do estabelecimento, se pessoa jurídica (bem como o nome completo da pessoa física responsável). 

3. Atribuições

O Encarregado tem várias responsabilidades, incluindo: 

• Receber as comunicações dos Titulares, prestando esclarecimentos e adotando as providências cabíveis; 
  
• Receber comunicações da ANPD e adotar providências; 
  
• Orientar os funcionários e os contratados sobre boas práticas de proteção de dados; 
  
• Prestar assistência e orientação sobre: registro e comunicação de incidente de segurança, registro das operações de tratamento de dados pessoais, processos e políticas internas, instrumentos contratuais etc., bem como atividades referentes ao tratamento de dados pessoais, inclusive no design de produtos e serviços compatíveis com os princípios previstos na LGPD (veja também o artigo 16 da Resolução); 
  
• Executar outras atribuições determinadas pelo Controlador ou estabelecidas em normas complementares. 

Conflito de Interesse

O Encarregado deve declarar ao Agente de Tratamento qualquer situação que possa configurar conflito de interesse, como em situações de acúmulo das atividades internas de DPO com outras no âmbito da empresa, ou entre exercício da atividade externa de Encarregado em Agentes de Tratamento distintos. 

Qualidades e Competências do Encarregado 

A resolução destaca que o exercício da atividade de DPO não pressupõe a inscrição em qualquer entidade profissional nem certificação ou formação profissional específica, como ser da área de Tecnologia da Informação ou de Direito. 

No entanto, um bom Encarregado deve possuir uma combinação de habilidades técnicas e interpessoais. As principais qualidades incluem: 

• Conhecimento da Legislação: Entendimento da LGPD e normas complementares. É recomendável, ainda, estar a par das boas práticas internacionais e jurisprudências recentes. 

• Capacidade de Comunicação: Habilidade para explicar questões complexas de proteção de dados de forma clara e acessível. 

• Gestão de Projetos: Competência para implementar e monitorar programas de conformidade. 

• Ética e Integridade: Compromisso com a proteção de dados e a privacidade dos Titulares. 

• Autonomia: Capacidade de atuar com independência, sendo transparente em eventuais casos de conflito de interesse. 

Benefícios para as Empresas 

1. Conformidade Legal: A nomeação de um DPO auxilia na conformidade com a LGPD, reduzindo o risco de multas, sanções e indenizações. 

2. Transparência e Confiança: A presença de um Encarregado melhora a transparência da empresa em relação aos dados pessoais, aumentando a confiança de clientes e parceiros. 

3. Gestão de Riscos: Ajuda a identificar e mitigar riscos relacionados ao tratamento de dados, protegendo contra violações de dados e suas consequências.

Conclusão 

A nova regulamentação sobre o Encarregado representa um avanço na governança de dados pessoais no Brasil. Para as empresas, a nomeação de um DPO não é apenas uma obrigação legal, mas uma oportunidade para fortalecer a confiança dos clientes e colaboradores, prevenir riscos de segurança e a modernização da gestão, tanto do ponto de vista operacional como estratégico. 

Ao observar as normas e boas práticas de conformidade, as empresas podem criar um ambiente mais seguro e transparente para o tratamento de dados pessoais, beneficiando tanto os negócios quanto os Titulares de dados.