Em julho de 2024, a Autoridade Nacional de Proteção de Dados (ANPD) publicou a Resolução nº 18, que trouxe a regulamentação de forma clara acerca do papel e das responsabilidades do Encarregado pelo Tratamento de Dados Pessoais, também conhecido como Data Protection Officer (DPO), uma função essencial prevista na Lei Geral de Proteção de Dados (LGPD), em que visa assegurar que as atividades de tratamento de dados da empresa estejam em conformidade com a LGPD e com as diretrizes estabelecidas pela ANPD.
O que é o Encarregado?
O Encarregado é o principal responsável pela comunicação entre a organização, os titulares dos dados pessoais e a ANPD. Podendo ser pessoa natural, integrante do quadro organizacional do agente de tratamento ou externo à organização ou então pessoa jurídica que seja capaz de se comunicar com os agentes de forma clara e precisa e em língua portuguesa.
A resolução não traz requisitos para o exercício do Encarregado. Tampouco a obrigatoriedade de inscrição em qualquer entidade ou qualquer certificação e formação profissional específica.
No entanto, é necessário que o Encarregado possua conhecimento adequado sobre a legislação de proteção de dados e não exerça cargos concomitantes que possam resultar em um conflito de interesses.
A Resolução enfatiza a importância de garantir que o Encarregado receba treinamento e capacitação contínua e faculta ao agente de tratamento estabelecer as qualificações profissionais necessárias para o desempenho das atribuições do Encarregado.
Atividades e atribuições do Encarregado
De acordo com a resolução, são atividades do Encarregado:
• Aceitar reclamações e comunicações dos Titulares de Dados, prestar esclarecimentos e adotar providências;
• Receber comunicações da ANPD e adotar providências;
• Orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de Dados Pessoais; e,
• Adotar as medidas necessárias para o atendimento das solicitações recebidas, incluindo encaminhar internamente a demanda às unidades competentes, fornecer orientação e assistência ao Agente de Tratamento e indicar expressamente o representante do Agente de Tratamento perante a ANPD para fins de atuação em processos administrativos.
Além disso, é atribuição ao Encarregado prestar assistência e orientação ao Agente de Tratamento na elaboração, definição e implementação de:
• Registro de incidentes de segurança e operações de Tratamento de Dados Pessoais;
• Relatório de impacto à proteção de dados pessoais;
• Medidas de segurança, técnicas e administrativas, aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito, assim como um programa de governança em privacidade e políticas internas que assegurem o cumprimento da LGPD;
• Instrumentos contratuais que disciplinem questões relacionadas ao tratamento de dados pessoais;
• Transferências internacionais de dados;
• Regras de boas práticas e de governança e de programa de governança em privacidade;
• Produtos e serviços que adotem padrões de design compatíveis com os princípios previstos na LGPD, incluindo a privacidade por padrão e a limitação da coleta de dados pessoais ao mínimo necessário para a realização de suas finalidades; e
• Demais atividades e tomada de decisões estratégicas referentes ao tratamento de dados pessoais.
Indicação formal do Encarregado
A indicação do Encarregado deve ser realizada por meio de um ato formal do agente de tratamento, do qual constem as formas de atuação e as atividades a serem desempenhadas.
• Entende-se por ato formal o documento escrito, datado e assinado, que, de maneira clara e inequívoca, demonstre a intenção do agente de tratamento em designar como Encarregado uma pessoa natural ou uma pessoa jurídica. Tal documento deverá ser apresentado à ANPD quando solicitado.
Conflito de interesse ao cargo
O Encarregado poderá acumular funções e exercer as suas atividades para mais de um agente de tratamento, desde que seja possível o pleno atendimento de suas atribuições.
O conflito de interesses pode se configurar:
• entre as atribuições exercidas internamente em um agente de tratamento ou no exercício da atividade de Encarregado em agentes de tratamento distintos; ou
• com o acúmulo das atividades de Encarregado com outras que envolvam a tomada de decisões estratégicas sobre o tratamento de dados pessoais pelo controlador
O encarregado deverá declarar ao agente de tratamento qualquer situação que possa configurar conflito de interesse. Por sua vez, o Agente de Tratamento deve adotar as medidas cabíveis para evitar o conflito, uma vez que pode ensejar a aplicação de sanção.
Divulgação de informações sobre o Encarregado
Por fim, o agente de tratamento deverá divulgar e manter atualizadas a identidade e as informações de contato do Encarregado em local de destaque e de fácil acesso, como por exemplo no sítio eletrônico do agente. Tais informações devem abranger, no mínimo, o nome completo, em caso de pessoa natural ou nome empresarial/título do estabelecimento e nome completo da pessoa
natural responsável, em caso de pessoa jurídica. Ainda, informações referentes aos meios de comunicação para viabilidade do exercício dos direitos dos Titulares e possibilidade de recebimento de comunicações da ANPD.
A Resolução CD/ANPD nº 18/2024 reforça o papel estratégico do Encarregado pelo Tratamento de Dados Pessoais, colocando-o como figura central na garantia da conformidade com a LGPD. Sua atuação vai além de uma função técnica, sendo um facilitador na comunicação com os titulares dos dados e a ANPD, além de ser o guardião da privacidade e segurança das informações tratadas pela organização.