ANPD aprova norma sobre a atuação do Encarregado pelo Tratamento de Dados Pessoais
A Autoridade Nacional de Proteção de Dados (ANPD) divulgou o regulamento que trata da atuação do Encarregado pelo Tratamento de Dados Pessoais. Essa norma publicada no Diário Oficial da União foi anunciada pelo Diretor-Presidente, Waldemar Gonçalves, durante um evento no Rio de Janeiro, na conferência “Computer Privacy and Data Protection para a América Latina” (CPDP LatAm).
O Encarregado é uma figura criada pela Lei Geral de Proteção de Dados Pessoais (LGPD). Sua função é intermediar entre o titular dos dados, o agente de tratamento e a ANPD. Além disso, ele tem a responsabilidade de orientar a organização em que trabalha sobre as melhores práticas no tratamento de dados.
O regulamento detalha diversos aspectos do papel do Encarregado, incluindo a divulgação de sua identidade e informações de contato, os deveres dos agentes de tratamento e as situações de conflito de interesse. Essa regulamentação visa proporcionar maior segurança jurídica às operações de tratamento de dados e reflete as demandas da sociedade. Durante o processo de regulamentação, houve várias etapas de participação social, como Tomada de Subsídios, Consulta Pública e Audiência Pública. A área técnica analisou quase 1200 contribuições de mais de 200 pessoas.
O Diretor-Presidente destacou a importância de detalhar o papel do Encarregado, visto que ele desempenha um papel fundamental na garantia do direito fundamental à proteção dos dados pessoais. Essa função contribui para consolidar uma cultura de proteção de dados no Brasil, incentivando a transição de acordos orais para compromissos escritos nas práticas de negócios.
Dentre os itens formalizados no documento, cabe destacar especial atenção ao que segue:
- Requisitos para ser um Encarregado de Dados Pessoais:
O regulamento não mencionou qualquer critério objetivo para o desempenho da função, porém, é necessário observar as suas qualidades profissionais, e, principalmente, seus conhecimentos relativos à disciplina de privacidade e proteção de dados, bem como aqueles necessários para o desempenho das suas atribuições.
Também não foi estabelecido qualquer requisito em relação a nacionalidade do Encarregado, restando apenas a ressalva para que o profissional consigo atender os titulares brasileiros com clareza e em língua portuguesa.
- Indicação de Encarregado por Ato Formal:
A cláusula terceira do regulamento determina que o encarregado dever ser nomeado por meio de ato formal, ou seja, através de documento devidamente assinado pelos responsáveis no controlador;
- A indicação deve ser publicada por veículo de comunicação oficial:
Não basta apenas nomear o encarregado, mas também levar essa indicação a público, a fim de cumprir com os requisitos de transparência trazidos pela legislação. A indicação do encarregado por operador será facultativa, sendo considerada como medida de boas-práticas;
- A identidade e informações de contato do Encarregado devem ser disponibilizadas nos sítios eletrônicos:
O controlador deverá disponibilizar as informações do encarregado em seu sítio eletrônico, seja esse um site ou paginas em redes sociais, políticas de privacidade publicadas, etc. As informações devem ser disponibilizadas de forma clara, precisa, e em local destacado para fácil acesso. Caso o agente de tratamento não possua um sitio eletrônico, deverá disponibilizar a informação no meio de comunicação que tiver disponível.
- Garantias garantidas pelo agente de tratamento ao encarregado de dados:
O Agente de Tratamento (A Empresa), deverá garantir ao profissional que desempenhe a função de Encarregado de Dados (DPO) da empresa:
- Prover os meios necessários para o exercício das atribuições do encarregado, neles compreendidos recursos humanos, técnicos e administrativos;
- Proporcionar ao encarregado autonomia técnica e acesso à alta administração da organização, para o melhor desempenho de suas atividades;
- Prover meios de atendimento humanizados do encarregado com o titular de dados e com a ANPD.
Cabe ressaltar a atenção dada pelo legislador para a independência e disponibilização de recursos ao Encarregado de Dados, a fim de mitigar eventos de conflito de interesse para a função.
- O Encarregado pode ser Funcionário ou Prestador de Serviços:
Ao agente de tratamento é permitida a nomeação de um Encarregado que já seja seu colaborador, observado o pleno atendimento do DPO e possíveis acréscimos salariais pelo acumulo de funções, além de atenção ao acumulo que possa caracterizar o conflito de interesse, caso em que o controlador deverá proceder com a correta substituição do profissional.
Também é permitido ao Agente de Tratamento a nomeação de um Encarregado de Dados através do contrato de prestação de serviços, inclusive na modalidade DPO as a Service – DPOaas (Encarregado de Dados como Serviço), que consiste na prestação de serviços de consultoria por equipe especializada, assumindo as atribuições do Encarregado nomeado em nome do Agente.
Apesar de autorizar o acumulo função, a opção não é recomendada, tendo em vista a capilaridade de temas e volume de demandas que o cargo pode exigir em uma empresa, conforme itens abaixo:
“ Art. 15. As atividades do encarregado consistem em:
I – Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
II – Receber comunicações da ANPD e adotar providências;
III – Orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
IV – Executar as demais atribuições determinadas pelo agente de tratamento ou estabelecidas em normas complementares.
Art. 16. São atribuições complementares do encarregado, sem prejuízo das que poderão ser estabelecidas pelo agente de tratamento nos termos do inciso IV do art. 15 deste Regulamento, orientar o agente de tratamento nas seguintes atividades:
I – Elaboração da comunicação de incidente de segurança com dados pessoais;
II – Elaboração do registro das operações de tratamento de dados pessoais;
III – elaboração do Relatório de Impacto à Proteção de Dados Pessoais;
IV – Identificação e análise de risco relativo ao tratamento de dados pessoais;
V – Definição de medidas de segurança, técnicas e administrativas, aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito;
VI – Implementação da Lei nº 13.709, de 2018, dos regulamentos da ANPD e na adoção de melhores práticas para proteção de dados pessoais;
VII – análise de cláusulas contratuais com terceiros que versem sobre proteção de dados pessoais;
VIII – transferências internacionais de dados, realizadas nos termos do art. 33, da Lei nº 13.709, de 2018; e
IX – Formulação e implementação de regras de boas práticas e de governança e de programa de governança em privacidade, nos termos do art. 50 da Lei nº 13.709, de 2018.” O regulamento representa um importante passo para a formalização da função do Encarregado de Dados no ambiente de tratamento estabelecido em território brasileiro. A presença de profissionais capacitados para o exercício das atribuições dispostas no Regulamento aprovado é necessária para manutenção da conformidade e segurança das operações realizadas com dados pessoais de titulares pelos agentes de tratamento, e, por consequência, do próprio patrimônio empresarial e público