Nos últimos anos, a proteção de dados pessoais se tornou um tema central na agenda das organizações, especialmente com a entrada em vigor da Lei Geral de Proteção de Dados (LGPD). Em um mundo digital em rápida evolução, onde tecnologias emergentes, como inteligência artificial (IA) e big data, estão revolucionando o tratamento de dados e apresentando novos desafios à privacidade, o papel do Encarregado de Dados, também conhecido como Data Protection Officer (DPO), emerge como um dos mais críticos para garantir a conformidade e a gestão adequada da privacidade nas empresas.
Recentemente, a Autoridade Nacional de Proteção de Dados (ANPD) emitiu novas diretrizes que reforçam as responsabilidades e os requisitos para o Encarregado de Dados, consolidando-o como figura central na proteção de dados.
O papel vital do Encarregado de Dados/DPO
O Encarregado de Dados é essencial para garantir a conformidade com a LGPD. Ele serve como um elo entre a organização, os titulares dos dados e a ANPD, orientando as práticas de proteção de dados e atuando como um defensor da privacidade dentro da empresa.
Sua nomeação, exigida pela lei para diversas organizações, não é apenas uma formalidade, mas uma posição estratégica que pode impactar profundamente a forma como as empresas gerenciam e protegem as informações pessoais. Com o avanço das tecnologias, o DPO deve estar preparado para enfrentar novos cenários onde o tratamento de dados pessoais é cada vez mais complexo e automatizado.
Novas diretrizes da ANPD: O que mudou?
A ANPD, através de sua recente regulamentação (Resolução CD/ANPD nº 18), trouxe mais clareza sobre as atribuições e requisitos do Encarregado de Dados. Um dos pontos principais é a definição mais precisa de quem deve ser nomeado para a função. Embora a LGPD não especifique detalhes como formação acadêmica ou certificações necessárias, as novas diretrizes destacam a importância de o Encarregado possuir conhecimento técnico e legal suficiente para desempenhar suas funções.
Ela também reforça a necessidade de que o Encarregado tenha autonomia dentro da organização, o que significa que ele deve ser capaz de atuar de forma independente, reportando-se diretamente aos níveis mais altos de gestão. Essa independência é crucial para evitar conflitos de interesses, especialmente em empresas onde o Encarregado também desempenha funções em áreas como segurança da informação ou jurídico.
Com a adoção crescente de tecnologias como IA e big data, a Autoridade enfatiza que o DPO deve estar capacitado para entender e mitigar os riscos associados a essas tecnologias. Isso inclui a avaliação contínua dos impactos dessas inovações na privacidade e a garantia de que as práticas de proteção de dados estejam incorporadas desde a fase de design até a implementação dessas tecnologias.
Qualificações necessárias para o Encarregado no contexto de tecnologias emergentes
As qualificações para um DPO incluem conhecimento jurídico-regulatório em proteção de dados, habilidades de comunicação e liderança, e compreensão das tecnologias que protegem dados. A ANPD recomenda que o DPO tenha autonomia técnica e qualificações profissionais baseadas no contexto, volume e risco das atividades de processamento da organização. Além disso, é crucial que o DPO tenha experiência em avaliação de riscos e saiba como mitigá-los.
No contexto de tecnologias emergentes, o DPO deve ter um entendimento de como algoritmos de IA operam, como os dados são processados em larga escala, e quais são os riscos potenciais para os direitos dos titulares. A habilidade de antecipar e reagir a desafios que essas tecnologias impõem é essencial para manter a conformidade com a LGPD e outras regulamentações internacionais.
Desafios e conflitos de competências
Um dos desafios recorrentes para as organizações é entender como o Encarregado de Dados interage com outras funções internas, especialmente aquelas relacionadas à segurança da informação. O papel do DPO não se limita a garantir a conformidade legal; ele deve adotar uma postura proativa, antecipando e mitigando riscos que possam comprometer a privacidade dos dados.
Enquanto ambas as funções são essenciais para a proteção de dados, suas responsabilidades podem se sobrepor, levando a possíveis conflitos de competência. A nova regulamentação da ANPD sugere que, para evitar tais conflitos, as empresas devem garantir que as atribuições sejam bem delineadas e que haja uma clara divisão de responsabilidades.
Com a introdução de IA e big data, os desafios se multiplicam. O DPO deve colaborar estreitamente com equipes de TI e segurança para garantir que as práticas de proteção de dados sejam embutidas no design das tecnologias emergentes, e não apenas implementadas como uma etapa final. Essa colaboração deve ser contínua, desde a concepção do projeto até a sua execução e manutenção.
Exemplos de conflitos de interesse
Conflitos de interesse podem surgir quando o DPO desempenha tarefas que influenciam a maneira como a organização utiliza dados pessoais. Por exemplo, se o DPO também ocupa um cargo de alta gestão, como CEO, CFO ou Diretor de RH, isso pode levar a um conflito, pois essas posições têm poder de decisão sobre as atividades de processamento de dados. Outro exemplo é quando o DPO é responsável por definir políticas de segurança da informação que ele mesmo deve avaliar, criando uma situação em que ele pode ter que auditar suas próprias decisões.
No cenário de tecnologias emergentes, um potencial conflito de interesse pode ocorrer se o DPO também estiver envolvido na implementação de soluções de IA. Se o DPO for responsável tanto pela escolha da tecnologia quanto pela avaliação de sua conformidade, isso pode comprometer a objetividade necessária para proteger os dados pessoais. É crucial que as organizações identifiquem e gerenciem esses conflitos desde o início para preservar a objetividade e a eficácia do DPO.
Boas práticas para nomear um Encarregado
Para nomear um DPO adequado, as organizações devem seguir estas práticas recomendadas:
- Verificar as qualificações: Certifique-se de que o DPO tenha as qualificações necessárias, incluindo conhecimento jurídico-regulatório e habilidades técnicas, especialmente em tecnologias emergentes.
- Garantir a autonomia: O DPO deve ter a independência necessária para desempenhar suas funções sem interferência.
- Divulgação pública: A identidade e as informações de contato do DPO e de seu substituto devem ser divulgadas publicamente para facilitar a comunicação.
- Avaliar conflitos de interesse: Tanto a organização quanto o DPO devem estar atentos a potenciais conflitos de interesse e tomar medidas para mitigá-los.
- Considerar a terceirização: A nomeação de um DPO externo pode ser uma opção, desde que atenda aos requisitos do papel e tenha o conhecimento necessário sobre as tecnologias usadas pela organização.
A nomeação de um Encarregado de Dados adequado é essencial para garantir a governança da privacidade e a conformidade com a LGPD, especialmente em um cenário tecnológico em constante evolução. As organizações devem adaptar-se às novas diretrizes da ANPD para assegurar a proteção eficaz dos dados pessoais e a privacidade dos indivíduos, fortalecendo assim a cultura de proteção de dados no Brasil.
O papel contínuo da ANPD em guiar e regular a proteção de dados é crucial para que as empresas estejam preparadas para enfrentar as exigências de um ambiente tecnológico em rápida transformação. Com a crescente adoção de IA e big data, a relevância do DPO se intensifica, exigindo um profissional capacitado para enfrentar desafios presentes e futuros, assegurando que a proteção dos dados pessoais permaneça uma prioridade.