Evaldo Osório Hackmann
Advogado do escritório Laís Lucas Advogados Associados
Em julho, a Autoridade Nacional de Proteção de Dados (ANPD) publicou a Resolução nº 18/2024, que aprova o regulamento sobre a atuação do encarregado pelo tratamento de dados pessoais - o Data Protection Officer, ou DPO.
Embora o artigo 41 da Lei Geral de Proteção de Dados (LGPD) já descrevesse algumas das atividades deste profissional, careciam detalhes sobre a sua atuação e o seu perfil ideal, o que causava insegurança jurídica a quem assumisse o cargo.
O texto determina que a indicação do encarregado deve ser realizada por ato formal do agente de tratamento, do qual constem as formas de atuação e as atividades a serem desempenhadas.
Além disso, prevê que o encarregado poderá ser tanto pessoa natural, integrante ou não do quadro organizacional do agente de tratamento ou, então, pessoa jurídica.
O DPO, de acordo com a resolução, deverá ser capaz de se comunicar com os titulares e com a ANPD, de forma clara e precisa e em língua portuguesa. Não é preciso estar inscrito em qualquer entidade nem possuir qualquer certificação ou formação profissional específica - cabe ao agente de tratamento estabelecer as qualificações profissionais necessárias para a função.
A nova resolução aperfeiçoa a LGPD e reforça o papel do DPO, cuja atuação vai muito além do mero cumprimento da legislação, constituindo uma legítima prática de governança a ser adotada pelos controladores, a quem compete, afinal, as decisões referentes ao tratamento de dados pessoais.
Nesse sentido, tem-se, de um lado, a obrigação do agente de tratamento em consultar o Encarregado de Dados Pessoais e, de outro, o dever do DPO de prestar a melhor assistência e orientação nas situações relacionadas ao tratamento das informações pessoais.
Entre essas situações, estão a elaboração, a definição e a implementação do registro e comunicação de incidente de segurança e das operações de tratamento de dados pessoais;o relatório de impacto à proteção dos dados; os mecanismos internos de supervisão e de mitigação de riscos relativos ao tratamento das informações; as medidas de segurança, técnicas e administrativas aptas a proteger os dados de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
Além disso, é tarefa do DPO criar processos e cumprir as políticas internas que assegurem o cumprimento da LGPD e dos regulamentos e orientações da ANPD.
Diante das disposições da nova resolução, será cada vez mais relevante que o DPO possua, comprovadamente, perfil de liderança; robusto conhecimento técnico; proatividade; sólida experiência com o tema; boa compreensão do negócio e integridade para ser um promotor da cultura de dados pessoais em seu ambiente corporativo.
Tais características devem ser proporcionais ao contexto, ao volume e ao risco das operações de tratamento realizadas. E, quando presentes, elevarão as chances de sucesso empresarial e garantirão o imprescindível respeito ao direito fundamental de proteção de dados pessoais assegurado pela LGPD.