No final do mês de julho de 2024, a Autoridade Nacional de Proteção de Dados (ANPD) estabeleceu as diretrizes para a atuação dos Encarregados de Dados Pessoais (DPO), conforme previsto na Lei Geral de Proteção de Dados (LGPD). Elas trouxeram mudanças significativas para as empresas, sobretudo para aquelas que ainda não nomearam seus respectivos Encarregados de Dados Pessoais e/ou atribuíram tal função a alguém que já seja parte da organização.
Destacamos a seguir as principais obrigações impostas pelo regulamento e como sua empresa pode se adequar, minimizando riscos e assegurando a conformidade com a legislação.
1. Indicação Formal do Encarregado e Substituto
A partir de agora, a nomeação do Encarregado de Dados deve ser feita por meio de um ato formal, por escrito, datado e assinado pelo agente de tratamento, evidenciando a intenção de nomeá-lo para tal função, seja este uma pessoa natural ou jurídica. Este documento deverá ser apresentado à ANPD, quando solicitado.
Além disso, em casos de ausência, impedimento ou vacância do Encarregado, o regulamento exige que haja um substituto formalmente designado para assumir as funções.
O que muda:
Algumas empresas até então adotavam práticas informais ou até mesmo não documentavam a nomeação do seu Encarregado de Dados Pessoais (DPO) e/ou substituto para a função, a fim de manter a continuidade das atividades de proteção de dados, em caso de ausência do DPO. Essa situação, todavia, não será mais aceita.
O descumprimento desta formalidade pode acarretar violação da LGPD, com penalidades severas e exposição desnecessária da empresa a riscos legais.
2. Qualificação do Encarregado
A escolha do Encarregado deve levar em consideração suas qualificações profissionais, especialmente seu conhecimento sobre a LGPD e sobre os processos de tratamento de dados específicos da empresa, incluindo o contexto, o volume e os riscos envolvidos.
O que muda:
Escolhas baseadas unicamente em conveniência ou em critérios subjetivos deixam de ser aceitáveis. É necessário que o Encarregado possua as qualificações necessárias, a fim de manter os padrões de conformidade do agente de tratamento a legislação.
3. Divulgação e Atualização das Informações
A empresa deve divulgar e manter atualizadas as informações sobre a identidade e os contatos do Encarregado de Dados Pessoais, de forma clara, objetiva e acessível em seu website.
A divulgação das informações de contato do encarregado abrangerá, no mínimo, os dados referentes aos meios de comunicação que viabilizem o exercício dos direitos dos titulares junto ao controlador e possibilitem o recebimento de comunicações da ANPD.
O que muda:
A falta de clareza ou a ausência dessa divulgação poderá ser considerada uma infração, nos termos da LGPD. É crucial que as informações estejam sempre atualizadas e disponíveis, para que os titulares possam exercer seus direitos bem como a ANPD possa identificar o DPO para fins de contato com o agente de tratamento.
Como nosso escritório pode ajudar
A adequação a essas novas regras exige cuidado e experiência. Nosso escritório oferece serviços de Encarregado de Dados Pessoais terceirizado (DPOaaS), a fim de que sua empresa atenda as determinações da legislação e se mantenha protegida contra riscos legais.
Por meio de equipe de profissionais multidisciplinares, podemos auxiliar a empresa adequar suas práticas, a fim de atender as obrigações estabelecidas pelo regulamento da ANPD sejam cumpridas de maneira eficiente e profissional, proporcionando tranquilidade e segurança jurídica para o seu negócio.
Entre em contato conosco e saiba como podemos auxiliá-lo na implementação dessas e de outras práticas essenciais para a conformidade com a LGPD.
