A Autoridade Nacional de Proteção de Dados publicou hoje (17) no Diário Oficial da União o regulamento sobre a Atuação dos Encarregados de Proteção de Dados, ou Data Protection Officers (DPOs). O novo marco legal tem por objetivo definir com clareza o papel do profissional dentro das companhias que tratam dados pessoais e suas responsabilidades para com ela e com a sociedade brasileira.
Segundo estabeleceu a Lei Geral de Proteção de Dados, a figura do Encarregado de Dados visa fazer a interface entre os usuários, titulares das próprias informações de cunho pessoal e sensível, com o agente de tratamento de dados e a ANPD. Da mesma forma, o DPO deve orientar a corporação a aplicar as melhores práticas de proteção de dados operados.
“Detalhar o papel do Encarregado era uma de nossas prioridades em razão de sua importância para uma sociedade movida a dados. Ele é um ator fundamental do cumprimento do direito à proteção de dados, e, consequentemente, para consolidar uma cultura de proteção de dados no País”, disse o Diretor-Presidente da ANPD, Waldemar Gonçalves, durante anúncio da norma.
Entre os diversos pontos citados pela regulamentação, se destacam a necessidade de indicação do profissional por ato formal, contando também com anuência da própria Autoridade. Além disso, o contato com o DPO deverá ser facilitado por meio de identificação e contato transparentes para a sociedade e o mercado. É de obrigação da empresa e um objetivo do Encarregado atuar com autonomia técnica e manter qualificações profissionais compatíveis com o nível de criticidade das informações tratadas.
As lideranças da ANPD já vinham reafirmando nos últimos anos a necessidade de retificar o papel dos DPOs em marcos legais, pois além de conferir maior segurança jurídica às operações de tratamento, era necessário refletir demandas da sociedade. Essa evolução passa, também, pela mudança na cultura de negócios no Brasil, avançando dos acordos orais para compromissos escritos, tal qual essa resolução recém aprovada.
“Esse momento é o ponto de partida para se instaurar a cultura da privacidade, visando o uso responsável do tratamento de dados pessoais. Esse cargo tem obrigações que incluem aceitar reclamações dos titulares de dados, receber comunicações da ANPD e fomentar boas práticas de proteção de dados dentro das organizações”, explicou a Encarregada Substituta de Proteção de Dados Pessoais da ANPD, Edna Angelo, em palestra no Sebrae.
Consolidação da proteção de Dados
Conforme foi reconhecido pela Autoridade de proteção de dados, a resolução vem em resposta a uma demanda antiga dos líderes de Cibersegurança e proteção de dados das companhias, pois diversas lideranças apontavam para as dificuldades em criar conexões com a autarquia em favor da evolução do tratamento seguro de informações. Agora, através de uma liderança consolidada, as empresas poderão elevar mais seus controles de dados.
“Os DPOs desempenham um papel importante também na conscientização sobre a proteção de dados ao participar de palestras e eventos, criando comunidades do setor, escrevendo livros e estudos, ou aplicando aulas com esse assunto em específico. Portanto, cabe às corporações valorizarem mais essa categoria, em nome da continuidade de negócios e estabelecer cada vez mais espaço de atuação”, disse Paulo Baldin, CISO e DPO do Stark Bank, em entrevista à Security Report.
Em contrapartida, o Sócio especialista em proteção de dados da Prado Vidigal Advogados, Luis Fernando Prado, alerta para algumas divergências entre a regulamentação e a LGPD, especialmente envolvendo organizações atuantes no país, sujeitas à Lei Geral, que não estejam estabelecidas no país. A norma define que o DPO precisará estar apto a se comunicar em português com a ANPD e titulares, sem a definição de uso de intérpretes ou tradutores nesses casos.
“Eventual conflito de interesses na atuação de encarregado, tema não previsto na LGPD, também poderá ensejar sanção específica ao agente de tratamento. Portanto, uma vez mais, é possível notar que as preocupações trazidas por especialistas e representantes dos agentes de tratamento em sede de consulta pública não resultaram em modificações relevantes do texto final”, concluiu Prado.
