A Autoridade Nacional de Proteção de Dados (ANPD) publicou no dia 17 de julho de 2024, o regulamento sobre a atuação do Encarregado pelo tratamento de dados pessoais.
Essa norma estabelece diretrizes importantes para as operações de tratamento de dados realizadas por empresas e organizações no país. O Encarregado de Proteção de Dados, ou Data Protection Officer (DPO), é uma figura central na implementação da Lei Geral de Proteção de Dados (LGPD).
Segundo a ANPD, o Encarregado atua como um ponto de contato entre o titular dos dados, o responsável pelo tratamento e a própria autoridade de controle.
Suas principais responsabilidades incluem orientar a organização sobre as melhores práticas no tratamento de dados, garantindo o cumprimento da LGPD e a proteção dos direitos dos titulares.
Saiba mais:
- Phishing HTTPS: Saiba como Proteger sua Empresa
- Ransomware: Por que 51% das empresas não estão preparadas? Saiba como se defender
- Guerra Cibernética e a Proteção da Soberania
Principais aspectos do regulamento da ANPD
O novo regulamento da ANPD aborda diversos aspectos relacionados à atuação do Encarregado de Proteção de Dados, tais como:
Divulgação da identidade e informações de contato do encarregado
Art. 3º A indicação do encarregado deve ser realizada por ato formal do agente de tratamento, do qual constem as formas de atuação e as atividades a serem desempenhadas.
- 1º Entende-se por ato formal o documento escrito, datado e assinado, que, de maneira clara e inequívoca, demonstre a intenção do agente de tratamento em designar como encarregado uma pessoa natural ou uma pessoa jurídica.
Deveres dos agentes de tratamento em relação ao encarregado
Art. 10. O agente de tratamento deverá
I – prover os meios necessários para o exercício das atribuições do encarregado, neles compreendidos, entre outros, recursos humanos, técnicos e administrativos;
II – solicitar assistência e orientação do encarregado quando da realização de atividades e tomada de decisões estratégicas referentes ao tratamento de dados pessoais;
III – garantir ao encarregado a autonomia técnica necessária para cumprir suas atividades, livre de interferências indevidas, especialmente na orientação a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;
IV – assegurar aos titulares meios céleres, eficazes e adequados para viabilizar a comunicação com o encarregado e o exercício de direitos;
V – garantir ao encarregado acesso direto às pessoas de maior nível hierárquico dentro da organização, aos responsáveis pela tomada de decisões estratégicas que afetem ou envolvam o tratamento de dados pessoais, bem como às demais áreas da organização.
Atividades e atribuições do encarregado
Art. 15. As atividades do encarregado consistem em:
I – aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências cabíveis;
II – receber comunicações da ANPD e adotar providências;
III – orientar os funcionários e os contratados do agente de tratamento a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
IV – executar as demais atribuições determinadas pelo agente de tratamento ou estabelecidas em normas complementares.
Situações de conflito de interesse que podem impactar a independência do DPO
Art. 18. O encarregado deverá atuar com ética, integridade e autonomia técnica, evitando situações que possam configurar conflito de interesse.
Art. 19. O encarregado poderá acumular funções e exercer as suas atividades para mais de um agente de tratamento, desde que seja possível o pleno atendimento de suas atribuições relacionadas a cada agente de tratamento e inexista conflito de interesse.
- 1º O conflito de interesse pode se configurar:
I – entre as atribuições exercidas internamente em um agente de tratamento ou no exercício da atividade de encarregado em agentes de tratamento distintos;
II – com o acúmulo das atividades de encarregado com outras que envolvam a tomada de decisões estratégicas sobre o tratamento de dados pessoais pelo controlador, ressalvadas as operações com dados pessoais inerentes às atribuições do encarregado.
Esses são alguns Artigos retirados da norma, para conferir por completo o documento oficial clique aqui: RESOLUÇÃO CD/ANPD Nº 18, DE 16 DE JULHO DE 2024.
Além disso, o processo de regulamentação envolveu ampla participação social, com etapas de tomada de subsídios, consulta pública e audiência pública.
Ao todo, a área técnica da ANPD analisou quase 1.200 contribuições de mais de 200 pessoas, demonstrando o compromisso da autoridade em construir uma norma alinhada com as necessidades do mercado e da sociedade.
Importância do Encarregado de Proteção de Dados
“Detalhar o papel do Encarregado era uma de nossas prioridades em razão de sua importância para uma sociedade movida a dados. Ele é um ator fundamental do cumprimento do direito à proteção de dados, e, consequentemente, para consolidar uma cultura de proteção de dados no País.”
(Diretor-presidente da ANPD, Waldemar Gonçalves)
Nesse sentido, o regulamento da ANPD representa um passo importante na consolidação da LGPD e na promoção de melhores práticas no tratamento de dados pelas empresas e organizações.
Impacto do regulamento para as empresas
Para as empresas e organizações que realizam operações de tratamento de dados pessoais, o regulamento da ANPD traz implicações diretas.
As companhias devem estar atentas aos requisitos estabelecidos pela norma, como a necessidade de indicar um Encarregado de Proteção de Dados e garantir que ele tenha condições de exercer suas atribuições de forma independente e eficaz.
As empresas também precisam estabelecer canais de comunicação efetivos com o Encarregado, fornecendo informações e recursos necessários para o desempenho de suas atividades.
O Encarregado deve estar capacitado para orientar a organização sobre as melhores práticas no tratamento de dados. Também contribuir para a implementação de políticas de privacidade robustas e alinhadas com a LGPD.
Ao estabelecer diretrizes claras, a autoridade de controle fortalece a proteção dos dados pessoais e impulsiona as empresas a adotarem medidas efetivas.
Assim, as instituições podem garantir a segurança e o tratamento adequado das informações dos titulares.
A adoção de boas práticas atende às exigências legais e contribui para a construção de relações de confiança entre empresas e consumidores.
Plataforma CipherTrust da Thales– Visão holística para proteção de dados
Os Controles Soberanos da Thales para TI híbrida ajudam as organizações a simplificar a governança, obter conformidade e reduzir os riscos na nuvem.
Descoberta e classificação de dados: permitem que as organizações identifiquem onde seus dados estão localizados, classifiquem-nos por risco e regulamentos e apliquem automaticamente medidas de segurança robustas.
Criptografia e tokenização: soluções de segurança e criptografia de dados de última geração permitem que as organizações protejam todos os tipos de dados confidenciais em vários armazenamentos de dados, plataformas e ambientes de TI, tanto em repouso quanto em movimento.
Com as plataformas integradas de criptografia, tokenização e criptografia de rede, as organizações podem simplificar, proteger e manter o controle de seus dados. Onde quer que eles residam e em trânsito entre repositórios.
As soluções podem ser implantadas no local, na nuvem ou em ambientes híbridos, e fornecidas como serviço ou gerenciadas por um provedor de serviços terceirizado.
Gerenciamento de chaves: soluções centralizadas que simplificam o controle em vários sistemas locais e na nuvem, permitindo que as organizações definam políticas granulares e apliquem o controle de segurança correto para dados confidenciais em praticamente qualquer situação.
Elas simplificam a conformidade com as normas de soberania de dados, a legislação de privacidade e as exigências do setor governamental.
Gerenciamento de identidade e acesso: soluções baseadas na nuvem atuam como provedores de identidade confiáveis para nuvens públicas e privadas. Protegem os recursos da nuvem no ponto de login por meio de autenticação e acesso condicional. Sempre aplicando controles de acesso baseados em políticas que um usuário faz login em um aplicativo.
Entre em contato com a Eval para ajudarmos você a desempenhar com excelência sua função como DPO.
