top of page
Buscar

ANPD detalha regras para o Encarregado de Dados: o que muda com a nova Resolução?

Atualizado: 7 de out. de 2024

A Autoridade Nacional de Proteção de Dados (ANPD) publicou no dia 17 de julho uma Resolução complementar a Lei Geral de Proteção de Dados (LGPD) regulamentando a atuação do Encarregado pelo Tratamento de Dados Pessoais.


O encarregado de dados foi definido LGPD para ser o responsável pela interface entre o titular dos dados, o agente de tratamento e a ANPD. Sendo, também, sua responsabilidade orientar a organização para a qual trabalha em relação às melhores práticas no tratamento de dados.  


Apesar de já constar da Lei, LGPD, algumas funções do encarregado, o regulamento detalha aspectos do papel do Encarregado, incluindo a necessidade de divulgação de sua identidade e de informações de contato e os deveres dos agentes de tratamento. 


Abaixo fizemos um resumo das determinações desta Resolução. Para ter acesso a Resolução CD/ANPD nº 18 de 16 de julho de 2024 completa, clique aqui.

 


1. Quem deve indicar o encarregado de dados?


A responsabilidade pela indicação do encarregado de dados é do controlador do tratamento. Sendo o controlador o agente que determina os fins e os meios de tratamento dos dados pessoais. Ou seja, é quem decide como e para quais propósitos os dados serão coletados, armazenados, utilizados e compartilhados.

 

Agente pessoas jurídicas de direito público


Pessoas jurídicas de direito público devem, preferencialmente, indicar como encarregado servidor ou empregado público de reputação ilibada. A indicação deverá ser publicada em Diário Oficial da União, do Estado, do Distrito Federal ou do Município, a depender da esfera de atuação do agente de tratamento.

 

Agente de pequeno porte


Agente de pequeno porte são as microempresas, empresas de pequeno porte, startups, pessoas jurídicas de direito privado, inclusive sem fins lucrativos, nos termos da legislação vigente, bem como pessoas naturais e entes privados despersonalizados que realizam tratamento de dados pessoais.


Estes agentes de tratamento não estão obrigados a indicar um Encarregado, mas devem disponibilizar um canal de comunicação para o titular de dados.

 

Agente operador


O operador é o agente de tratamento que realiza o tratamento de dados pessoais em nome do controlador. Para este agente, a indicação de encarregado é facultativa, porém é considerada uma política de boas práticas de governança pela ANPD.

 


2. Como indicar o encarregado?


A indicação do encarregado deve ser realizada por ato formal, por meio de documento escrito, datado e assinado, pelo agente de tratamento. Neste documento devem constar as formas de atuação e as atividades a serem desempenhadas pelo encarregado e, quando solicitado, o documento deverá ser apresentado à ANPD.

 


3.  Quais informações divulgar sobre o encarregado?


O agente de tratamento deverá divulgar publicamente e manter atualizadas a identidade e as informações de contato do encarregado. As informações sobre o encarregado devem estar claras e corretas para serem facilmente acessadas pelo titular.


As informações de contato do encarregado devem, no mínimo, indicar:

  • se for pessoa natural, o nome completo; ou

  • se for pessoa jurídica, o nome empresarial, bem como o nome completo da pessoa natural responsável;

  • os meios de comunicação, como telefone e e-mail, para que o titular e a ANPD possam entrar em contato, caso necessário.


O ideal é divulgar as informações no site do agente de tratamento. Mas, caso o agente não possua sítio eletrônico, poderá realizar a divulgação da identidade e das informações de contato do encarregado por quaisquer outros meios de comunicação disponíveis, especialmente aqueles usualmente utilizados para contato com os titulares.

 


4. Qual o papel do agente de tratamento em relação ao encarregado?


É papel do agente de tratamento estabelecer as qualificações profissionais necessárias para o desempenho das atribuições do encarregado em sua organização, considerando seus conhecimentos sobre a legislação de proteção de dados pessoais, bem como o contexto, o volume e o risco das operações de tratamento realizadas.


Mesmo com a indicação do encarregado, o agente ainda é o responsável pela conformidade do tratamento dos dados pessoais. Por isso, faz parte de suas atribuições:

  1. prover os meios necessários para o exercício das atribuições do encarregado, como, recursos humanos, técnicos e administrativos;

  2. solicitar assistência e orientação do encarregado quando da realização de atividades e tomada de decisões estratégicas referentes ao tratamento de dados pessoais;

  3. garantir ao encarregado a autonomia técnica necessária para cumprir suas atividades, livre de interferências indevidas, especialmente na orientação a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;

  4. assegurar aos titulares meios céleres, eficazes e adequados para viabilizar a comunicação com o encarregado e o exercício de direitos;

  5. garantir ao encarregado acesso direto às pessoas de maior nível hierárquico dentro da organização, aos responsáveis pela tomada de decisões estratégicas que afetem ou envolvam o tratamento de dados pessoais, bem como às demais áreas da organização.

 


Sobre o encarregado de dados


1. Quem pode ser indicado?


O encarregado por ser:

  • pessoa natural, integrante do quadro organizacional do agente de tratamento, desde que não haja conflito de interesse em suas funções;

  • pessoa natural, contratada pela organização para esta finalidade;

  • pessoa jurídica.


É importante destacar que para o exercício de suas funções o encarregado não precisará estar inscrito em uma entidade, possuir certificação ou formação profissional específica. Contudo, é importante que seja alguém com conhecimento sobre a legislação de proteção de dados pessoais, experiência em segurança da informação e que seja capaz de comunicar-se com os titulares e com a ANPD, de forma clara, precisa e em língua portuguesa.


Além disso, este profissional deverá atuar com ética, integridade e autonomia técnica, evitando situações que possam configurar conflito de interesse. O conflito de interesse pode surgir com o acúmulo das atividades do encarregado com outras que envolvam a tomada de decisões estratégicas sobre o tratamento de dados pessoais pelo controlador, veja o exemplo a seguir.


O Coordenado de TI como encarregado de dados. O Coordenado de TI é o responsável por implantar as medidas de segurança da informação (SI) da empresa, incluindo aquelas relacionadas ao tratamento de dados pessoais. Uma das atribuições o encarregado é analisar e fiscalizar as medidas de SI implantadas. Neste caso, o acúmulo de funções pode gerar conflito de interesse, pois o encarregado pode ser tentado a priorizar certas medidas de segurança em detrimento da proteção de dados pessoais ou não realizar a diligência correta das medidas implantadas.


Em caso de conflitos desta natureza é responsabilidade do encarregado declarar ao agente de tratamento tais situações, responsabilizando-se pela veracidade das informações prestadas.


Em relação ao agente de tratamento, uma vez constatada a possibilidade de conflito de interesse, o agente deverá, conforme o caso:

  • não indicar a pessoa para exercer a função de encarregado;

  • implementar medidas para afastar o risco de conflito de interesse; ou

  • substituir a pessoa designada para exercer a função de encarregado.

 


2. Quais as atividades e atribuições do Encarregado?


As atividades do encarregado consistem em:

  1. aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências cabíveis;

  2. receber comunicações da ANPD, encaminhar internamente a demanda e fornecer a orientação e a assistência necessárias ao agente de tratamento.

  3. orientar os funcionários e os contratados do agente de tratamento a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e

  4. executar as demais atribuições determinadas pelo agente de tratamento ou estabelecidas em normas complementares;

  5. prestar assistência e orientação ao agente de tratamento na elaboração, definição e implementação, conforme o caso, de:

  • registro e comunicação de incidente de segurança;

  • registro das operações de tratamento de dados pessoais;

  • relatório de impacto à proteção de dados pessoais;

  • mecanismos internos de supervisão e de mitigação de riscos relativos ao tratamento de dados pessoais;

  • medidas de segurança, técnicas e administrativas, aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito;

  • processos e políticas internas que assegurem o cumprimento da LGPD;

  • instrumentos contratuais que disciplinem questões relacionadas ao tratamento de dados pessoais;

  • transferências internacionais de dados;

  • regras de boas práticas e de governança e de programa de governança em privacidade;

  • produtos e serviços que adotem padrões de design compatíveis com os princípios previstos na LGPD, incluindo a privacidade por padrão e a limitação da coleta de dados pessoais ao mínimo necessário para a realização de suas finalidades; e

  • outras atividades e tomada de decisões estratégicas referentes ao tratamento de dados pessoais.

 

encarregado de dados

Conclusão


A publicação da Resolução da ANPD sobre o Encarregado de Dados Pessoais é um marco para a concretização da LGPD. O papel do encarregado de dados é essencial para auxiliar os agentes de tratamento na conformidade com a Lei, pois é nele que podem recorrer para navegar pelas complexas nuances da proteção de dados, garantindo a segurança e a privacidade das informações de seus clientes, funcionários e parceiros.

 

 



Julio Cesar Segantini

Consultor de Privacidade e Proteção de Dados Pessoais


Julio é um profissional experiente com mais de 35 anos no mercado de TIC e 20 anos em consultoria empresarial. Possui pós-graduações em Marketing, Perícia Forense Computacional e Consultoria Empresarial, além de um MBA em Negócios Digitais e Inteligência Financeira. Sua expertise em gestão e tecnologia aliados a suas certificações internacionais em privacidade e proteção de dados o torna um profissional completo e altamente qualificado para auxiliar as empresas em seu compliance com a LGPD.


A Total Privacy possui consultores especializados em proteção de dados pessoais. Caso tenha interesse em contratar um encarregado de dados, envie um e-mail para contato@totalprivacy.com.br e agende uma conversa com um de nossos consultores.

bottom of page