21 jul NOVAS DEFINIÇÕES E ORIENTAÇÕES EMITIDAS PELA AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS PARA CUMPRIMENTO DA LGPD
A Autoridade Nacional de Proteção de Dados publicou em seu site um guia de definições e orientações sobre o cumprimento da Lei Geral de Proteção de Dados em nosso país, haja vista a existência de algumas dúvidas quanto à critério de aplicações, definições e atribuição de responsabilidades.
Dentre os principais esclarecimentos e orientações, a ANPD definiu que não existe qualquer base legal para isentar empresas ou pessoas físicas, desde que sujeitas à lei, da obrigação de indicarem Encarregados responsáveis pela “conformação de uma organização, pública ou privada, à LGPD”, ao contrário de outras normas de proteção de dados de outros países.
Estes encarregados podem ser tanto um funcionário da própria empresa, como esta atividade ser exercida por outras empresas.
Além disso, recomendou-se que o encarregado seja indicado por um ato formal, como um contrato de prestação de serviços, um contrato de trabalho, etc. Muito embora a ANPD não tenha especificado, considerando que a lei se aplica também a micro e pequenas empresas e, até mesmo a profissionais liberais agindo sozinhos, entende-se que não há a necessidade, nestes casos, de exclusividade do indicado nesta função, admitindo-se que o funcionário, e mais ainda nos casos de esta função ser exercida por uma empresa, esse indicado possa exercer concomitantemente outras atividades na mesma empresa, ou um único indicado exercer esta atividade para diversas empresas ao mesmo tempo.
No que toca à qualificação profissional do Encarregado, a ANPD orientou no sentido de que a pessoa tenha conhecimentos de proteção de dados e segurança da informação em nível que atenda às necessidades da operação da organização. Assim, entende-se que quanto maior o tamanho da operação de processamento de dados, mais aprofundado deverá ser o conhecimento do encarregado. Ao contrário do dito acima, se a operação da empresa for simples no que toca ao processamento de dados pessoais, pode admitir-se que o encarregado também tenha conhecimentos técnicos mais simplificados. Todavia, será sempre necessário que o Encarregado tenha conhecimento aprofundado sobre as rotinas da empresa, pois tal conhecimento é inerente à sua própria função no que toca ao cumprimento da LGPD.
Um outro aspecto a ser considerado é o de que, assim que escolhido, o encarregado da proteção de dados deve ter seu nome e meios de contato disponibilizados de forma clara e objetiva, preferencialmente no site da empresa.
Por fim, é interessante ressaltar que a ANPD acaba por definir o cumprimento da LGPD como um estado de “estar em conformidade”, o que pode dar margem ao entendimento da LGPD, assim que aplicado à instituição, como uma forma de compliance, no sentido da criação de rotinas e sub-rotinas de trabalho no que tange aos dados pessoais.