O que a empresa precisa definir antes de nomear um Encarregado de Dados (DPO) ?

Esse profissional precisa de conhecimentos sobre Privacidade, regras jurídicas, de Segurança da Informação e Proteção de Dados que atenda às peculiaridades do tratamento necessário aos direitos dos titulares dentro da organização.

Ele deve ter liberdade para exercer suas funções.

Ter capacidade e autonomia para oferecer ao Controlador ou Operador condições para exercer a sua responsabilidade pelo tratamento dos dados pessoais.

O Encarregado ou DPO pode ser um empregado ou um agente externo.

Indicação por um ato formal administrativo quando um empregado ou um contrato de prestação de serviços quando um consultor externo.

O DPO Interno ou Encarregado interno é um empregado com autonomia dentro das áreas da empresa designado para conduzir o programa de adequação da Privacidade de Dados Pessoais e manter a organização em conformidade às leis de proteção de dados pessoais e às normas da ANPD.

O DPO As a Service ou Consultoria de Privacidade de Dados Pessoais é um serviço terceirizado em que uma empresa contrata um profissional externo especializado e sua equipe para atuar como seu Encarregado de Proteção De Dados Pessoais.

Agentes de Tratamento de Pequena Dimensão

São consideradas Agentes de Tratamento de Pequena Dimensão as seguintes entidades:

microempresas e empresas de pequeno porte, definidas em lei;
empresário, conforme definido pelo Código Civil no 10.406/2002
start-ups, conforme definido pela Lei n.o 182/2021
organizações sem fins lucrativos
pessoas físicas e entidades privadas despersonalizadas que realizam tratamento de dados pessoais, assumindo obrigações típicas de controlador ou operador.

Os Agentes de Processamento de Pequeno Porte não devem auferir receita bruta superior a R$ 4.800.000,00, ou, no caso de start-ups, R$ 16.000.000,00, nem pertencer a grupo econômico cuja receita global ultrapasse os limites, conforme definido pelas leis correspondentes ou realizar processamento de alto risco.

Atividade de tratamento de dados de alto risco

Os critérios gerais são:

(i) tratamento de dados pessoais em larga escala; e

(ii) tratamento de dados pessoais que possam afetar significativamente os interesses e direitos fundamentais dos titulares dos dados.

Os critérios específicos são:

(i) utilização de tecnologias emergentes ou inovadoras;

(ii) vigilância ou controle de áreas de acesso público;

(iii) decisões tomadas exclusivamente com base em tratamento automatizado de dados; e

(iv) utilização de dados sensíveis ou pessoais de crianças, adolescentes e idosos.

Caso a empresa de pequeno porte não possa indicar um encarregado, deve disponibilizar um canal de comunicação com o titular de dados para atender o disposto no art. 41, § 2º, I da LGPD

Legislação Específica

LEI GERAL DE PROTEÇÃO DE DADOS – No 13.709, DE 14 DE AGOSTO DE 2018

Art. 41. O controlador deverá indicar encarregado pelo tratamento de dados pessoais.

§ 1o A identidade e as informações de contato do encarregado deverão ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no sítio eletrônico do controlador.

§ 2o As atividades do encarregado consistem em:

I – aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;

II – receber comunicações da autoridade nacional e adotar providências;

III – orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e

IV – executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

§ 3o A autoridade nacional poderá estabelecer normas complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados.

Pontos de atenção da atividade do Encarregado conforme a ANPD

ANPD – MINUTA DE REGULAMENTO SOBRE A ATUAÇÃO DO ENCARREGADO

III – identidade do encarregado: nome completo, se for pessoa natural, ou nome empresarial ou título do estabelecimento, se pessoa jurídica;

IV – informações de contato do encarregado: dados referentes a meios de comunicação que viabilizem o exercício dos direitos dos titulares junto ao controlador e possibilitem o recebimento de comunicações da ANPD.

Art. 4o A indicação de encarregado por operadores é facultativa e será considerada política de boa prática de governança para fins do disposto no art. 52, §1o, IX da Lei no 13.709, de 2018, e do art. 13, II, do Regulamento de Dosimetria e Aplicação de Sanções Administrativas, aprovado pela Resolução CD/ANPD no 4, de 24 de fevereiro de 2023, desde que observadas as normas deste Regulamento.

Parágrafo único. A indicação do encarregado deverá observar as suas qualidades profissionais, e, principalmente, seus conhecimentos relativos à disciplina de privacidade e proteção de dados, bem como aqueles necessários para o desempenho das atribuições previstas neste Regulamento.

Art. 14. As atividades do encarregado referentes ao contato com a ANPD não poderão ser realizadas exclusivamente por meio de processos automatizados.

RESPONSABILIDADES DO ENCARREGADO DE PROTEÇÃO DE DADOS

Aceitar Reclamações e Comunicações dos Titulares dos Dados:

O Encarregado deve receber e tratar reclamações e comunicações dos titulares dos dados, fornecendo respostas adequadas e no tempo apropriado.

Deve atuar como ponto de contato para questões relacionadas ao processamento de dados pessoais.

Receber Comunicações da Autoridade Nacional:

O Encarregado deve receber e responder às comunicações da ANPD e colaborar durante investigações e fiscalizações.

É responsável por implementar recomendações e diretrizes emitidas pela ANPD.

Orientar os Funcionários e os Contratados da Organização:

O Encarregado deve orientar os funcionários e contratados da organização sobre as práticas e políticas de proteção de dados.

É responsável por desenvolver e ministrar treinamentos para garantir que todos na organização compreendam suas responsabilidades em relação à proteção de dados pessoais.

Monitorar a Conformidade com a LGPD:

O Encarregado deve monitorar as atividades de processamento de dados pessoais da organização para garantir conformidade com a LGPD.

Deve realizar auditorias e avaliações regulares para identificar e mitigar riscos relacionados à proteção de dados.

Atuar como Canal de Comunicação da ANPD com a Organização:

O Encarregado deve manter uma comunicação contínua com a Alta Direção sobre as recomendações e atualizações da ANPD, garantindo que a organização esteja atualizada com relação às mudanças regulatórias e orientações emitidas pela

autoridade.

Garantir a Implementação das Políticas de Proteção de Dados:

O Encarregado deve garantir que a organização tenha políticas e procedimentos adequados para proteger os dados pessoais.

É responsável por revisar e atualizar essas políticas conforme necessário para manter a conformidade com a LGPD.

Elaborar Relatórios de Impacto à Proteção de Dados:

Quando necessário, o Encarregado deve elaborar relatórios de impacto à proteção de dados (RIPD), avaliando os riscos associados ao processamento de dados pessoais e as medidas de mitigação adotadas.

O Time de Privacidade E PROTEÇÃO de Dados

Composição do Time:

Especialista em proteção de dados: Profissional com conhecimento técnico e prático sobre proteção de dados.
Advogado especializado em privacidade: Especialista legal que entende as regulamentações de proteção de dados.
Profissional de TI focado em segurança da informação: Técnico que garante a implementação e manutenção de medidas de segurança.
Facilitadores: Colaboradores chave, que tem a função de replicar o conhecimento, ser um canal entre a área e o time de Privacidade.

Funções do Time de Privacidade:

Implementação de políticas;
Avaliações de impacto de privacidade (DPIA);
Gestão de Riscos;
Treinamento e sensibilização;
Elaboração de CTD’s, Cláusulas de Proteção de Dados;
Pareceres, Recomendações e Consultas
Fornecer conhecimentos específicos para garantir a conformidade.
Apoiar o DPO na comunicação e no reporte para a Autoridade Nacional de Proteção de Dados (ANPD).

COMITÊ DE PRIVACIDADE

O Comitê de Privacidade é um órgão interno de governança responsável por, juntamente com o DPO, definir a estratégia de conformidade de uma organização com as legislações de proteção de dados, como a Lei Geral de Proteção de Dados (LGPD) no Brasil.

Esse é mais um artigo sobre as questões de Privacidade de Dados Pessoais que estarei publicando aqui para conhecimento da comunidade.

Estou à disposição para atuar nestas atividades com prazer.

O que a empresa precisa definir antes de nomear um Encarregado de Dados (DPO) ?

#50 – Brasil: País do Futebol e da Esperança?

Primeira vez Escolha do futuro do Brasil

A possibilidade de um confronto entre Estados Unidos e Irã na Copa do Mundo de 2026 é real

Em razão das mudanças climáticas três perguntas objetivas para os candidatos nas eleições de outubro

A preparação para o El Niño fora do Brasil

O cenário de preparação para o El Niño no Brasil

#49 – IhhhhhA

O cansaço como fator de encerramento de uma greve

Atualização significativa do Código Penal para enfrentar o avanço da criminalidade no ambiente virtual

Due diligence na escolha política

O que a empresa precisa definir antes de nomear um Encarregado de Dados (DPO) ?

Agentes de Tratamento de Pequena Dimensão

Atividade de tratamento de dados de alto risco

Legislação Específica

Pontos de atenção da atividade do Encarregado conforme a ANPD

RESPONSABILIDADES DO ENCARREGADO DE PROTEÇÃO DE DADOS

O Time de Privacidade E PROTEÇÃO de Dados

COMITÊ DE PRIVACIDADE

Kompar.tilhe:

Curtir isso: