Em linha com a Lei Geral de Proteção de Dados (LGPD – Lei nº 13.709/18), a Autoridade Nacional de Proteção de Dados (ANPD) publicou o regulamento sobre a atuação do encarregado pelo tratamento de dados pessoais (Resolução CD/ANPD nº 18/2024 – Regulamento).
O que faz o encarregado pelo tratamento de dados pessoais?
O encarregado é uma figura criada pela LGPD e é responsável por atuar como canal de comunicação entre o agente de tratamento, os titulares dos dados e a ANPD.
Quais os impactos do novo Regulamento? Quem deve indicar encarregados?
O Regulamento determina que a indicação de um encarregado pelo tratamento de dados pessoais é:
- obrigatória para controladores e
- facultativa para operadores.
Na prática, muitos agentes de tratamento atuam como controladores e operadores simultaneamente, em razão de suas diferentes atividades de tratamento de dados pessoais. O tratamento de dados de empregados/colaboradores, por exemplo, geralmente envolve atuação como controlador. Com isso, a tendência é de que a dispensa de indicação do encarregado siga sendo exceção à regra.
Os agentes de tratamento de pequeno porte seguem desobrigados de indicar encarregado, mas devem disponibilizar um canal de comunicação com o titular de dados.
Como indicar o encarregado?
A indicação do encarregado deve ser realizada por ato formal:
- escrito, datado e assinado;
- que demonstre a intenção do agente de tratamento de maneira clara e inequívoca; e
- que conste as formas de atuação e as atividades a serem desempenhadas.
Em caso de substituição do encarregado, o substituto também deverá ser formalmente indicado.
O agente de tratamento deverá divulgar o nome completo e informações de contato do encarregado em local de destaque e de fácil acesso em seu site. A exigência aplica-se inclusive à pessoa responsável, no caso de encarregado que seja pessoa jurídica.
Quem pode ser indicado como encarregado?
- O encarregado poderá ser pessoa natural ou pessoa jurídica. Reforça-se, portanto, a possibilidade de terceirização dos serviços de encarregado (por exemplo, o denominado “DPO as a service”).
- Não é necessária qualquer certificação ou formação profissional específica para o exercício da função.
- O encarregado deverá ser capaz de se comunicar com os titulares e com a ANPD de forma clara e precisa e em língua portuguesa.
Ao indicar o encarregado, o agente de tratamento de dados também deve considerar os conhecimentos sobre a legislação de proteção de dados pessoais, bem como o contexto, o volume e o risco das operações de tratamento realizadas.
Quais são os novos deveres dos agentes de tratamento?
Em complemento às obrigações previstas na LGPD, o Regulamento determinou novos deveres para os agentes de tratamento, incluindo:
- prover os meios necessários para o encarregado exercitar suas atribuições;
- solicitar assistência e orientação do encarregado para atividades e tomada de decisões estratégicas relacionadas ao tratamento de dados pessoais;
- garantir ao encarregado a autonomia técnica necessária para cumprir suas atividades;
- assegurar aos titulares meios céleres, eficazes e adequados para viabilizar a comunicação com o encarregado e o exercício de direitos;
- garantir ao encarregado acesso direto às pessoas responsáveis pela tomada de decisões estratégicas que afetem ou envolvam o tratamento de dados pessoais.
É recomendável que os agentes de tratamento incorporem os deveres acima em suas práticas de governança.
Quando haverá conflito de interesses?
De acordo com o Regulamento, haverá conflito de interesse quando uma situação comprometer, influenciar ou afetar, de maneira imprópria, a objetividade e o julgamento técnico no desempenho das atribuições do encarregado.
O Regulamento não prevê casos específicos de conflito de interesse, indicando que haverá uma análise no caso concreto. Entre os critérios a serem analisados estão:
- o acúmulo das atividades do encarregado com outras que envolvam a tomada de decisões estratégicas sobre o tratamento de dados pelo controlador;
- as atribuições exercidas internamente em um agente de tratamento ou no exercício da atividade de encarregado em agentes de tratamento distintos.
Se houver conflito de interesse, o agente de tratamento poderá estar sujeito às sanções previstas na LGPD.