A Resolução CD/ANPD Nº 18, de 16 de julho de 2024 é o documento que formaliza critérios para indicação e de atuação da figura prevista no art. 41 da Lei Geral de Proteção de Dados (Lei 13.709/2018).
Seguindo parâmetros internacionais, o texto normativo atenta para pontos cruciais para atribuição e competências gerais desta nova função administrativa criada.
Dentre outras, destacamos o seguinte:
- O DPO pode ser tanto uma pessoa física quanto jurídica. Neste último caso, é preciso indicar um responsável pela empresa e seu contato
- Deve ser disponibilizada de maneira fácil e acessível o contato direto do DPO para que os titulares (clientes, colaboradores, fornecedores e demais) possam fazer solicitações
- Deve ser garantida estrutura (física e de pessoal) para que o DPO possa desenvolver suas atividades de maneira efetiva e sem subordinação
- O DPO precisa ter domínio sobre os tratamentos e uso de dados pessoais da organização, sem, contudo, ser obrigatória certificação ou graduação em área técnica específica
- A função de DPO deve ser desenvolvida sem qualquer conflito de interesse, que pode se dar tanto na acumulação de uma função (Diretor Financeiro, por exemplo) como na acumulação de organizações (ser DPO de escritório de auditoria e também de empresa auditada pela mesma)
- O DPO deve se comunicar em idioma português, o que impacta empresas multinacionais que por vezes estabelece o atendimento apenas em inglês
- Além das funções de atendimento de solicitações, o DPO também é o responsável por gerir o plano de gerenciamento de riscos da empresa, devendo elaborar medidas, relatórios, promover auditorias internas e demais medidas para que a empresa garanta a inviolabilidade dos dados e informações pessoais. Apesar disso, a resolução limita sua responsabilidade pela ineficiência das medidas implementadas, que é exclusiva da gestão da empresa
Importante também a obrigatoriedade de se alterar o DPO quando verificada a existência de conflito de interesse. A resolução, atendendo ao que está previsto na própria LGPD, elucida dúvidas práticas quanto à nomeação de um DPO ou Encarregado de Dados.
Destacamos o fato de que essa indicação deve ser formal, constando, inclusive, um substituto para períodos de afastamento do titular (como férias, licenças e demais indisponibilidades), de modo que nada justifica o não atendimento às solicitações dos titulares.
Conforme §2º do art. 19 da Resolução, o conflito de interesse do DPO será objeto de análise em cada caso, o que possibilita a apresentação de justificativas. Porém, uma vez constatado o conflito de interesse, há previsão expressa de punição nos termos do art. 52 da LGPD.
É importantíssimo, portanto, se atentar para a correta indicação e atuação do DPO, a fim de evitar problemas de fiscalização e processos (administrativos e judiciais) por descumprimento da nova normativa.
Escrito por Felipe Rangel (OAB/PR 65.292)