ANPD esclarece dúvidas sobre a atuação do Encarregado de Dados e a emissão de selos de conformidade
11 de abril de 2023
A ANPD publicou, na data de 31 de março, Nota de Esclarecimento sobre a atuação do encarregado de dados e a emissão de selos de conformidade com a Lei Geral de Proteção de Dados (LGPD).
Destaca-se que, o motivo do esclarecimento, se deu ao fato da divulgação pela Associação Nacional dos Profissionais de Privacidade de Dados (ANPPD) de certificado para os profissionais que ocupam cargos de Encarregado de Dados, Data Protection Officer (DPO).
Nesse sentido, a ANPD emitiu a Nota alegando a existência de dúvidas sobre as competências e a atuação do Encarregado. Na mencionada publicação, a ANPD sinalizou ser ainda o órgão central de interpretação da Lei nº 13.709, de 2018, a LGPD.
Cumpre recordar que a ANPD é a é uma autarquia federal, com autonomia técnica e decisória, de natureza especial que, atualmente, se encontra vinculada ao Ministério da Justiça e Segurança Pública e possui atribuições relacionadas a proteção de dados pessoais e da privacidade, com especial responsabilidade pela fiscalização e regulamentação da LGPD no país.
Nesse escopo, a ANPD tem o encargo de supervisionar o tratamento de dados pessoais realizado pelas organizações no Brasil, de modo a garantir, por meio da aplicação de sanções, que as regras estabelecidas na LGPD sejam seguidas e que a privacidade e os direitos dos titulares dos dados sejam respeitados.
O DPO exerce função exigida pela LGPD para certos tipos de organizações, incluindo autoridades públicas, organizações que processam dados pessoais sensíveis em grande escala e aquelas cujas atividades principais envolvem monitoramento regular e sistemático de indivíduos em grande escala.
Além disso, o DPO tem a função de garantir que a organização esteja em conformidade com a LGPD. A designação, posição e tarefas do DPO consta detalhada, nos incisos I ao IV do §2° do art. 41 da LGPD.
Nesse sentido, o Encarregado de Proteção de dados deve supervisionar as políticas e procedimentos de proteção de dados da organização, de modo a orientar à organização e seus funcionários e os contratos da entidade sobre questões de proteção de dados, monitorar a conformidade com as leis e regulamentações de proteção de dados e atuar como ponto de contato com os titulares dos dados e as autoridades regulatórias, prestando e adotando todas as providências.
Desse modo, o Encarregado deve ser independente, ter conhecimento apropriado em proteção de dados e recursos necessários para realizar suas funções, ou seja, capacidade de atuar de forma objetiva e livre de interferências ou conflitos de interesse em relação à proteção de dados na organização. Portanto, o DPO deve ser capaz de desempenhar suas funções sem desagravos ou influencias de partes interessadas dentro da organização, sendo livre para tomar decisões e oferecer conselhos imparciais sobre a proteção de dados.
Além disso, a independência do DPO deve ser garantida através de uma estrutura organizacional que permita o contato direto com a alta administração ou diretoria.
Nota de Esclarecimento
Nos termos da Nota emitida, a ANPD reforçou que as competências do encarregado estão descritas nos incisos I a IV do § 2º do art. 41 da LGPD, cabendo exclusivamente à ANPD, segundo o § 3º deste artigo, “estabelecer normas complementares sobre a definição e as atribuições do encarregado”.
Desse modo, foi informado que a ANPD ainda não estabeleceu normas complementares sobre as atribuições do encarregado e que esse tema será regulamentado futuramente, conforme previsto na Agenda Regulatória para o biênio 2023-2024. O Calendário pode ser acessado e conferido AQUI.
Por isso, até a presente data, não há reconhecimento oficial, pela ANPD, quanto à validade de qualquer norma ou procedimento de conduta estabelecidos por entidades privadas com o objetivo de nortear ou certificar a atuação dos profissionais que atuam como encarregado.
Ademais, não há qualquer exigência legal de que o relacionamento entre titulares de dados e o encarregado, ou entre o encarregado e a ANPD, se dê por meio de entidades intermediárias ou representativas. À luz da LGPD, o encarregado pode se relacionar diretamente com a ANPD e com os titulares de dados.
Não existe qualquer exigência legal de registro, perante a ANPD ou perante associações privadas, de profissionais de proteção de dados ou de encarregados como condição para o exercício da profissão ou como requisito para sua contratação. Do mesmo modo inexiste reconhecimento oficial da ANPD de registro privado desses profissionais.
A ANPD esclarece que atualmente não credencia ou reconhece entidades ou empresas para a emissão de selos que possam atestar a adequação à LGPD, e tampouco para a homologação de softwares ou aplicativos em conformidade com a lei.
Desse modo, para fins de cumprimento da LGPD, também não há exigência legal de selos de conformidade ou de homologações de software ou aplicativos. Além disso a ANPD reforça que a oferta desses instrumentos, por entidades privadas, não constitui garantia de conformidade à LGPD.
Permanecemos à disposição através do e-mail agfadvice@agfadvice.com.br e do telefone (051) 3573-0573.
AGF Advice Consultoria Legislativa, Tributária e Empresarial