Ter um Encarregado de Dados Pessoais (DPO) é uma necessidade para a maioria das organizações, pois todas tratam de dados pessoais e nesse caso devem ter um responsável por essa atividade. Conforme as normas da ANPD e as regras da LGPD existe também a necessidade de formalizar a nomeação deste profissional na organização.
A elaboração da documentação para formalizar o cargo de Encarregado pelo Tratamento de Dados Pessoais (DPO) deve seguir as regras da LGPD (Art. 41) e, especificamente, as diretrizes da recente Resolução CD/ANPD nº 18/2024, que regulamenta a atuação desse profissional.
Abaixo estão os procedimentos estruturados em passos para formalizar o cargo de forma segura e em conformidade com a Autoridade Nacional de Proteção de Dados (ANPD):
Passo 1: Definição do Perfil e Prevenção de Conflito de Interesses
Antes de redigir o documento de nomeação, a organização deve definir quem ocupará o cargo, garantindo que o escolhido atenda aos requisitos legais:
Natureza do Vínculo: O Encarregado pode ser pessoa física ou jurídica (consultoria externa ou “DPO as a Service”), e pertencer ao quadro interno de funcionários ou ser externo. Deve ser capaz de comunicar-se claramente em língua portuguesa.
Conhecimento Técnico: A indicação deve observar as qualidades profissionais e os conhecimentos do candidato em privacidade, proteção de dados e segurança da informação compatíveis com a complexidade das operações da empresa.
Ausência de Conflito de Interesses: O Encarregado deve atuar com ética, integridade e autonomia. Para evitar conflito de interesses que afetem sua independência, é recomendável que ele não atue simultaneamente nas áreas de Tecnologia da Informação (TI), Auditoria ou Compliance.
Passo 2: Elaboração do Ato Formal de Nomeação
A indicação do Encarregado deve ser formal e documentada por escrito, devendo ser apresentada à ANPD sempre que solicitada. O documento de formalização pode ser um Ato Administrativo (para funcionários internos/servidores) ou um Contrato de Prestação de Serviços (para DPO externo).
O documento de formalização deve conter, obrigatoriamente:
1. Identificação e Qualificação: Nome completo (se pessoa natural) ou razão social (se pessoa jurídica).
2. Atribuições Legais do Cargo: O documento deve listar as atividades do Encarregado previstas na lei e no regulamento:
-
Aceitar reclamações e comunicações dos titulares, prestando esclarecimentos.
-
Receber comunicações da ANPD e adotar providências.
-
Orientar funcionários e contratados sobre as práticas de proteção de dados.
-
Prestar assistência na elaboração de registros (ROPA) e relatórios de impacto (RIPD), bem como na gestão de incidentes de segurança.
3. Garantia de Autonomia e Recursos: A empresa deve inserir cláusulas garantindo que proverá os meios necessários (recursos humanos, financeiros e de infraestrutura) para o desempenho das atribuições, garantirá sua autonomia técnica e assegurará acesso direto do DPO às pessoas de maior nível hierárquico da organização (Diretoria/Alta Gestão).
4. Cláusula de Não Penalização: Inserir previsão de que o Encarregado não será penalizado ou despedido em razão do estrito cumprimento de suas atividades relacionadas à proteção de dados.
5. Declaração de Inexistência de Conflitos: O documento deve prever a obrigação do DPO de declarar qualquer situação que possa configurar conflito de interesse no acúmulo de funções.
Passo 3: Divulgação Pública e Interna
A formalização não se encerra na assinatura do documento interno. É uma obrigação legal dar publicidade a essa nomeação:
-
Publicação no Site: A identidade e as informações de contato do Encarregado (nome e meios de comunicação, como e-mail) devem ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no website oficial da organização. Caso a empresa não possua site, a divulgação pode ser feita por outros meios acessíveis.
-
Comunicação Interna: Realize um comunicado oficial interno informando a todos os colaboradores sobre a nomeação do Encarregado, divulgando seus canais oficiais para que as equipes saibam a quem recorrer em caso de dúvidas ou incidentes.
Passo 4: Estruturação de Apoio ao Encarregado (Opcional, mas Recomendado)
Dependendo do volume e complexidade dos dados tratados, a documentação formal do programa de privacidade pode prever a criação de um Comitê de Privacidade. Esse comitê será um órgão interno multidisciplinar (composto por pessoas do Jurídico, TI, RH, etc.) designado para apoiar as decisões estratégicas do DPO e facilitar o cumprimento de suas obrigações.
Nota sobre Agentes de Tratamento de Pequeno Porte (ATPP) e Operadores: Caso a organização seja caracterizada como um ATPP (pequenas empresas, startups, etc.) ou atue estritamente como Operadora de dados, a indicação do Encarregado é facultativa, mas é considerada uma excelente política de boas práticas de governança pela ANPD. Se o ATPP decidir não nomear um DPO, deverá, obrigatoriamente, manter um canal de comunicação disponível aos titulares de dados.
