O que é um responsável pela proteção de dados pessoais?
É a pessoa cuja função é aconselhar na formulação, projeto e aplicação de políticas de Proteção de Dados Pessoais, supervisionar o cumprimento dos regulamentos e propor as medidas que considere relevantes para se adaptar aos regulamentos e normas internacionais sobre o assunto.
Marco Regulatório
De acordo com as disposições do Artigo 40 da Lei No. 19.670 de 15 de outubro de 2018 e do Decreto 64/020 que regulamenta os Artigos 37 a 40 da lei, as seguintes entidades são obrigadas a nomear um delegado:
- Público, estatal ou não estatal.
- Privado, total ou parcialmente estatal.
- Entidades privadas que processam dados sensíveis como seu principal negócio.
- Aqueles que processam grandes volumes de dados.
Considera-se grande processamento de dados qualquer atividade que envolva o processamento de dados pessoais de mais de 35.000 indivíduos.
A Unidade de Controle e Regulamentação de Dados Pessoais (URCDP), seja de ofício ou mediante solicitação, pode decidir sobre a relevância de uma entidade privada ter um responsável pela proteção de dados.
Deveres dos delegados
O delegado será responsável pelas seguintes funções:
- Aconselhar sobre a formulação, projeto e implementação de políticas de Proteção de Dados Pessoais. Por exemplo, intervir conforme necessário na elaboração de contratos de serviços com processadores de dados, redigir as cláusulas necessárias para os formulários ou procedimentos da entidade, redigir a política de privacidade e treinar o pessoal, entre outros.
- Supervisionar o cumprimento dos regulamentos em sua organização. Por exemplo, registrando ou atualizando os registros do banco de dados da entidade, tendo os consentimentos correspondentes, realizando avaliações de impacto para garantir o cumprimento dos princípios, entre outros.
- Propor todas as medidas que julgar apropriadas para se adaptar aos regulamentos e normas internacionais sobre Proteção de Dados Pessoais. Por exemplo, recomendar a adoção de protocolos, a melhoria dos processos e a adoção de certas medidas de segurança, entre outras.
- Aja como um elo de ligação entre sua entidade e a URCDP. Por exemplo, apresentar consultas ao órgão fiscalizador ou chamar a atenção para estas situações que o justifiquem, manter-se atualizado com o treinamento e atualizar os processos da pessoa responsável, aplicável, entre outras tarefas.
Posição do Delegado
O responsável pela proteção de dados pessoais pode ser um membro do pessoal do controlador ou do processador ou desempenhar suas funções através de qualquer outra forma contratual, quer envolva ou não dependência.
Envolvimento do oficial nas atividades do controlador ou processador
O controlador ou processador deve garantir a devida participação do responsável pela proteção de dados pessoais em todas as instâncias que se relacionam com questões de proteção de dados pessoais.
É necessário que o delegado seja apoiado no desempenho de suas funções e deve ter pleno acesso aos dados pessoais e às operações de processamento realizadas sobre eles.
Também é importante que ele não receba instruções no desempenho de suas funções específicas, e possa agir com total autonomia técnica.
Finalmente, o delegado pode desempenhar outras funções e deveres desde que não surja nenhum conflito de interesses.
Termo de nomeação
Quando for necessário nomear um responsável pela proteção de dados pessoais, isto deve ser comunicado à Unidade de Controle e Regulamentação de Dados Pessoais (URCDP) dentro dos 90 dias após o início do processamento.
No Grupo Heaven’s temos o serviço de Delegado de Proteção de Dados Pessoais, quem o aconselhará sobre o cumprimento e as medidas necessárias para estar em conformidade com os regulamentos atuais de proteção de dados pessoais.