No dia 17 de julho, a Autoridade Nacional de Proteção de Dados (ANPD) publicou o regulamento sobre a atuação do Encarregado pelo Tratamento de Dados Pessoais.
Nos termos da Lei Federal nº 13.709/18 (Lei Geral de Proteção de Dados ou LGPD), o Encarregado é definido como “pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados”.
O novo regulamento traz disposições detalhadas a respeito do papel do Encarregado e os deveres dos agentes de tratamento para garantir o exercício adequado das funções do Encarregado. Entre as disposições, destacam-se os pontos abaixo:
Nomeação por ato formal: A nomeação do Encarregado deverá ser realizada por ato formal do agente de tratamento, indicando a forma de atuação e as atividades a serem desempenhadas pelo Encarregado. O documento deverá ser escrito, datado e assinado, de maneira clara e inequívoca, a fim de demonstrar a intenção do agente de tratamento em designar como Encarregado uma pessoa natural ou uma pessoa jurídica.
Divulgação da identidade e das informações de contato do encarregado: O agente de tratamento deverá divulgar – de forma clara e em local de fácil acesso – e manter atualizadas a identidade e as informações de contato do Encarregado. Caso seja nomeado uma pessoa jurídica, deverá ser divulgado o nome empresarial ou o título do estabelecimento, bem como o nome completo da pessoa natural responsável.
Deveres dos agentes de tratamentos: Entre os deveres dos agentes de tratamento estão (i) prover os recursos necessários para o Encarregado, (ii) solicitar sua assistência e orientação para a realização de atividades e decisões estratégicas relacionadas ao tratamento de dados pessoais, (iv) garantir a autonomia técnica do Encarregado, (v) assegurar meios eficazes para a comunicação dos titulares com o Encarregado e (vi) garantir ao Encarregado acesso direto aos tomadores de decisão na organização. Além disso, o regulamento enfatiza que os agentes de tratamento são responsáveis pela conformidade no tratamento dos dados pessoais.
Atividades e responsabilidades: O regulamento elenca uma série de atribuições ao Encarregado, que incluem, por exemplo, (i) aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências cabíveis; (ii) receber comunicações da ANPD e adotar providências; (iii) orientar os funcionários e os contratados do agente de tratamento a respeito das práticas a serem tomadas em relação à proteção de dados pessoais. Além disso, o Encarregado deverá orientar e prestar assistência ao agente de tratamento para atividades como: registro e comunicação de incidentes de segurança, registro de operações de tratamento de dados pessoais, elaboração de relatórios de impactos à proteção de dados pessoais (RIPD), medidas de segurança, técnicas e administrativas, para proteger os dados pessoais e transferências internacionais.
Não exigência de requisitos técnicos para qualificação como Encarregado: Em linha com os esclarecimentos feitos pela ANPD no último ano, o regulamento reafirma que o exercício da atividade de Encarregado não pressupõe a inscrição em qualquer entidade nem qualquer certificação ou formação profissional específica.
Conflitos de interesse: O encarregado poderá acumular funções e exercer as suas atividades para mais de um agente de tratamento, desde que inexista conflito, ou seja, qualquer situação que possa comprometer, influenciar ou afetar a objetividade e o julgamento técnico no desempenho de suas atribuições. Nestes casos, a norma estabelece que o Encarregado deverá informar o agente de tratamento sobre a referida situação, responsabilizando-se pela veracidade das informações prestadas. Nesse sentido, caberá ao agente de tratamento, (i) não indicar a pessoa para exercer a função de encarregado; (ii) implementar medidas para afastar o risco de conflito de interesse; ou (iii) substituir a pessoa designada para exercer a função de encarregado. É importante ressaltar, ainda, que a inobservância de tais obrigações poderá acarretar a aplicação de sanções pela ANPD.
Responsabilidade perante a ANPD: Apesar de suas atribuições serem de grande relevância, o regulamento estipula que o exercício de tais funções não confere ao Encarregado a responsabilidade, perante a ANPD, pela conformidade do tratamento dos dados pessoais realizado pelo controlador.
Considerando o novo regulamento, recomendamos aos nossos clientes que reavaliem as práticas atuais relacionadas ao Encarregado e as suas atividades, a fim de garantir a conformidade.
O time de Proteção de Dados do KLA encontra-se à disposição para auxiliar com dúvidas e com a adequação e cumprimento das disposições do novo regulamento.
