Embora a Lei Geral de Proteção de Dados (LGPD) já preveja a figura do Encarregado de Dados Pessoais e algumas de suas atividades [1], faltavam comandos mais específicos sobre sua atuação e condições, o que deixava um espaço de insegurança jurídica para o profissional que assumisse tal encargo, seja ele pessoa física ou jurídica [2]. A nova resolução se propõe a isso, apesar de ainda ter deixado lacunas relevantes sobre o tema.
Indicação e formação do encarregado
Entre as novidades previstas na resolução, destaca-se a necessidade de que a indicação do encarregado ou encarregada seja feita por meio de ato formal escrito, datado e assinado pelo ente controlador, no qual constarão suas atividades e formas de atuação [3]. Trouxe também como novidade a obrigação de se nomear um substituto para ocasiões de ausência, impedimento ou vacância da pessoa encarregada [4].
Aos agentes operadores de dados, a resolução manifestou que a indicação de encarregado ou ncarregada é optativa, em conformidade com a LGPD, na qual a obrigação é atribuída a controladores de dados [5]. Também chama atenção a determinação de que agentes de tratamento indiquem o seu DPO a partir de um juízo de proporcionalidade entre as qualificações profissionais da pessoa indicada e o contexto, o volume e o risco das operações de tratamento realizadas [6].
A resolução requer dos entes controladores e operadores maior assertividade na escolha do encarregado ou encarregada, mas, em contraponto, manifesta que o exercício da atividade não pressupõe que a pessoa indicada possua certificado ou formação profissional específica, ou que seja inscrita em qualquer entidade [7]. Determina que a pessoa seja capaz de se comunicar com clareza, em língua portuguesa [8], com a ANPD e com os titulares dos dados pessoais em poder do agente de tratamento — o que pode fazer com que controladores de dados de multinacionais tenham que apontar um DPO específico para o Brasil, caso não o tenham feito.
Atribuições, responsabilidade e autonomia técnica do encarregado
A resolução trouxe expressamente algumas das atribuições e atividades do encarregado ou encarregada [9], as quais podem ser complementadas na prática cotidiana. E apesar de sua atuação estar claramente atrelada à conformidade legal do agente de tratamento à legislação e às boas práticas de tratamento de dados pessoais, deixa claro que este é o único responsável por tal conformidade [10] e que a pessoa encarregada de dados não poderá ter responsabilidade perante a ANPD por tal conformidade [11].
Outro ponto, por fim, interessante na resolução diz respeito à autonomia técnica reservada à pessoa encarregada e as normas relativas a conflito de interesse. A norma permite expressamente que uma pessoa acumule a função de encarregado com outra função dentro da estrutura do agente de tratamento de dados, e que preste serviços para mais de um agente de tratamentos, desde que não gere conflito de interesse – o que já não era impedido ou contraindicado pelas boas práticas.
Segundo dispõe a normativa, o conflito de interesse pode ocorrer [12] 1) entre as atribuições exercidas internamente em um agente de tratamento, 2) quando uma mesma pessoa atua como encarregado em favor de agentes de tratamento diferentes, ou 3) em razão de acúmulo entre atividades de encarregado com outras que envolvam a tomada de decisões estratégicas sobre o tratamento de dados pessoais. Apesar das hipóteses previstas na norma, a existência de conflito de interesse deve ser examinada no caso concreto.
A resolução — que já era esperada, não só pela evidente necessidade de se detalhar tal atuação como em razão do próprio §3º do artigo 41 da LGPD [13] — traz esclarecimentos a todos os entes controladores e operadores, mas, sobretudo, salvaguardas e orientações às pessoas que atuam como encarregado de dados pessoais, seja para um ou mais agentes de tratamento de dados.
Importância da capacitação profissional
No entanto, para que a eficácia dessa norma seja plena, é importante que haja um esforço contínuo em promover a capacitação adequada de profissionais designados para esta função. A falta de exigências específicas de profissionalização pode ser um ponto de vulnerabilidade, comprometendo a qualidade da proteção de dados.
Além disso, a resolução precisaria estar acompanhada de orientações mais claras sobre os critérios de qualificação e a prevenção de conflitos de interesse. Somente com a implementação rigorosa de uma cultura de proteção de dados, à qual a figura do encarregado é essencial, bem como a conscientização sobre sua importância, pode-se garantir um ambiente seguro e confiável para o tratamento de dados pessoais, alinhado às melhores práticas internacionais.
[1] Art. 41. O controlador deverá indicar encarregado pelo tratamento de dados pessoais. […] § 2º As atividades do encarregado consistem em: I – aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências; II – receber comunicações da autoridade nacional e adotar providências; III – orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e IV – executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
[2] Art. 12. O encarregado poderá ser: I – uma pessoa natural, integrante do quadro organizacional do agente de tratamento ou externo a esse; ou II – uma pessoa jurídica.
[3] Art. 3º A indicação do encarregado deve ser realizada por ato formal do agente de tratamento, do qual constem as formas de atuação e as atividades a serem desempenhadas.
[4] Art. 4º Nas ausências, impedimentos e vacâncias do encarregado, a função será exercida por substituto formalmente designado.
Parágrafo único. As situações referidas no caput não poderão consistir em obstáculos para o exercício dos direitos dos titulares ou para o atendimento às comunicações da ANPD.
[5] Art. 6º A indicação de encarregado por operadores é facultativa e será considerada política de boas práticas de governança para fins do disposto no art. 52, § 1º, inciso IX, da Lei nº 13.709, de 14 de agosto de 2018, e no art. 13, inciso II, do anexo da Resolução CD/ANPD nº 4, de 24 de fevereiro de 2023, desde que observadas as normas deste Regulamento
[6] Art. 7º Cabe ao agente de tratamento estabelecer as qualificações profissionais necessárias para o desempenho das atribuições do encarregado, considerando seus conhecimentos sobre a legislação de proteção de dados pessoais, bem como o contexto, o volume e o risco das operações de tratamento realizadas.
[7] Art. 14. O exercício da atividade de encarregado não pressupõe a inscrição em qualquer entidade nem qualquer certificação ou formação profissional específica.
[8] Art. 13. O encarregado deverá ser capaz de comunicar-se com os titulares e com a ANPD, de forma clara e precisa e em língua portuguesa.
[9] Art. 15. As atividades do encarregado consistem em: I – aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências cabíveis; II – receber comunicações da ANPD e adotar providências; III – orientar os funcionários e os contratados do agente de tratamento a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e IV – executar as demais atribuições determinadas pelo agente de tratamento ou estabelecidas em normas complementares. Parágrafo único. Ao receber comunicações da ANPD, o encarregado deverá adotar as medidas necessárias para o atendimento da solicitação e para o fornecimento das informações pertinentes, adotando, entre outras, as seguintes providências: I – encaminhar internamente a demanda para as unidades competentes; II – fornecer a orientação e a assistência necessárias ao agente de tratamento; e III – indicar expressamente o representante do agente de tratamento perante a ANPD para fins de atuação em processos administrativos, quando esta função não for exercida pelo próprio encarregado.
Art. 16. Cabe, ainda, ao encarregado, nos termos do art. 10, inciso II, deste Regulamento, prestar assistência e orientação ao agente de tratamento na elaboração, definição e implementação, conforme o caso, de: I – registro e comunicação de incidente de segurança; II – registro das operações de tratamento de dados pessoais; III – relatório de impacto à proteção de dados pessoais; IV – mecanismos internos de supervisão e de mitigação de riscos relativos ao tratamento de dados pessoais; V – medidas de segurança, técnicas e administrativas, aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito; VI – processos e políticas internas que assegurem o cumprimento da Lei nº 13.709, de 14 de agosto de 2018, e dos regulamentos e orientações da ANPD; VII – instrumentos contratuais que disciplinem questões relacionadas ao tratamento de dados pessoais; VIII – transferências internacionais de dados; IX – regras de boas práticas e de governança e de programa de governança em privacidade, nos termos do art. 50 da Lei nº 13.709, de 14 de agosto de 2018; X – produtos e serviços que adotem padrões de design compatíveis com os princípios previstos na LGPD, incluindo a privacidade por padrão e a limitação da coleta de dados pessoais ao mínimo necessário para a realização de suas finalidades; e XI – outras atividades e tomada de decisões estratégicas referentes ao tratamento de dados pessoais.
[10] Art. 11. O agente de tratamento é o responsável pela conformidade do tratamento dos dados pessoais, nos termos da Lei nº 13.709, de 14 de agosto de 2018.
[11] Art. 17. O desempenho das atividades e das atribuições dispostas nos arts. 15 e 16 não confere ao encarregado a responsabilidade, perante a ANPD, pela conformidade do tratamento dos dados pessoais realizado pelo controlador.
[12] Art. 19 […] § 1º O conflito de interesse pode se configurar: I – entre as atribuições exercidas internamente em um agente de tratamento ou no exercício da atividade de encarregado em agentes de tratamento distintos; ou II – com o acúmulo das atividades de encarregado com outras que envolvam a
[13] Art. 41 […] § 3º A autoridade nacional poderá estabelecer normas complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados.
Comentários