top of page

O Regulamento do Encarregado

  • mayra975
  • 22 de ago. de 2024
  • 4 min de leitura

ree

Em julho de 2024, a Autoridade Nacional de Proteção de Dados (ANPD) publicou a Resolução CD/ANPD nº. 18, que aprova o Regulamento sobre a atuação do Encarregado pelo tratamento de dados pessoais. Este Regulamento é um marco fundamental para os profissionais que atuam na proteção de dados, pois estabelece diretrizes claras quanto à indicação, identificação, atribuições e demais procedimentos relativos ao Encarregado. 


A seguir, apresentamos uma análise dos principais aspectos do Regulamento, acompanhada de algumas orientações práticas. 


Indicação e identificação do Encarregado 


Indicação  


  • O Regulamento determina que a indicação seja feita por ato formal do agente de tratamento (controlador ou operador), por meio de um documento escrito, datado e assinado, contendo inclusive as atribuições e atividades que serão desempenhadas pelo Encarregado. 


  • No caso de o Encarregado ser uma pessoa física, um substituto ou suplente deve ser indicado, também formalmente, para situações de impedimento, vacância ou ausência do Encarregado (Dica DTA: pode ser conveniente aproveitar o mesmo ato formal para indicar tanto o Encarregado quanto o respectivo substituto). 


  • Agentes de tratamento de pequeno porte são dispensados de indicar Encarregado, mas devem disponibilizar um canal de comunicação com os titulares de dados. 


Características do Encarregado 


  • O Encarregado pode ser uma pessoa natural ou jurídica, integrante do quadro organizacional do agente de tratamento ou externa a ele (e.g., DPO as a service). 


  • O Encarregado deve ser capaz de se comunicar com titulares e com a ANPD, de forma clara e precisa, em língua portuguesa (Dica DTA: multinacionais sujeitas à LGPD devem assegurar que o Encarregado designado em todas as sociedades do grupo domine a língua portuguesa, sob pena de violação do Regulamento).  


Informações sobre a identidade e contato do Encarregado 


Para garantir a transparência e facilitar a comunicação entre os titulares de dados e o Encarregado, o Regulamento estipula que as seguintes informações de contato e de identidade do Encarregado sejam publicamente disponibilizadas: 


  • Se o Encarregado for pessoa natural, deve, então, ser divulgado o nome completo do Encarregado. 


  • Se o Encarregado for pessoa jurídica, deve, então, ser divulgado o nome empresarial ou título de estabelecimento da entidade que desempenha a função de Encarregado, além do nome da pessoa natural responsável dentro da organização. 


O Regulamento não especifica quais informações de contato (e-mail, telefone, endereço etc.) devem ser divulgadas, mas enfatiza que os dados publicados devem viabilizar o exercício dos direitos dos titulares e o recebimento de comunicações da ANPD. (Dica DTA: a divulgação apenas do telefone pode ser insuficiente para cumprir o Regulamento, já que o telefone pode ser inadequado para o recebimento de comunicações escritas dos titulares ou da ANPD. Se o objetivo for adotar um único meio de contato, seria recomendável restringir ao e-mail do Encarregado).  


As informações sobre identidade e contato do Encarregado devem ser publicadas em local de destaque e fácil acesso, no website oficial do agente de tratamento, exceto se o agente não possuir sítio eletrônico, oportunidade em que as informações devem ser divulgadas em outros meios usualmente utilizados para contato com os titulares (e.g., materiais de divulgação institucional).  


Atribuições e autonomia  


O Regulamento ainda detalha as principais atribuições do Encarregado, adicionando atividades àquelas já previstas no Artigo 41 da LGPD: 


  • aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências cabíveis; 

 

  • receber comunicações da ANPD e adotar providências; 

 

  • orientar os funcionários e os contratados do agente de tratamento a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;  

 

  • executar as demais atribuições determinadas pelo agente de tratamento ou estabelecidas em normas complementares, e; 

 

  • prestar assistência e orientação na elaboração, definição e implementação de registros e comunicação de incidentes, RoPA, RIPD, mecanismos internos de supervisão e mitigação de riscos, medidas de segurança, processos e políticas que assegurem o cumprimento da LGPD e dos regulamentos e orientações da ANPD, contratos relacionados a dados pessoais, transferências internacionais de dados, regras de boas práticas e de governança em privacidade, produtos e serviços que adotem padrões de design compatíveis com os princípios da LGPD e outras atividades e decisões referentes ao tratamento de dados pessoais. 


O Encarregado deve receber os recursos humanos, técnicos e administrativos para o desempenho das atribuições, atuar sempre com autonomia técnica e ter acesso às pessoas responsáveis pelas decisões estratégicas da organização, premissas que devem ser sempre asseguradas pelo agente de tratamento que o designar. 


Dica DTA: Embora o Regulamento e a LGPD não exijam formação ou certificação específicas do Encarregado, recomendamos fortemente que o Encarregado tenha comprovado conhecimento no tocante à legislação de proteção de dados, evitando, assim, que seja questionada pela ANPD a respectiva capacidade de cumprir as atribuições legais. 


Conflito de interesse 


O Regulamento reconhece que o conflito de interesses pode ocorrer tanto por conta das atribuições internas exercidas em um mesmo agente de tratamento quanto por conta da atuação cumulativa em diferentes agentes de tratamento. 


Especialmente, o Regulamento prevê a hipótese de conflito de interesse oriunda do acúmulo das atividades de Encarregado com outras que envolvam a tomada de decisões estratégicas (Dica DTA: Neste aspecto, recomendamos que o Encarregado nunca seja também o responsável final por departamento da organização que trate dados pessoais, por exemplo: que o Encarregado não acumule a função de Diretor de RH ou de CTO).  


Cabe ao agente de tratamento analisar potencial conflito de interesse quando da escolha e designação do Encarregado, assim como ao longo da atuação do Encarregado. Contudo, o Regulamento também impôs ao Encarregado o dever de declarar ao agente de tratamento possíveis conflitos de interesse. 


Responsabilidade pela conformidade 


O Regulamento reforça que o Encarregado não é responsável pela conformidade do tratamento de dados pessoais realizado pela organização que o designou.  


Conclusão 


A publicação da Resolução CD/ANPD nº. 18, de 16 de julho de 2024, trouxe regulamentação adicional sobre a designação e atuação do Encarregado pelo tratamento de dados pessoais no Brasil, impondo obrigações que devem ser observadas por agentes de tratamento que pretendem estar em constante conformidade com a legislação. 

 

Comentários

bottom of page