ANPD publica o “Guia Orientativo: Atuação do Encarregado pelo Tratamento de Dados Pessoais”

A Agência Nacional de Proteção de Dados (“ANPD”) publicou no dia 19 de dezembro o “Guia Orientativo: Atuação do Encarregado pelo Tratamento de Dados Pessoais“, com o intuito de auxiliar a sociedade na interpretação da norma e no desempenho adequado das atividades previstas na LGPD.

O Guia serve também como indicativo de boas práticas para os agentes de tratamento de dados pessoais.

Destacamos abaixo os principais aspectos do Guia:

ENCARREGADO X DPO

• Embora o termo Data Protection Officer (“DPO”) seja usado comumente para designar o encarregado, as atividades e responsabilidades do DPO não se confundem com as do encarregado, até mesmo em razão de as disposições originarem-se de ordenamento jurídicos distintos.

INDICAÇÃO DO ENCARREGADO E DO ENCARREGADO SUBSTITUTO

• A indicação do encarregado é obrigatória para o controlador e facultativa para o operador (embora, na maior parte das vezes, as organizações desempenhem em alguma instância o papel de controladora, como com relação aos seus empregados).

• O guia menciona a hipótese de dispensa do encarregado nos casos em que há agente de pequeno porte, destacando as exceções a essa regra e a necessidade de os agentes de pequeno porte disponibilizarem um canal de comunicação com o titular de dados.

• O encarregado deverá ser indicado por meio de “ato formal” e essa indicação não precisa ser comunicada à ANPD, nem publicada no website do agente de tratamento, embora tenha de ser mantida e apresentada à autoridade quando solicitado.

• O ato formal pode ser, por exemplo, um aditivo ao contrato de trabalho, caso o encarregado seja um empregado do agente de tratamento.

• Ao realizar a indicação do encarregado, o agente de tratamento deve levar em conta o perfil da organização e de seus empregados, bem como os benefícios e as limitações na escolha de uma pessoa natural ou jurídica aplicáveis no caso concreto, a fim de que possa escolher a opção que se encaixe melhor na sua realidade e no contexto do tratamento que realize. Além disso, é fundamental que ele seja capaz de se comunicar em português.

• Considerando a imprevisibilidade de eventos que possam causar a vacância do encarregado, para mitigar o risco de interrupção repentina das atividades do encarregado, recomenda-se que um substituto seja designado juntamente com a indicação formal do encarregado titular.

• A indicação do substituto deverá observar os mesmos procedimentos obrigatórios seguidos para a indicação do titular, incluindo, ainda, a divulgação da sua identidade e formas de contato.

• Quando o encarregado indicado for pessoa jurídica, também será necessário indicar um substituto da pessoa natural indicada como responsável.

DIVULGAÇÃO DA IDENTIDADE E CONTATO DO ENCARREGADO

• A divulgação da identidade e do contato do encarregado deverá ser realizada no website oficial do controlador. Entretanto, caso o agente de tratamento não possua esse recurso, poderá realizá-la por quaisquer outros meios de comunicação disponíveis, especialmente aqueles usualmente utilizados para contato com os titulares (até mesmo em meios físicos em local de destaque e fácil acesso).

CARACTERÍSTICAS, ATIVIDADES E ATRIBUIÇÕES DO ENCARREGADO

• Além dos recursos humanos, técnicos e administrativos, recomenda-se que o agente de tratamento considere também outros aspectos, como prazos apropriados, finanças e infraestrutura para a atuação do encarregado.

• O guia reforça que, embora o encarregado assessore e oriente em várias atividades, ele não é responsável, perante a ANPD, pela conformidade do tratamento de dados pessoais desempenhado pelo controlador.

• O encarregado deverá ter autonomia técnica e acesso aos responsáveis pelas decisões estratégicas que afetem ou envolvam o tratamento de dados pessoais, bem como as demais áreas da organização.

• Além do conhecimento sobre a legislação de proteção de dados e demais normas publicadas pela ANPD, também podem ser de grande valia para o exercício das atividades do encarregado conhecimentos multidisciplinares sobre gestão de riscos, gestão de dados e governança, compliance e auditoria, e segurança da informação.

• O exercício da função de encarregado não requer registro junto à ANPD e a associações privadas, ou certificações específicas.

• O guia também apresenta alguns insights e recomendações sobre as atividades e atribuições do encarregado trazidas pela LGPD e pela Resolução CD/ANPD nº 18, de 16 de junho de 2024. A ANPD recomenda, por exemplo, que o encarregado participe da criação da política de privacidade interna e do aviso de privacidade voltado ao público externo, bem como assessore o agente de tratamento na análise de cláusulas contratuais relacionadas a proteção de dados e na observância dos requisitos para transferência internacional.

CONFLITO DE INTERESSE

• O encarregado deverá exercer suas funções de forma autônoma, não devendo ser responsável por funções que possam resultar em conflito de interesse, como atividades que envolvam a tomada de decisões estratégicas relacionadas ao tratamento de dados pessoais pelo controlador.

• Porém, não configura conflito de interesse a tomada de decisão relacionada ao tratamento de dados pessoais inerente ao exercício das atribuições do encarregado.

• De modo geral, posições conflitantes são observadas quando o encarregado acumula cargos de chefia, gerência ou direção, responsáveis pela determinação de meios e objetivos do tratamento de dados pessoais, a exemplo de setores responsáveis pela gestão de recursos humanos, tecnologia da informação, finanças ou saúde. Isso porque o exercício cumulativo dessas funções pode interferir na objetividade e autonomia técnica necessárias para o exercício de sua atividade.

• O encarregado pode atuar em mais de uma organização, mas é necessário avaliar se, a depender do setor econômico envolvido, do tipo de tratamento realizado ou da natureza das organizações atendidas, as atividades concomitantes poderão afetar a objetividade e o julgamento técnico do encarregado diante de potenciais decisões conflitantes, troca de informações privilegiadas ou estratégicas, dentre outras situações.

• Uma boa prática para mitigar conflitos de interesse é a criação de uma unidade organizacional própria, distinta de qualquer outra que tome decisões estratégicas relacionadas ao tratamento de dados pessoais no âmbito da organização.

As equipes de Privacidade, Tecnologia e Cibersegurança, e Telecomunicações, Mídia e Tecnologia (TMT) do Demarest permanecem à disposição para quaisquer esclarecimentos.