Importante: aplicável a todas as organizações

 

Em 17 de julho de 2024, a Autoridade Nacional de Proteção de Dados (ANPD) publicou o regulamento sobre a nomeação e atribuições do Encarregado de Proteção de Dados (DPO).

 

Apresentamos abaixo um sumário com os pontos mais importantes e novos apresentados pelo regulamento:

  • A nomeação do DPO deve ser formal, por escrito, sendo outros requisitos como assinatura aplicáveis ao instrumento de nomeação;
  • A nomeação do DPO é obrigatória para controladores e opcional para operadores e agentes de tratamento de pequeno porte (i.e., MEI, ME, EPP, Startups e condomínios, sendo que essa exceção não se aplica para agentes de pequeno porte que tratam dados sensíveis ou realizam operações de tratamento de dados de alto risco);
  • O DPO pode ser pessoa física ou jurídica, interna ou externa – saiba mais sobre o DPO as a Service aqui;
  • A identidade do DPO deverá ser divulgada publicamente, incluindo o seu nome completo (se pessoa física) ou razão social (sem empresa), no site da organização; não sendo suficiente de início somente indicar o e-mail de contato;
  • Decisões estratégicas sobre proteção de dados devem passar pelo DPO;
  • O DPO deverá ter autonomia técnica para a tomada de decisões;
  • O DPO não precisa ter formação ou certificação específica, mas cabe a organização definir a qualificação técnica exigida que pode (mas não deve) exigir formação e certificação;
  • As atribuições do DPO incluem aquelas previstas na LGPD (Art. 41), como realizar a comunicação interna de assuntos relacionados a privacidade, realizar o direcionamento de pedidos de titulares e da ANPD, porém o regulamento acrescentou expressamente outras atribuições como a realização de assistência nos incidentes, ROPAs, relatórios de impacto, gestão de risco, segurança da informação, contratos, transferência internacional, privacy by design e definição de boas práticas – além de assessoria em temas estratégicos de proteção de dados, como informado acima; e
  • Deve se evitar o conflito de interesse na atividade do DPO, considerando as atribuições do DPO dentro da organização e o seu acúmulo de funções.

 

Ações importantes a serem avaliadas pelas organizações:

  • Definir requisitos de formação e certificação para a posição de DPO na organização;
  • Contratar um DPO externo ou nomear um DPO, pessoa física ou jurídica;
  • Implementar ou revisitar o instrumento de nomeação do DPO;
  • Implementar ou revisitar a matriz de responsabilidade do DPO;
  • Revisar processos nos quais o DPO será envolvido, particularmente em decisões estratégicas, comunicações dos titulares e ANPD, incidentes e requisitos de segurança, e outros requisitos relevantes da LGPD;
  • Divulgar a identidade com nome do DPO no site; e
  • Revisão de possível conflito de interesse.

 

A norma completa está disponível neste link: https://lnkd.in/dJ7GhVJm.

 

Recomendamos que todos os clientes avaliem e revisem as nomeações, atribuições e práticas de governança relacionadas a atuação dos seus Encarregados de Proteção de Dados (DPO).

O Campos Thomaz Advogados é especializado no setor de tecnologia. Entre em contato com nossos sócios para dirimir eventuais dúvidas clicando aqui.
*

compartilhe

LinkedInFacebookTwitterWhatsApp

newsletter

Inscreva-se em nossa newsletter e receba em primeira mão todos os nossos informativos

    Ao informar meus dados, concordo com a Política de Privacidade.