O Conselho Diretor da Autoridade Nacional de Proteção de Dados (“ANPD”) aprovou a Resolução ANPD nº 18 em 16 de julho de 2024, detalhando aspectos importantes do papel do Encarregado pelo Tratamento de Dados Pessoais (“Encarregado”).
O Encarregado, também conhecido como Data Protection Officer (“DPO”), é uma figura criada pela Lei Geral de Proteção de Dados Pessoais (“LGPD”). O Encarregado é a pessoa, física ou jurídica, integrante do agente de tratamento ou não, responsável por atuar como um canal de comunicação entre a empresa, os titulares dos dados e a ANPD.
A nomeação de um Encarregado é um dos requisitos para garantir a conformidade com a LGPD. Abaixo, as principais modificações inovações trazidas pela Resolução ANPD nº 18 são listadas abaixo.
Indicação do Encarregado por meio de ato formal. A Resolução dispõe que a indicação do Encarregado deve ser realizada por ato formal do agente de tratamento, do qual constem as formas de atuação e as atividades a serem desempenhadas. O ato formal é um documento escrito, datado e assinado, que demonstre, de maneira clara e inequívoca, a intenção do Agente de Tratamento em designar o Encarregado. Este documento deve ser apresentado à ANPD sempre que solicitado.
Substituto do Encarregado. Uma das novidades trazidas pelo Regulamento é a necessidade de que seja formalmente designado um substituto ao Encarregado nos casos de ausências, impedimentos e vacâncias.
Disponibilização de canal de comunicação aos Agentes de Tratamento de pequeno porte. A Resolução também disciplina que os Agentes de Tratamento de pequeno porte, que são usualmente dispensados de indicar Encarregado (salvo quando realizarem Tratamento de Dados de alto risco), devem ainda assim disponibilizar um canal de comunicação com o titular de dados.
Encarregado de pessoas jurídicas de direito público. Nestes casos, o Encarregado deverá ser preferencialmente um servidor ou empregado público detentor de reputação ilibada. Tal indicação deve ser publicada no Diário Oficial.
Melhores práticas na indicação. A indicação de Encarregado por Operadores é facultativa e será considerada política de boas práticas de governança. Cabe ao agente de tratamento estabelecer as qualificações profissionais necessárias para o desempenho das atribuições do Encarregado, considerando o contexto, o volume e o risco das operações de tratamento realizadas.
Identidade e informações de contato. O agente de tratamento deverá divulgar publicamente, em local de destaque e fácil acesso no seu sítio eletrônico, a identidade e as informações de contato do Encarregado. Devem ser apresentados, no mínimo, (i) nome completo, em caso de pessoa natural; ou nome empresarial / título do estabelecimento + nome completo da pessoa natural responsável, em caso de pessoa jurídica; e (iii) informações referentes aos meios de comunicação que viabilizem o exercício dos direitos dos Titulares e possibilitem o recebimento de comunicações da ANPD.
Deveres do agente de tratamento: (i) prover os meios necessários para o exercício das atribuições do Encarregado, neles compreendidos, entre outros, recursos humanos, técnicos e administrativos; (ii) solicitar assistência e orientação do Encarregado quando da realização de atividades e tomada de decisões estratégicas referentes ao tratamento de dados pessoais; (iii) garantir ao Encarregado a autonomia técnica necessária para cumprir suas atividades, livre de interferências indevidas, especialmente na orientação a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; (iv) assegurar aos titulares meios céleres, eficazes e adequados para viabilizar a comunicação com o Encarregado e o exercício de direitos; e (v) garantir ao Encarregado acesso direto às pessoas de maior nível hierárquico dentro da organização, aos responsáveis pela tomada de decisões estratégicas que afetem ou envolvam o tratamento de dados pessoais, bem como às demais áreas da organização.
Atividades do Encarregado. Dentre as atividades a serem exercidas pelo Encarregado, destacam-se as seguintes:
(i) aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências cabíveis;
(ii) receber comunicações da ANPD e adotar providências para o atendimento da solicitação e para o fornecimento das informações pertinentes, como encaminhar internamente a demanda para as unidades competentes, fornecer a orientação e a assistência necessárias ao agente de tratamento e indicar o representante do agente de tratamento perante a ANPD para fins de atuação em processos administrativos, quando esta função não for exercida pelo próprio Encarregado.
(iii) orientar os funcionários e os contratados do agente de tratamento a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;
(iv) prestar assistência e orientação ao agente de tratamento relacionadas ao registro e comunicação de incidente de segurança, registro das operações de tratamento de dados pessoais; relatório de impacto à proteção de dados pessoais; mecanismos internos de supervisão e de mitigação de riscos; medidas de segurança, técnicas e administrativas, aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito; processos e políticas internas que assegurem o cumprimento da LGPD; dentre outros;
(v) executar as demais atribuições determinadas pelo agente de tratamento ou estabelecidas em normas complementares.
Responsabilidade perante a ANPD. O desempenho das atividades e das atribuições do Encarregado não lhe confere a responsabilidade, perante a ANPD, pela conformidade do tratamento dos dados pessoais realizado pelo controlador.
Conflito de interesse. O Encarregado pode acumular funções e exercer as suas atividades para mais de um agente de tratamento, desde que seja possível o pleno atendimento de suas atribuições relacionadas a cada agente de tratamento e inexista conflito de interesse. Conflitos de interesse podem surgir:
(i) entre as atribuições exercidas internamente em um agente de tratamento ou no exercício da atividade de Encarregado em agentes de tratamento distintos; ou
(ii) com o acúmulo das atividades de Encarregado com outras que envolvam a tomada de decisões estratégicas sobre o tratamento de dados pessoais pelo controlador, ressalvadas as operações com dados pessoais inerentes às atribuições do Encarregado.
Obrigações relacionadas ao conflito de interesse. Para mitigar esse risco, o Encarregado deve declarar qualquer situação potencial de conflito ao agente de tratamento, assegurando a transparência e veracidade das informações fornecidas. Caso seja identificado um conflito de interesse, medidas corretivas devem ser adotadas pelo agente de tratamento, que pode optar por não indicar o Encarregado, implementar medidas para mitigar o conflito, ou substituir o Encarregado designado. A não observância dessas diretrizes pode acarretar sanções.
A equipe de Compliance e Proteção de Dados do FreitasLeite está à disposição para prestar maiores esclarecimentos relacionados às novas alterações promovidas pela Resolução ANPD nº 18.
