O Papel do DPO no Descarte de Hardware: responsabilidade compartilhada pós-Lei 13.709/2018.

Você aprova a renovação do parque de notebooks e, de repente, dezenas de equipamentos começam a circular entre caixas, elevadores e docas. É o tipo de momento em que dados pessoais ficam mais expostos. Quem garante que a eliminação será segura e auditável? Na prática, essa orquestração passa pelo DPO (Encarregado), figura exigida pela LGPD e detalhada pela ANPD — mas o sucesso depende de responsabilidade compartilhada com TI, Facilities, Compras e fornecedores

1) O que a LGPD e a ANPD dizem sobre o DPO

• Obrigatoriedade e divulgação: o controlador deve indicar um encarregado e publicar seus contatos de forma clara (art. 41). A ANPD reforça que a nomeação é do controlador e que os contatos devem estar disponíveis ao público; não há exigência de certificação específica. Planalto+1

  
  

• Atribuições: recepcionar demandas de titulares e comunicações da ANPD, orientar a organização e promover boas práticas. O Guia Orientativo da ANPD descreve a atuação e traz modelos de nomeação. Serviços e Informações do Brasil+2Serviços e Informações do Brasil+2

2) Responsabilidade compartilhada (quem faz o quê - Papel do DPO no Descarte de Hardware)

• DPO (Encarregado): aprova a política de descarte de TI, valida bases legais e prazos de retenção, exige provas (cadeia de custódia, CDF, logs de wipe) e conduz respostas à ANPD em caso de incidente. Serviços e Informações do Brasil

• TI: inventaria ativos, define métodos de eliminação (wipe sanitizado/destruição física) e gera logs e relatórios.

• Facilities/Projetos: janelas, acessos, rotas e salas controladas.

• Compras/Jurídico: cláusulas LGPD e SLA com fornecedores (prazos para coleta e emissão de CDF).

• Fornecedor especializado: executa coleta/transporte/processamento, emite Termo de Cadeia de Custódia e CDF por lote.

• Gestão/ESG: consolida indicadores (desvio de aterro, reciclagem) e arquiva o dossiê.

3) Política de descarte de TI (os 7 itens que o DPO deve exigir)

• Âmbito e papéis (controlador/operador, responsável técnico). Planalto

• Base legal e prazos (eliminação ao fim do tratamento; critérios de guarda). Portal da Câmara dos Deputados

• Inventário mínimo (asset tag, número de série/IMEI, status de criptografia).

• Método de eliminação (wipe com logs e amostragem ou destruição física com rastreio).

• Cadeia de custódia (etiqueta única, lacre, fotos, timestamps, assinaturas).

• Documentos de prova: CDF com método, séries, data, local e responsável; anexos (logs/fotos/planilha).

• RIPD quando cabível (avaliação de impacto) e registro de operações — a ANPD pode solicitar.

4) Do escritório ao destino final: o fluxo que o DPO valida

Pré-coleta → inventário + lacre + fotos + check-out de origem (assinado).

Transporte → manifesto de carga, rota, check-in/out com hora/local.

Processamento → wipe com logs ou destruição física por série; área controlada.

Conciliação → inventário × lote processado; tratamento de exceções.

Encerramento → CDF por lote + dossiê (Termo de Custódia, fotos, logs, planilhas).

O DPO homologa o dossiê e verifica a aderência à política e à LGPD/ANPD

5) Controles e indicadores (o que sustenta auditorias)

• Rastreabilidade 100% (séries conciliadas).

• SLA do CDF (ex.: D+2 após processamento).

• Taxa de exceções/NCs (<2%).

• Registro e arquivamento por lote (prazos alinhados à política de retenção).Esses itens convertem “promessas” em provas rastreáveis para auditorias internas e externas.

6) “Checklist do DPO” para descarte de hardware (pronto para colar na política)

• ( ) Política publicada, contatos do DPO divulgados (art. 41). Planalto+1

• ( ) Inventário e cadeia de custódia definidos (formulários/modelos).

• ( ) Métodos de eliminação e critérios de prova (logs, fotos, CDF) padronizados.

• ( ) Cláusulas LGPD e SLA contratual com fornecedor (coleta e CDF).

• ( ) Critérios de RIPD e registro de operações (quando aplicável). Ministério de Minas e Energia

• ( ) Plano de resposta a incidentes e front de comunicação com a ANPD.

Quer transformar o descarte de hardware em um processo auditável, alinhado à ANPD e à LGPD? Peça um orçamento com política implementada, cadeia de custódia e CDF por lote.