Governo veta a nomeação de gestor ou funcionário de TI para DPO nos órgãos públicos

A secretaria de Governo Digital revogou a Instrução Normativa DEGDI nº 100, de 19 de outubro de 2020, que definia o modelo de nomeação do Encarregado pelo tratamento dos dados pessoais nos órgãos públicos e publicou nesta sexta-feira, 20 de novembro de 2020, uma nova IN, com mudanças na definição de quem vai ocupar a função.

A principal delas: esse funcionário não pode ser o gestor dos sistemas de TI tampouco trabalhar na área de TI.

A IN determina ainda que o DPO a ser nomeado – com a nova IN foi dado um prazo de 30 dias – que o DPO deverá possuir conhecimentos multidisciplinares essenciais à sua atribuição, preferencialmente, os relativos aos temas de: privacidade e proteção de dados pessoais, análise jurídica, gestão de riscos, governança de dados e acesso à informação no setor público. Os requisitos e procedimentos para a indicação dos encarregados de cada órgão constam na Instrução Normativa SGD/ME nº 117 publicada no Diário Oficial da União.

O “Encarregado” está previsto na Lei Geral de Proteção de Dados Pessoais, Lei 13.709/18, e irá atuar como canal de comunicação entre os órgãos, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD), quanto à aplicação das práticas necessárias à garantia da privacidade do cidadão e da proteção de seus dados pessoais. Os órgãos terão prazo de 30 dias para indicar o responsável pelo tratamento das informações.

“Ao detalharmos a função do Encarregado nos órgãos federais, buscamos um governo mais confiável e integrado, como prevê a Estratégia de Governo Digital 2020-2022, ”, diz Luis Felipe Monteiro, secretário de Governo Digital. “Foi esclarecedor ouvirmos os gestores de tecnologia dos órgãos, ouvidores e também os membros da ANPD para definir de forma adequada as orientações da portaria publicada hoje”, complementa.  

Para que se evite situações de conflito de interesses, o Encarregado indicado pelo órgão não deve estar lotado nas unidades de Tecnologia da Informação (TI) ou ser gestor de sistemas da entidade. O indicado deve possuir conhecimentos essenciais às suas atribuições, unindo, preferencialmente, as áreas de gestão de privacidade e proteção de dados pessoais, análise jurídica, gestão de riscos, governança de dados e acesso à informação no setor público.  

“Reconhecemos a complexidade de encontrar o profissional ideal dentro dos órgãos. A LGPD foi uma conquista da sociedade brasileira e a sua implementação é um desafio para todos nós, tanto do setor público quanto privado”, afirma o diretor do Departamento de Governança de Dados e Informações, Mauro Sobrinho.

Ainda segundo o normativo, os órgãos deverão assegurar ao Encarregado o acesso direto à alta administração, além de apoio das unidades administrativas no atendimento das solicitações de informações relacionadas ao tratamento de dados pessoais. Compete às entidades, ainda, a capacitação constante das equipes quanto aos temas de privacidade e proteção de dados pessoais. 

As indicações dos Encarregados realizadas pelos órgãos com base nas regras previstas na Instrução Normativa DEGDI nº 100 continuam mantidas. Porém, com a edição do normativo publicado hoje, a IN de 19 de outubro de 2020 fica revogada. 

* Com informações do ME