Tomada de subsídios sobre o DPO: Bloco 1, Pergunta 8

Hoje é dia 1º de abril, mas o que vou indicar abaixo a respeito da “Tomada de subsídios sobre o DPO” que vem sendo realizada pela ANPD não é mentira – “é verdade esse bilete”! Já publiquei anteriormente minhas respostas à Pergunta 2 e às Perguntas 3 e 4 do Bloco 1. Hoje é dia de falar sobre a Pergunta 8.

Bloco 1, Pergunta 8: Existe algum limite para a determinação de atribuições por parte do controlador ao encarregado? Justifique.

O inciso IV do § 2º do art. 41 da LGPD fala que o EPD irá exercer “outras funções designadas pelo controlador.” A despeito desta previsão, é importante indicar que o agente de tratamento deverá atribuir ao EPD atividades que não impliquem em tomada de decisões sobre atividades de tratamento.

Para além disso, o agente de tratamento precisa garantir que o EPD irá definir as suas prioridades conforme as “boas práticas da proteção de dados”, de acordo com o indicado no inciso III, não cabendo ao agente de tratamento definir quais serão estas boas práticas a serem analisadas pelo EPD.

Por outras palavras, e em termos práticos, imagine-se a situação em que um agente de tratamento queira estabelecer uma política de segurança da informação. Ele (agente de tratamento) poderá optar por seguir o padrão da família ISO 27000, especificamente ISO 27001 e ISO 27701.

Ao envolver o EPD no processo, este poderá eventualmente indicar que os controles da ENISA ou do NIST são melhores para os objetivos estabelecidos pelo agente de tratamento. Caberá então ao agente de tratamento, fundamentando-se nos seus objetivos próprios e nas recomendações do EPD, decidir que padrão utilizará para criar tal política.

Outra situação poderá ocorrer, por exemplo, quando o EPD percebe a ausência de uma política de segurança da informação e propõe, por si próprio, um texto referente a tal política utilizando-se o padrão ISO 27001-27701, mas o agente de tratamento poderá optar por seguir as instruções do NIST, não aproveitando o trabalho do EPD.

Por último, destaca-se que o agente de tratamento não deverá definir as prioridades das atividades a serem desenvolvidas pelo EPD: é responsabilidade única deste último decidir, com base no nível de risco ao titular, se analisa em primeiro lugar, por exemplo, alguns pedidos de exercício de direitos feitos pelos titulares ou um RIPD recentemente feito pelo agente de tratamento.

Esta decisão do EPD precisará ser fundamentada até mesmo devido às responsabilidades que são intrínsecas à função: novamente refere-se aqui ao inciso III, que não deve nunca ser entendido como garantia de “total liberdade” ao EPD, mas sim atribuição de responsabilidades também à pessoa que exerce tal função.


Você concorda ou discorda?

E você, o que pensa a respeito desta pergunta? Quais seriam as suas contribuições para esta pergunta da tomada de subsídios sobre o DPO? Quais são suas sugestões considerando-se as atribuições do encarregado? Deixe abaixo seus comentários e participe!

4 comentários em “Tomada de subsídios sobre o DPO: Bloco 1, Pergunta 8”

  1. Boa tarde Professor Matheus, concordo que o EPD é um agente orientador que suas atribuições devem prosseguir nesse âmbito sempre de orientação das melhores práticas de proteção de dados em prol dos titulares.
    O EPD deve ser considerado um agente facilitador que no âmbito do melhor conhecimento deve decidir a cerca do cronograma de atenção e tensão no processo de adequação atinentes a sua responsabilidade, mas nunca como ditador, a final de contas que manda é o dono da empresa.

  2. Olá professor, bom dia.
    Concordo 100% com suas ponderações a apontamentos.
    Não atoa, defendo que o EPD deve ter, além de conhecimento em LGPD, conhecimento acerca do negócio da empresa que assessora. Isso permitirá que ele consiga definir os melhores caminhos e orientar acerca das melhoras práticas.
    Porém, isso não retira do controlador a possibilidade de discordar e seguir “outro caminho”.

    Correto?

    • Olá Walter. É exatamente esta a ideia: por um lado, o EPD deverá ter o conhecimento necessário para fazer suas recomendações e atuar com a devida liberdade e autonomia. Por outro, o controlador é livre para seguir – ou não – a orientação do EPD, também com a devida liberdade e autonomia. Pelo menos é assim que vejo e é assim que atuo na minha prática diária.

Os comentários estão encerrado.