LGPD aperfeiçoada por nova resolução sobre Encarregado de Dados (DPO)

Evaldo Osório Hackmann, advogado em Laís Lucas Advogados Associados

Os negócios digitais aumentaram exponencialmente a partir da pandemia. Entre as empresas B2B brasileiras, o crescimento foi de 68%, apontou uma pesquisa realizada pelo Opinion Box em parceria com a Ploomes. No entanto, a segurança das informações dos stakeholders – um direito previsto na Constituição Federal – nem sempre está no centro das atenções dessas empresas, mesmo após quatro anos de vigência da Lei Geral de Proteção de Dados (LGPD). Nesse contexto, se faz essencial a atuação do Encarregado de Dados Pessoais (Data Protection Officer – DPO), que teve seu papel reforçado pela Resolução CD/ANPD nº 18/2024, aprovada em julho. Embora o artigo 41 da LGPD já preveja algumas das atividades do profissional, careciam detalhes sobre a sua atuação e o perfil ideal, o que causava insegurança jurídica a quem assumisse o cargo.

Importância e funções do DPO

O valor do DPO vai além do mero cumprimento da legislação. Também se dá por ser uma legítima prática de governança a ser adotada pelos controladores – a quem competem as decisões referentes ao tratamento de dados pessoais.

Nesse sentido, tem-se, de um lado, a obrigação do agente de tratamento em consultar o Encarregado de Dados e, de outro, o dever do DPO de prestar a melhor prestar assistência e orientação na elaboração, definição e implementação de:

Registro e comunicação de incidente de segurança e das operações de tratamento de dados pessoais;
Relatório de impacto à proteção de dados pessoais;
Mecanismos internos de supervisão e de mitigação de riscos relativos ao tratamento de dados pessoais;
Medidas de segurança, técnicas e administrativas, aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito;
Processos e políticas internas que assegurem o cumprimento da LGPD e dos regulamentos e orientações da Autoridade Nacional de Proteção de Dados (ANPD);
Instrumentos contratuais que disciplinem questões relacionadas ao tratamento de dados pessoais;
Transferências internacionais de dados;
Regras de boas práticas e de governança e de programa de governança em privacidade, nos termos da LGPD;
Produtos e serviços que adotem padrões de design compatíveis com os princípios previstos na LGPD, incluindo a privacidade por padrão e a limitação da coleta de dados pessoais ao mínimo necessário para a realização de suas finalidades;
Outras atividades e tomada de decisões estratégicas referentes ao tratamento de dados pessoais.

Características do DPO

A nova regulamentação ainda define que o DPO deve poder exercer suas atribuições com autonomia técnica e sem interferência em seu trabalho, bem como contar com recursos humanos e financeiros suficientes. Além disso, é este o profissional que garante a segura conexão entre o agente de tratamento, a ANPD e os titulares desses dados.

Todavia, dadas as disposições da Resolução CD/ANPD nº 18/2024, será cada vez mais relevante que o profissional possua, comprovadamente:

Perfil de liderança;
Robusto conhecimento técnico;
Proatividade;
Sólida experiência com o tema;
Boa compreensão do negócio;
Integridade suficientes para ser um verdadeiro promotor da cultura de dados pessoais em seu ambiente corporativo.

Tais características devem ser proporcionais ao contexto, ao volume e ao risco das operações de tratamento realizadas. E quando presentes, elevam as chances de sucesso empresarial e garantem o imprescindível respeito ao direito fundamental de proteção de dados.