Você sabia que a Resolução da Autoridade Nacional de Proteção de Dados (ANPD) nº 18/2024 já está em vigor? Ela redefine o papel do DPO (Data Protection Officer) e traz importantes diretrizes para a proteção de dados no Brasil.
A Resolução estabelece que o DPO deve ser um profissional qualificado, com conhecimento técnico em proteção de dados, e pode atuar em diferentes setores, garantindo a conformidade com a Lei Geral de Proteção de Dados (LGPD). Um dos principais papéis do DPO é agir como um ponto de contato entre a empresa, os titulares de dados e a ANPD. Essa comunicação eficaz é crucial para a transparência e a confiança dos consumidores. Mas por que essa resolução é tão importante para as empresas brasileiras?
Para responder essa e outras perguntas, o escritório Machado Meyer Advogados promoveu o evento online “A nova resolução ANPD nº 18/2024 da ANPD e o papel e responsabilidades do DPO: governança e conflito de interesses“. À frente da atividade, estiveram Juliana Abrusio, sócia da área de Direito Digital e Proteção de Dados; e Raphael Soré, sócio da área de Compliance, Investigações e Governança Corporativa.
Quem é o DPO?
Nas palavras de Juliana Abrusio, a nova resolução estabelece diretrizes específicas sobre as funções do encarregado de dados (DPO) e suas responsabilidades dentro das organizações, realçando a importância da governança em relação à proteção de dados pessoais. Em suma, o DPO deve atuar como um facilitador na implementação de práticas de conformidade, garantindo que as operações da empresa estejam alinhadas às normas da LGPD.
Em síntese, o DPO é o profissional responsável por garantir que a empresa esteja em conformidade com a LGPD. “Esse papel abrange, entre outras responsabilidades, a mediação entre a empresa e a ANPD, a orientação aos funcionários e prestadores de serviços sobre práticas de proteção de dados, e o atendimento a consultas de titulares de dados”.
Artigo 41 da LGPD
Juliana explicou que a figura do DPO é demandada por causa do artigo 41 da LGPD, que diz: O controlador deverá indicar encarregado pelo tratamento de dados pessoais.
§ 1º A identidade e as informações de contato do encarregado deverão ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no sítio eletrônico do controlador.
§ 2º As atividades do encarregado consistem em:
I – aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
II – receber comunicações da autoridade nacional e adotar providências;
III – orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
IV – executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
Cultura da empresa
Uma das principais responsabilidades do DPO é promover a conscientização e o treinamento dos colaboradores em relação à proteção de dados. Isso inclui a criação de políticas internas claras e acessíveis, além de monitorar o cumprimento dessas normativas. “Quando temos a lei trazendo a obrigação e a resolução estipulando os detalhes, existe um desafio. Então, a ideia é colocar luz em alguns esclarecimentos, mas um dos principais obstáculos, para as empresas, é: o encarregado de dados não depende somente de uma nomeação, e sim de uma dinâmica viva. Então, agora, o momento é olhar para a cultura, que é o que muda o ambiente e é capaz de alimentar os processos e mantê-los”.
Em outras palavras, por mais que a empresas esteja sob o risco de uma penalidade, o que é mantido, de fato? “A cultura”, pontuou Juliana Abrusio.
Portanto, a implementação de uma sólida cultura de proteção de dados nas organizações é fundamental para garantir a conformidade com as regulamentações estabelecidas pela ANPD.
Segurança + Ambiente
A Resolução da Autoridade nº 18/2024 reforça a necessidade de que as empresas não apenas adotem práticas adequadas de segurança, mas que também cultivem um ambiente em que todos os colaboradores compreendam e valorizem a proteção de dados pessoais.
Essa cultura deve começar no topo da hierarquia, com a Alta Direção demonstrando comprometimento e promovendo ações que incentivem a participação ativa de todos os funcionários. É essencial que a proteção de dados seja vista como uma responsabilidade coletiva, não apenas uma obrigação legal ou um conjunto de regras a serem seguidas. “Brasil não é Europa e nem Estados Unidos. A Europa tem regulação desde a década de 70 no que tange à proteção de dados. E os Estados Unidos idem. A figura do encarregado existe desde 1995 na Europa, enquanto nós, no Brasil, estamos falando de uma lei que entrou em vigor em 2018 para entrar em vigência depois. Isso significa que nosso caminho a percorrer é longo”, explica.
Qualificação do DPO
Com a nova resolução, o DPO não apenas orienta sobre as melhores práticas, mas também deve estar preparado para liderar auditorias e avaliações de impacto, garantindo a identificação de riscos e a implementação de medidas mitigatórias.
Além disso, a escolha de um encarregado de dados devidamente qualificado pode evitar incidentes de segurança e reduzir os riscos de penalidades e sanções administrativas. A resolução da ANPD oferece um direcionamento claro sobre as competências e responsabilidades desse profissional, auxiliando as empresas a selecionarem o candidato mais adequado para o cargo.
Mas, será que todas as empresas precisam ter o DPO?
E a resposta é: “todas precisam indicar, salvo algumas exceções, como os agentes de tratamento de pequeno porte, conforme consta no artigo 3º, parágrafo 3º. Só que a dispensa do DPO não faz com que também seja dispensada a obrigação deles atenderem o titular de dados, bem como a própria autoridade”, evidenciou Abrusio.
Quem deve nomear o encarregado de dados é o agente de tratamento. Ou seja, a figura do controlador. Um dos pontos de discussão sobre essa Resolução, inclusive, quando a norma, no parágrafo 1º do artigo 3º, trata o aspecto “como é que eu nomeio?”. “A nomeação deve se dar através do ato formal no qual conste as formas de atuação e as atividades desempenhadas. Entende-se por ato formal o documento escrito datado e assinado que, de maneira clara e inequívoca, demonstra intenção do agente de tratamento em designar o encarregado uma pessoal natural, jurídica”. Em outras palavras, a nomeação é simples e a preocupação maior é evitar a nomeação de fachada.
Direção da empresa
Sobre a governança, a Resolução da ANPD estabelece que o DPO deve reportar diretamente à alta direção da empresa, o que reforça a sua importância estratégica no processo de tomada de decisões. “Esse posicionamento garante que as questões relacionadas à proteção de dados sejam priorizadas e integradas nas diversas áreas da organização, evitando conflitos de interesses e promovendo uma cultura de compliance”, explicou Raphael Soré.
Um dos principais desafios é que o DPO precisa estar constantemente atualizado sobre as evoluções da legislação e as melhores práticas do mercado. Portanto, a agilidade em responder a incidentes de segurança e a capacidade de adaptação a novas situações são cruciais.
“O papel do DPO agora é visto não apenas como um agente regulador, mas também como um profissional essencial na construção de relações de confiança com clientes e parceiros, onde a transparência no manejo de dados é fundamental”, alertou Juliana Abrusio.
Conflito de interesses
Com a nova resolução, a ANPD especifica as responsabilidades e os requisitos para a nomeação do DPO, estabelecendo critérios que buscam aumentar a eficiência e a transparência na gestão da privacidade e proteção de dados pessoais. Em suma, adequar-se à LGPD não se resume apenas ao cumprimento da lei, mas também à conquista da confiança de consumidores e parceiros comerciais. “Em um mercado cada vez mais atento à importância da privacidade, demonstrar um comprometimento sério com a proteção de dados pode se tornar um diferencial competitivo”, salientou Juliana Abrusio.
O conflito de interesses é uma questão crítica que a nova resolução aborda. O DPO deve garantir que suas atividades não sofram influências externas que possam comprometer sua imparcialidade. Para isso, recomenda-se que as organizações adotem políticas claras que definam a independência do DPO em relação a outras funções, como áreas de marketing ou vendas, onde a manipulação de dados pessoais pode ser mais intensa.
Em conclusão, as diretrizes estabelecidas pela ANPD na Resolução nº 18/2024 não apenas reforçam a importância do DPO nas organizações, mas também enfatizam a necessidade de uma governança robusta e livre de conflitos de interesse. Isso assegura que a proteção de dados pessoais não seja apenas um cumprimento legal, mas uma estratégia essencial para a validação da reputação e integridade das empresas no mercado.
Evento da ANPD
A Autoridade Nacional de Proteção de Dados organizou, no dia 1º de agosto, o 1º Encontro ANPD de Encarregados: Promovendo a Proteção de Dados. A Escola Nacional de Administração Pública (Enap) recebeu o evento, que reuniu representantes dos setores público e privado, na esteira do lançamento da norma sobre o Encarregado pela Autoridade.
O encontro teve como objetivo discutir políticas e práticas relacionadas à proteção de dados pessoais, além de fomentar o compartilhamento de experiências entre os encarregados de proteção de dados. Durante a programação, diversas palestras e painéis abordaram temas cruciais, incluindo a importância da transparência na gestão de dados, o papel do encarregado como facilitador na conformidade das organizações com a LGPD e os desafios enfrentados na implementação de medidas eficazes de segurança da informação.
A programação incluiu quatro painéis abordando o papel do Encarregado nas diversas áreas da proteção de dados. A mesa de abertura contou com a presença do diretor-presidente da ANPD, Waldemar Gonçalves; da diretora executiva da Enap, Natália Teles; e de Lilian Cintra de Melo, secretária de Direitos Digitais do Ministério da Justiça e Segurança Pública.
A representante da Enap destacou a alta demanda pelo evento, afirmando: “Lotamos o auditório e sobrecarregamos o sistema de inscrições. Isso evidencia a relevância do evento e a importância do tema”.
Proteção de Dados, direito constitucional
Para a secretária de Direitos Digitais, a data é uma celebração significativa. “Conquistamos marcos importantes, como a inclusão da proteção de dados como direito fundamental na Constituição e a própria criação da ANPD. Hoje, esse tema atrai um grande número de pessoas, colocando o Brasil no centro da agenda do futuro, em relação à proteção de direitos e ao desenvolvimento econômico e social. Tudo está interligado aos dados”, comemorou.
A ANPD, com sua atuação, deve garantir que as regulamentações não só estejam em vigor, mas que sejam efetivamente respeitadas por empresas e instituições. A transparência na coleta e uso de dados será um pilar central para o fortalecimento da confiança do público nas tecnologias.
Além disso, a secretária mencionou a necessidade de colaboração entre setores público e privado. “A proteção de dados não é uma responsabilidade apenas do governo, mas de todos que atuam no espaço digital. Precisamos de um esforço conjunto para criar um ambiente seguro e ético para todos”, disse. Com isso, o Brasil poderá não apenas proteger seus cidadãos, mas também se posicionar como um líder em boas práticas de governança de dados em nível global.
Diálogo
Por sua vez, Waldemar Gonçalves enfatizou a importância do diálogo com a comunidade de proteção de dados: “Em nossas normas, abrimos todos os canais para a participação social, envolvendo vários especialistas. Na norma do encarregado, recebemos aproximadamente 1.400 contribuições”, declarou.
A diversidade de opiniões recebidas demonstra não apenas o interesse da sociedade em participar do processo, mas também a necessidade de um marco regulatório que reflita as demandas e preocupações dos cidadãos. “A coleta de feedback é fundamental para aprimorar nossas diretrizes, garantindo que estejam alinhadas com as melhores práticas globais”, acrescentou Gonçalves.
Além disso, ele destacou a importância da transparência: “Estamos comprometidos com a construção de um ambiente seguro que proteja os dados pessoais, sem abrir mão da clareza nas ações que executamos”. Este princípio é essencial para estabelecer a confiança entre as entidades reguladoras e a população, que cada vez mais exige um controle mais rigoroso sobre suas informações pessoais.
Desafios
Gonçalves também comentou sobre os desafios que ainda precisam ser enfrentados. “Embora tenha sido um progresso significativo, sabemos que a implementação das novas normas requer um esforço contínuo de educação e capacitação, tanto para os gestores de dados quanto para os titulares”, afirmou. A conscientização acerca da proteção de dados deve ser um esforço conjunto que englobe instituições públicas e privadas.
Na primeira mesa da programação sobre o Regulamento do Encarregado, servidores da ANPD discutiram desafios e oportunidades relacionados à nova norma, mediada por Rodrigo Santana, coordenador-geral de Normatização. Na ocasião, foi enfatizada a importância do encarregado como um elo de comunicação dentro das instituições, e portanto há necessidade de uma mentalidade de aprendizado contínuo.
Responsabilidade
Em seguida, ocorreu a mesa redonda “Papel e Responsabilidades do Encarregado pelo Tratamento de Dados Pessoais”, que abordou a importância dessa figura na implementação da LGPD em empresas e instituições. Mediado pela secretária-geral da ANPD, Núbia Rocha, o encontro proporcionou uma troca de experiências entre encarregados de dados de diversos setores.
Thiago Moraes, encarregado substituto da ANPD, discutiu os desafios de desempenhar essa função em uma instituição jovem e em processo de organização. “Servimos como um exemplo para os demais atores, pois somos um regulador que também se autoavalia. Todas as diretrizes normativas que elaboramos devem ser seguidas rigorosamente por nós também”, explicou.
Marta Medeiros, encarregada do Ministério da Fazenda, compartilhou sua vivência. “A temática da LGPD ainda era muito recente, portanto, os desafios eram significativos. Diante disso, era necessário ter uma grande capacidade de comunicação e articulação, o que foi realizado por meio de campanhas de conscientização interna e colaborações com a ouvidoria”, relatou.
Geraldo Pimenta, encarregado do Sebrae, comentou que, para ele, o maior desafio é implementar uma cultura de proteção de dados pessoais. “Por trás de cada CNPJ, existe pelo menos um CPF. Em 2023, o Sebrae atendeu mais de 34 milhões de pessoas. Diante disso, eu me questiono: como conseguimos inserir um pouco da LGPD em cada um deles?”, provocou.
Raissa Moura, encarregada do Nubank, compartilhou sua experiência em uma empresa do setor financeiro já digital desde o início. “Antes mesmo da LGPD, o setor financeiro já era amplamente regulado. Assim, enfrentamos não apenas o desafio de garantir a conformidade entre as normas, mas também de proteger esse ativo digital que é a vida das pessoas”, relatou.
Incidentes
O 1º Encontro ANPD de Encarregados também contou com o painel “Incidentes de Segurança com Dados Pessoais”. A atividade foi moderada por Fabrício Lopes, coordenador-geral de Fiscalização da ANPD e contou com os seguintes participantes: Cristine Hoppers, gerente geral do CERT.br, mantido pelo Núcleo de Informação e Coordenação do Ponto BR (NIC.br); Guilherme Goulart, consultor em Direito da Tecnologia e Segurança da Informação da Brownpipe; Leonardo Ferreira, diretor de privacidade e segurança da informação do Ministério da Gestão e Inovação em Serviços Públicos (MGI); e Maria Lúcia Valadares, encarregada de proteção de dados da Agência Nacional de Telecomunicações (Anatel).
Fabrício Lopes comentou, na abertura, que a ANPD enxerga a figura do DPO como um auxiliar da ANPD na tarefa de promover a conformidade à LGPD. “Não esperamos que ele, sozinho, resolva todos os problemas de conformidade”, declarou na abertura do painel, enumerando alguns obstáculos no enfrentamento aos incidentes de segurança. “O destaque midiático é certo, qualquer incidente que envolve vazamento prejudica a organização. Por isso, há interesse em criar incidentes que não existem, as motivações dos atacantes estão cada vez mais difusas. É preciso mapear processos e planejar a resposta a incidentes”, explicou.
O preparo
Em seguida, Guilherme Goulart, da Brownpipe, lembrou que nem todos os incidentes de segurança envolvem má-fé: erros humanos, como um e-mail enviado de forma equivocada, podem gerar um incidente. “Não é possível prever e nem controlar todos os riscos. Por isso, o encarregado precisa promover, junto às áreas técnicas, a preparação para incidentes de segurança. Após o incidente, também é fundamental analisar as lições aprendidas”, explanou
Leonardo Ferreira, do Ministério da Gestão e Inovação em Serviços Públicos (MGI), também enfatizou a importância da preparação. “Todos iremos passar por um incidente de segurança. Por isso, é preciso ter maturidade e resiliência para lidar com esses eventos. A equipe de gestão de incidentes deve estar sempre atuante, e não se reunir apenas quando há algum incidente”, defendeu.
Maria Lúcia Valadares, da Agência Nacional de Telecomunicações (Anatel), falou sobre a sua experiência na adequação da instituição à LGPD. “A LGPD é muito interessante, pois descreve boa parte do que as organizações precisam fazer, e eu fui seguindo o caminho. Mas venho de uma instituição privilegiada, que lida com uma infraestrutura crítica, e que, portanto, se preocupa mais com segurança, e nem todas as organizações dão esse valor ao encarregado”, relatou.
Regulação da IA
O painel “Inteligência Artificial e Proteção de Dados Pessoais” finalizou sua programação. Mediado pela diretora da ANPD Miriam Wimmer, o debate trouxe diferentes pontos de vista sobre a regulação da Inteligência Artificial e a relevância do encarregado.
Então, na oportunidade, Tainá Junquilho, professora do Instituto Brasileiro de Ensino, Desenvolvimento e Pesquisa (IDP), destacou o processo de discussão do Projeto de Lei nº 2.338. Essa matéria prevê a alteração de dispositivos legais que regula a proteção dos dados pessoais e a privacidade dos cidadãos. Em suma, o projeto visa garantir um fluxo mais seguro e eficiente de informações, além de estabelecer diretrizes claras para o tratamento de dados por empresas e órgãos públicos.
Votação
Uma das novidades propostas é a criação da ANPD como o órgão regulador. Esse organismo, em síntese, terá a responsabilidade de supervisionar e fiscalizar a aplicação das normas relacionadas à proteção de dados. Trata-se de um órgão que atuará, sobretudo, de forma independente, com poder de aplicar sanções em casos de descumprimento, promovendo uma maior accountability nas ações das entidades que manipulam dados pessoais. “Este é um momento propício para votação dessa matéria, já que estamos na presidência do G20, onde a IA vem sendo amplamente abordada. Não existe uma Inteligência Artificial que beneficie a todos sem uma regulação”, afirmou.
“Então, é muito importante que haja aprovação, vez que o texto está maduro, prevendo direitos, obrigações, níveis de risco, Sistema Nacional de Regulação e Governança de Inteligência Artificial (SIA) e a ANPD como órgão de coordenação do SIA”, acrescentou. “Então, acredito que todas as pessoas que lidam com dados pessoais estão bem esperançosas que haja o fortalecimento da Autoridade Nacional de Proteção de Dados com a aprovação dessa regulação”.
Regulação
A professora Laura Schertel, uma das criadoras da LGPD, reiterou que a legislação já possui dispositivos para lidar com questões de Inteligência Artificial. Como, por exemplo, a proibição de discriminação, em primeiro lugar. Em segundo lugar, destaque para a possibilidade de revisão de decisões automatizadas. Ou seja, ficou claro que a ANPD tem competência para atuar com a tecnologia. “Em suma, a designação da ANPD órgão de coordenação do SIA foi uma decisão acertada. Isso se dá tanto pela abrangência quanto pela expertise em tratar de um tema que é um direito fundamental”, opinou.
A regulação proposta busca promover um ambiente em que a inovação tecnológica ocorra de forma responsável, respeitando a privacidade e os direitos dos cidadãos. A necessidade de supervisão garante que os avanços não comprometam as liberdades individuais e promovam um desenvolvimento que impulsione a inclusão e a equidade.
Além disso, a atuação da ANPD envolve uma série de ações. Entre elas, a elaboração de normas técnicas, a fiscalização do cumprimento da legislação vigente e o fomento à conscientização e à educação digital da população. A colaboração com outras entidades, tanto públicas quanto privadas, é essencial para construir um framework regulatório. O objetivo é atender às dinâmicas rápidas da tecnologia, mas sem deixar de oferecer proteção adequada.
Projeto de Lei nº 2.338
Samara Castro, da Secretaria de Comunicação Social da Presidência da República (Secom), também comentou sobre o modelo de governança apresentado pelo PL 2338. “Não foi fácil estabelecer uma posição unificada dentro do governo, visto que contamos com 19 ministérios que contribuíram. Porém, acreditamos que o modelo atual se aproxima mais do ideal. Isso porque ele valoriza o conhecimento de cada órgão setorial envolvido e integra um órgão central”, explicou.
Representando o terceiro setor, Fernanda Rodrigues, do Instituto Iris, abordou a questão dos vieses discriminatórios no uso da IA. “Existe uma ideia de que mais dados significam melhor qualidade, mas isso não é verdade. Na prática, há uma tendência de agravamento dos vieses discriminatórios e do discurso de ódio”, disse.
Ana Paula Bialer, da Brasscom, concluiu o painel. A representante destacou que o modelo de governança atualmente proposto pelo PL 2338 atende às necessidades do setor empresarial. “Sob a ótica de custos e gestão, é um desafio responder a dois ou três reguladores. Por isso, vemos de maneira positiva a regulação setorial, com um coordenador central”, elogiou.
