novembro 09 2023
ANPD publica Minuta de Regulamento de DPO
Authors:
A Autoridade Nacional de Proteção de Dados (ANPD) publicou uma Minuta do Regulamento sobre a Atuação do Encarregado, que está aberta para consulta pública até 7 de dezembro de 2023. A nomeação de um DPO é obrigatória para os controladores de dados de acordo com a LGPD, desde que a organização não seja considerada uma empresa de pequeno porte – consulte nosso alerta a respeito dessa categoria de agente de tratamento.
De acordo com a minuta, um DPO pode ser uma pessoa física ou jurídica e deve ser nomeado por meio de um ato formal específico (por exemplo, um contrato, uma ata de reunião de acionistas/diretoria, uma procuração etc.) – até o momento parece que a nomeação deve ser publicada. Além disso, um DPO pode ser um grupo de pessoas (por exemplo, um comitê de privacidade). Se o DPO estiver ausente por qualquer motivo, um substituto deve ser formalmente designado para desempenhar a função, para que não haja impacto no atendimento das solicitações dos titulares dos dados. Até o momento, parece que uma nomeação formal para o substituto também seria necessária.
De acordo com a Minuta de Regulamento, pessoas jurídicas ou físicas podem prestar o serviço de DPO a diferentes controladores, desde que não haja conflito de interesse entre eles.
Além disso, o nome completo do DPO e os métodos de contato com o DPO devem estar sempre disponíveis no site do controlador, de forma destacada e facilmente acessível.
Os operadores de dados também podem nomear um DPO, embora isso não seja obrigatório de acordo com a Minuta do Regulamento. No entanto, a existência de um DPO será considerada uma boa prática de governança de privacidade e será levada em conta pela ANPD ao avaliar a gravidade das violações e ao aplicar sanções.
Com relação às qualidades profissionais, de acordo com a minuta, os DPOs devem ter conhecimento sobre privacidade e proteção de dados, além de serem capazes de cumprir todas as tarefas do DPO previstas na LGPD. Além disso, o DPO deve ser capaz de se comunicar em português com os titulares dos dados e com a ANPD. Nenhum outro requisito para desempenhar o papel de DPO foi abordado na Minuta de Regulamento.
Os controladores (ou operadores, caso tenham nomeado um DPO) devem garantir autonomia técnica ao DPO e acesso à administração da organização. Além disso, os controladores devem fornecer os meios para que o DPO realize um atendimento humanizado dos titulares dos dados e da ANPD, mas ainda não está claro na minuta por que uma abordagem humanizada com a ANPD seria necessária.
Com relação às atribuições dos DPOs, a Minuta reforçou aquelas já previstas na LGPD: (i) receber e atender reclamações e solicitações dos titulares dos dados; (ii) receber e atender comunicações e ordens da ANPD; (iii) orientar os empregados e fornecedores sobre como devem tratar dados pessoais; e (iv) qualquer outra atividade estabelecida pelo controlador ou pelo operador. Mais adiante, a minuta incluiu outras nove tarefas para os DPOs: (i) elaborar notificações relacionadas a incidentes de segurança da informação; (ii) elaborar o registro das atividades de tratamento; (iii) realizar avaliações de impacto à proteção de dados; (iv) identificar e avaliar os riscos relacionados a qualquer atividade de tratamento de dados pessoais; (v) determinar os controles de segurança, tanto técnicos quanto organizacionais, a serem implementados pela organização; (vi) implementar a LGPD e os regulamentos da ANPD, e adotar as melhores práticas de proteção de dados pessoais; (vii) analisar cláusulas contratuais com terceiros relacionadas à proteção de dados pessoais; (viii) analisar transferências internacionais de dados pessoais; e (ix) formular e implementar regras de boas práticas e de governança e de programa de governança em privacidade.
Além disso, a Minuta de Regulamento sujeita os DPOs a uma confidencialidade profissional com relação aos dados pessoais aos quais o DPO possa ter acesso durante a execução de suas tarefas.
Por fim, de acordo com a Minuta de Regulamento, é de extrema importância que não haja conflito de interesses para os DPOs no desempenho de suas funções. De acordo com a Minuta, deve haver um conflito quando o DPO for responsável por decidir sobre qualquer aspecto material (por exemplo, finalidade, categorias de dados pessoais ou titulares de dados, período de retenção etc.) de qualquer atividade de tratamento realizada pela organização correspondente. Os DPOs devem informar a organização caso surja algum conflito de interesses e devem declarar qualquer conflito sob as penas da lei. É provável, portanto, que as organizações passem a solicitar essa declaração dos DPOs a partir de agora.
De acordo com a minuta, um DPO pode ser uma pessoa física ou jurídica e deve ser nomeado por meio de um ato formal específico (por exemplo, um contrato, uma ata de reunião de acionistas/diretoria, uma procuração etc.) – até o momento parece que a nomeação deve ser publicada. Além disso, um DPO pode ser um grupo de pessoas (por exemplo, um comitê de privacidade). Se o DPO estiver ausente por qualquer motivo, um substituto deve ser formalmente designado para desempenhar a função, para que não haja impacto no atendimento das solicitações dos titulares dos dados. Até o momento, parece que uma nomeação formal para o substituto também seria necessária.
De acordo com a Minuta de Regulamento, pessoas jurídicas ou físicas podem prestar o serviço de DPO a diferentes controladores, desde que não haja conflito de interesse entre eles.
Além disso, o nome completo do DPO e os métodos de contato com o DPO devem estar sempre disponíveis no site do controlador, de forma destacada e facilmente acessível.
Os operadores de dados também podem nomear um DPO, embora isso não seja obrigatório de acordo com a Minuta do Regulamento. No entanto, a existência de um DPO será considerada uma boa prática de governança de privacidade e será levada em conta pela ANPD ao avaliar a gravidade das violações e ao aplicar sanções.
Com relação às qualidades profissionais, de acordo com a minuta, os DPOs devem ter conhecimento sobre privacidade e proteção de dados, além de serem capazes de cumprir todas as tarefas do DPO previstas na LGPD. Além disso, o DPO deve ser capaz de se comunicar em português com os titulares dos dados e com a ANPD. Nenhum outro requisito para desempenhar o papel de DPO foi abordado na Minuta de Regulamento.
Os controladores (ou operadores, caso tenham nomeado um DPO) devem garantir autonomia técnica ao DPO e acesso à administração da organização. Além disso, os controladores devem fornecer os meios para que o DPO realize um atendimento humanizado dos titulares dos dados e da ANPD, mas ainda não está claro na minuta por que uma abordagem humanizada com a ANPD seria necessária.
Com relação às atribuições dos DPOs, a Minuta reforçou aquelas já previstas na LGPD: (i) receber e atender reclamações e solicitações dos titulares dos dados; (ii) receber e atender comunicações e ordens da ANPD; (iii) orientar os empregados e fornecedores sobre como devem tratar dados pessoais; e (iv) qualquer outra atividade estabelecida pelo controlador ou pelo operador. Mais adiante, a minuta incluiu outras nove tarefas para os DPOs: (i) elaborar notificações relacionadas a incidentes de segurança da informação; (ii) elaborar o registro das atividades de tratamento; (iii) realizar avaliações de impacto à proteção de dados; (iv) identificar e avaliar os riscos relacionados a qualquer atividade de tratamento de dados pessoais; (v) determinar os controles de segurança, tanto técnicos quanto organizacionais, a serem implementados pela organização; (vi) implementar a LGPD e os regulamentos da ANPD, e adotar as melhores práticas de proteção de dados pessoais; (vii) analisar cláusulas contratuais com terceiros relacionadas à proteção de dados pessoais; (viii) analisar transferências internacionais de dados pessoais; e (ix) formular e implementar regras de boas práticas e de governança e de programa de governança em privacidade.
Além disso, a Minuta de Regulamento sujeita os DPOs a uma confidencialidade profissional com relação aos dados pessoais aos quais o DPO possa ter acesso durante a execução de suas tarefas.
Por fim, de acordo com a Minuta de Regulamento, é de extrema importância que não haja conflito de interesses para os DPOs no desempenho de suas funções. De acordo com a Minuta, deve haver um conflito quando o DPO for responsável por decidir sobre qualquer aspecto material (por exemplo, finalidade, categorias de dados pessoais ou titulares de dados, período de retenção etc.) de qualquer atividade de tratamento realizada pela organização correspondente. Os DPOs devem informar a organização caso surja algum conflito de interesses e devem declarar qualquer conflito sob as penas da lei. É provável, portanto, que as organizações passem a solicitar essa declaração dos DPOs a partir de agora.
Authors
Stay Up To Date With Our Insights
See how we use a multidisciplinary, integrated approach to meet our clients' needs.
Subscribe