Norma Sobre Encarregado Pelo Tratamento de Dados Pessoais

 

A autoridade Nacional de Proteção de Dados (ANPD) publicou na última terça-feira  (17) o regulamento sobre a atuação do Encarregado pelo Tratamento de Dados Pessoais.

Segundo a LGPD cabe a ele fazer a interface entre o titular dos dados, o agente de tratamento e a ANPD. Também é sua responsabilidade orientar a organização para a qual trabalha em relação às melhores práticas no tratamento de dados. 

O novo regulamento detalha o papel do encarregado, abordando aspectos como a divulgação de sua identidade e informações de contato, os deveres dos agentes de tratamento e as situações de conflito de interesse.

Indicação do encarregado

A resolução da ANPD estipula que o encarregado, seja pessoa física ou jurídica, deverá ser indicado formalmente pelo agente de tratamento de dados. Com isso, fica sendo obrigatório a assinatura de um documento que estabeleça as formas de atuação e as atividades desempenhadas pelo encarregado.

Em órgãos públicos, a autoridade determinou que a indicação de um encarregado seja feita sempre que forem realizadas operações de tratamento de dados pessoais. O regulamento estipula que o indicado deve ser, preferencialmente, um servidor ou um empregado de “reputação ilibada”. A indicação deverá ser publicada no Diário Oficial da União, do Estado, do Distrito Federal ou do Município.

No caso de agentes de pequeno porte, a ANPD dispensou a indicação de um encarregado, contanto que eles disponibilizem um canal de comunicação efetivo com o titular de dados. No caso de operadores, a indicação de encarregado é facultativa, mas será considerada “política de boas práticas de governança”.

Atribuições do encarregado

A ANPD definiu que o encarregado pode ser uma pessoa física, empregada ou não do agente de tratamento, ou uma pessoa jurídica. A autoridade estabelece que a pessoa ou empresa indicada precisa conseguir se comunicar com os titulares e com a ANPD de forma clara e em língua portuguesa. Não é exigido que o encarregado seja inscrito em alguma entidade ou tenha certificação ou formação profissional específica.

O regulamento deixa claro que o desempenho das atividades e das atribuições não confere ao encarregado a responsabilidade, perante a ANPD, pela conformidade do tratamento dos dados pessoais realizado pelo controlador.

Dentre as atividades listadas na regulação, estão: aceitar reclamações dos titulares e tomar providências cabíveis; receber comunicações da ANPD e tomar providências; e orientar os funcionários e os contratados a respeito das práticas de proteção de dados pessoais.

Ao receber comunicações da ANPD, o encarregado deverá fornecer orientação ao agente de tratamento e indicar expressamente o representante do agente de tratamento perante a ANPD para fins de atuação em processos administrativos, quando esta função não for exercida pelo próprio encarregado.

Obrigações do agente

Segundo o regulamento, cabe ao agente de tratamento divulgar publicamente e manter atualizadas as informações de identidade e contato do encarregado. Também é de responsabilidade dele garantir ao encarregado os meios necessários para o exercício das atribuições, assegurar a sua autonomia técnica e facilitar o acesso direto às lideranças responsáveis por decisões que envolvam dados.

Conflito de interesses

Na resolução, a ANPD se preocupou em regulamentar situações que possam configurar conflito de interesses. De acordo com o texto, cabe ao encarregado atuar com “ética, integridade e autonomia” para evitar esse tipo de situação. É de responsabilidade dele declarar ao agente de tratamento qualquer situação que possa configurar conflito de interesses.

O regulamento não proíbe os encarregados de acumular funções nem de trabalhar para mais de um agente de tratamento, desde que seja possível cumprir com todas as suas atribuições e não exista conflito de interesses.

A ANPD afirma que cabe ao agente de tratamento atentar para que o encarregado não exerça atribuições que acarretem conflito de interesses. Se houver a possibilidade de conflito, o agente deverá implementar medidas para afastar o risco; deixar de indicar a pessoa para a função de encarregado ou substituir a pessoa que já foi designada.

Os casos suspeitos de conflito de interesses serão verificados pela autoridade, que poderá aplicar uma sanção ao agente de tratamento nos termos previstos na LGPD.

De acordo com o texto, o conflito de interesses pode se configurar:

I – entre as atribuições exercidas internamente em um agente de tratamento ou no exercício da atividade de encarregado em agentes de tratamento distintos; ou

II – com o acúmulo das atividades de encarregado com outras que envolvam a tomada de decisões estratégicas sobre o tratamento de dados pessoais pelo controlador, ressalvadas as operações com dados pessoais inerentes às atribuições do encarregado.

Veja a resolução na íntegra.

Postado em Tera Talks.