Novo Regulamento da ANPD: Diretrizes e Responsabilidades do Encarregado pelo Tratamento de Dados Pessoais

A Autoridade Nacional de Proteção de Dados (“ANPD”) publicou seu novo regulamento sobre a atuação do encarregado pelo tratamento de dados pessoais. Figura central na governança em privacidade, ele é o ponto de encontro entre o agente de tratamento, o titular e a autarquia, sendo o canal principal para as questões que envolvam dados pessoais numa organização.
A obrigação de designar um encarregado está presente desde 2020, com a vigência da Lei Geral de Proteção de Dados Pessoais (LGPD). O descumprimento dessa obrigação já foi, inclusive, base para sanção aplicada pela ANPD. A lei estabeleceu disposições simplificadas para a escolha, divulgação e atuação do encarregado, deixando para o regulamento atual a definição mais específica desse papel.

Quem deve apontar um encarregado?

O Controlador, a quem compete as decisões do tratamento de dados pessoais, deve obrigatoriamente indicar um encarregado, como previsto na LGPD.
O  Operador, ao buscar as melhores práticas de governança de dados, também poderá facultativamente indicar um encarregado e será um parâmetro favorável na dosimetria de possíveis sanções.
Agentes de Tratamento de Pequeno Porte, por sua vez, seguem desobrigados de indicar encarregado, mantendo as disposições ainda vigentes do “Regulamento para Agentes de Tratamento de Pequeno Porte”, devendo tão somente manter canal aberto de comunicação para titulares.

Quem pode assumir a posição de encarregado? 

 O encarregado poderá ser pessoa natural, integrante ou não da organização; ou pessoa jurídica e deverá ser capaz de comunicar-se em língua portuguesa de forma clara com os titulares e a ANPD.
Não há pré-requisito de registro em entidade, cerificação ou formação específica. Cabe ao agente de tratamento estabelecer as qualificações profissionais relevantes para desempenho do cargo, considerando (i) o conhecimento referente à legislação de proteção de dados pessoais e (ii) a complexidade e riscos de suas atividades de tratamento.
Não há impedimento, ainda, para que o encarregado acumule funções ou que exerça essa posição concomitantemente em diferentes empresas, desde que possível cumprir suas atribuições de maneira plena. É, porém, dever mútuo do agente e do encarregado avaliar possíveis situações de conflito de interesses que possam surgir:

• Entre suas atribuições internas ou exercício de função em diferentes agentes; ou
• Com o acúmulo de outras atividades que envolvam decisões estratégicas sobre o tratamento de dados pessoais, exceto àquelas inerentes de suas atribuições como encarregado.

O encarregado é responsável ainda por comunicar ao agente de tratamento qualquer conflito de interesse que possa emergir.
Nesses casos, o agente de tratamento deverá se abster de indicar a pessoa para a função, implementar medidas para afastar o risco de conflito de interesse ou substituir por outra pessoa apta.

Como indicar um encarregado?

 O encarregado deverá ser indicado por ato formal, em documento escrito, que conterá:

• Data e Assinatura;
• Designação clara e inequívoca do encarregado;
• As formas de atuação e atividades de sua função, que devem considerar aquelas colocadas como mínimas pela própria Resolução.

Este documento poderá ser requisitado pela ANPD.
A impossibilidade de atuação do encarregado ou qualquer ausência, como suas férias, não deverão afetar os direitos dos titulares ou a comunicação com ANPD. Nesses casos, um substituto, também  formalmente designado, deverá assumir suas atribuições.    

Quais as atividades do encarregado?

Cabe ao encarregado:

Atender solicitações externas: Receber as comunicações dos titulares e da ANPD. Coordenar e auxiliar internamente as áreas necessárias para solucioná-las.
Assistência e governança de dados: Auxiliar na elaboração, definição e implementação de registros, relatórios, mecanismos de supervisão, medidas de segurança, processos e políticas internas, instrumentos contratuais, transferências internacionais de dados, regras de boas práticas e governança, e outros aspectos estratégicos referentes ao tratamento de dados pessoais.
A norma garante margem de discricionariedade ao agente de tratamento para estipular atribuições adicionais e abre ainda a porta para futura norma complementar sobre o tema.

Quais os deveres do agente de tratamento?

O agente de tratamento, por sua vez, deverá:  
Prover recursos e autonomia: Fornecer ao encarregado recursos humanos, técnicos e administrativos necessários, além de garantir sua autonomia técnica para desempenhar suas funções sem interferências. O encarregado deve ter acesso direto aos líderes e responsáveis pelas decisões estratégicas que envolvem o tratamento de dados pessoais, com liberdade de navegar por todas as áreas e níveis da organização
Solicitar assistência e orientação: Consultar o encarregado em atividades e decisões estratégicas relacionadas ao tratamento de dados pessoais.
Facilitar comunicação e acesso: Assegurar meios eficazes para a comunicação dos titulares com o encarregado e garantir acesso direto aos principais tomadores de decisão dentro da organização.
A divulgação dos dados do encarregado deverá ser feita  em local de destaque e de fácil acesso, no site do agente de tratamento, e deverá conter:

• Nome completo, caso pessoa natural.
• Nome empresarial ou título do estabelecimento, junto do nome completo da pessoa natural responsável, se pessoa jurídica.
• Meios de contato.

Se o agente de tratamento não possuir um site próprio, poderá, excepcionalmente, realizar essa divulgação por qualquer outro meio de comunicação disponível, preferencialmente aqueles já utilizados para contato com os titulares.
Por fim, o agente de tratamento é o responsável último pela conformidade no tratamento de dados e pelo atendimento adequado às possíveis demandas da ANPD e dos titulares.  As atribuições do encarregado não se confundem com sua responsabilização.
A publicação do inteiro teor do regulamento está disponível aqui.