A Autoridade Nacional de Proteção de Dados (ANPD) publicou nesta quarta-feira (17/7) o regulamento sobre a atuação do “encarregado pelo tratamento de dados pessoais”, ou Data Protection Officer (DPO). Aprovado na Resolução CD/ANPD 18, o regulamento detalha quais são os deveres do encarregado, dispõe sobre as regras para divulgação de informações de contato e informa sobre situações de conflito de interesse.
Criada pela Lei Geral de Proteção de Dados Pessoais (LGPD), a figura do encarregado, seja um indivíduo ou empresa, é responsável por fazer a interface entre o titular dos dados, o agente de tratamento (controlador e operador) e a própria ANPD.
Tenha acesso ao JOTA PRO Poder, uma plataforma de monitoramento político com informações de bastidores que oferece mais transparência e previsibilidade para empresas. Conheça!
“[O encarregado] é um ator fundamental para garantir o cumprimento do direito fundamental à proteção dos dados pessoais, e, consequentemente, para consolidar uma cultura de proteção de dados no país – o que passa, também, pela mudança na cultura de negócios no Brasil, passando de acordos orais para compromissos escritos”, disse o diretor-presidente da ANPD, Waldemar Gonçalves, em evento no Rio de Janeiro.
Efeitos da resolução
Laércio Sousa, sócio da área de Direito Digital e Propriedade Intelectual do Velloza Advogados, avalia que a resolução publicada está alinhada com “as melhores práticas internacionais”. O advogado destaca como pontos positivos do texto a necessidade de se garantir a autonomia do profissional e assegurar o seu acesso a a alta administração da empresa.
“A publicação da resolução fortalece a base legal para fiscalização e aplicação de sanções por parte da ANPD, criando um ambiente mais propício para proteção de dados pessoais no Brasil”, disse Sousa.
Paulo Lilla, sócio de Tecnologia, Proteção de Dados e Propriedade Intelectual do Lefosse, concorda que o regulamento trouxe clareza para alguns pontos em discussão no mercado, como a necessidade de divulgação da identidade do encarregado e a dispensa de formação específica para atuar na função.
No entanto, na visão dele, o texto deixou de esclarecer alguns pontos importantes. De acordo com o advogado, as previsões sobre conflito de interesses e possibilidade de acúmulo de função são subjetivas e deixam margem para interpretação, o que pode gerar insegurança jurídica. “O regulamento não trouxe a segurança jurídica esperada com relação à identificação das situações capazes de gerar conflito de interesse na nomeação e atuação do encarregado”, disse o sócio do Lefosse.
Lilla destaca também que alguns pontos do regulamento podem levar algumas organizações a revisar alguns aspectos na sua estrutura de governança de proteção de dados. A ANPD exige, por exemplo, que o encarregado seja capaz de se comunicar em português, de forma clara e precisa, com os titulares e com a autoridade. Isso pode afetar multinacionais que em que os Data Protection Officers (DPO) estão alocados em outros países, sem a nomeação formal de encarregado no Brasil.
“Além disso, o regulamento prevê a necessidade de nomeação formal do encarregado, por meio de documento assinado, o que não foi feito na prática por todos os agentes de tratamento, sendo necessário formalizar a nomeação”, diz Lilla.
Indicação do encarregado
A resolução da ANPD estipula que o encarregado, seja pessoa física ou jurídica, deverá ser indicado formalmente pelo agente de tratamento de dados. Com isso, fica sendo obrigatório a assinatura de um documento que estabeleça as formas de atuação e as atividades desempenhadas pelo encarregado.
Em órgãos públicos, a autoridade determinou que a indicação de um encarregado seja feita sempre que forem realizadas operações de tratamento de dados pessoais. O regulamento estipula que o indicado deve ser, preferencialmente, um servidor ou um empregado de “reputação ilibada”. A indicação deverá ser publicada no Diário Oficial da União, do Estado, do Distrito Federal ou do Município.
No caso de agentes de pequeno porte, a ANPD dispensou a indicação de um encarregado, contanto que eles disponibilizem um canal de comunicação efetivo com o titular de dados. No caso de operadores, a indicação de encarregado é facultativa, mas será considerada “política de boas práticas de governança”.
Atribuições do encarregado
A ANPD definiu que o encarregado pode ser uma pessoa física, empregada ou não do agente de tratamento, ou uma pessoa jurídica. A autoridade estabelece que a pessoa ou empresa indicada precisa conseguir se comunicar com os titulares e com a ANPD de forma clara e em língua portuguesa. Não é exigido que o encarregado seja inscrito em alguma entidade ou tenha certificação ou formação profissional específica.
O regulamento deixa claro que o desempenho das atividades e das atribuições não confere ao encarregado a responsabilidade, perante a ANPD, pela conformidade do tratamento dos dados pessoais realizado pelo controlador.
Dentre as atividades listadas na regulação, estão: aceitar reclamações dos titulares e tomar providências cabíveis; receber comunicações da ANPD e tomar providências; e orientar os funcionários e os contratados a respeito das práticas de proteção de dados pessoais.
Ao receber comunicações da ANPD, o encarregado deverá fornecer orientação ao agente de tratamento e indicar expressamente o representante do agente de tratamento perante a ANPD para fins de atuação em processos administrativos, quando esta função não for exercida pelo próprio encarregado.
Obrigações do agente
Segundo o regulamento, cabe ao agente de tratamento divulgar publicamente e manter atualizadas as informações de identidade e contato do encarregado. Também é de responsabilidade dele garantir ao encarregado os meios necessários para o exercício das atribuições, assegurar a sua autonomia técnica e facilitar o acesso direto às lideranças responsáveis por decisões que envolvam dados.
Conflito de interesses
Na resolução, a ANPD se preocupou em regulamentar situações que possam configurar conflito de interesses. De acordo com o texto, cabe ao encarregado atuar com “ética, integridade e autonomia” para evitar esse tipo de situação. É de responsabilidade dele declarar ao agente de tratamento qualquer situação que possa configurar conflito de interesses.
O regulamento não proíbe os encarregados de acumular funções nem de trabalhar para mais de um agente de tratamento, desde que seja possível cumprir com todas as suas atribuições e não exista conflito de interesses.
A ANPD afirma que cabe ao agente de tratamento atentar para que o encarregado não exerça atribuições que acarretem conflito de interesses. Se houver a possibilidade de conflito, o agente deverá implementar medidas para afastar o risco; deixar de indicar a pessoa para a função de encarregado ou substituir a pessoa que já foi designada.
Os casos suspeitos de conflito de interesses serão verificados pela autoridade, que poderá aplicar uma sanção ao agente de tratamento nos termos previstos na LGPD.
De acordo com o texto, o conflito de interesses pode se configurar:
I – entre as atribuições exercidas internamente em um agente de tratamento ou no exercício da atividade de encarregado em agentes de tratamento distintos; ou
II – com o acúmulo das atividades de encarregado com outras que envolvam a tomada de decisões estratégicas sobre o tratamento de dados pessoais pelo controlador, ressalvadas as operações com dados pessoais inerentes às atribuições do encarregado.