ANPD: regulamentação define funções e responsabilidades do encarregado de dados

Com os avanços significativos após seis anos da promulgação da Lei Geral de Proteção de Dados Pessoais (LGPD) tanto na adequação das empresas, quanto na educação das pessoas em relação ao uso e tratamento dos dados, algumas novas funções e estruturas foram criadas para garantir conformidade legal e a cultura de privacidade – como é o caso do Encarregado dos Dados, ou Data Protection Officer (DPO).

Qual é o papel do encarregado pelo tratamento de dados pessoais?

O encarregado dos dados é o representante do controlador para comunicação com os titulares dos dados e com a Autoridade Nacional de Proteção de Dados (ANPD). Essa função pode ser exercida tanto por pessoa física ou jurídica, com a possibilidade de internalização ou terceirização do DPO.

As responsabilidades deste profissional vêm sendo discutidas e aprimoradas, com ações promovidas pela ANPD. Recentemente, no início de agosto de 2024, ocorreu o Encontro Nacional dos Encarregados, em colaboração com a Escola Nacional de Administração Pública (ENAP), reunindo diferentes setores para debater as atribuições do encarregado pelo tratamento de dados pessoais, trocar experiências, discutir desafios e buscar soluções práticas relacionadas à privacidade e proteção de dados.

Além disso, um mês antes, a Autarquia aprovou a Resolução CD/ANPD nº 18, de 16 de julho de 2024, que discorre sobre atuação do encarregado de dados pessoais, conforme a Lei nº 13.709/2018 e regulamenta os artigos 41, § 3º e 55-J, inciso XIII da referida lei, definindo as responsabilidades e funções do encarregado. 

Regulamentação define funções e responsabilidades do DPO

Com a regulamentação diversos aspectos já esperados foram reforçados, como a divulgação das informações do Encarregado e sua função de mediador entre titular de dados, empresa e ANPD. Porém, adicionalmente, formaliza algumas responsabilidades que antes eram subentendidas e agora foram trazidas de forma expressa. 

Neste sentido, dentre os aspectos cobertos no regulamento, destacam-se:

• Indicação do encarregado: deve ser formalizada e registrada, e define que os agentes de tratamento de pequeno porte estão dispensados desta obrigatoriedade, mas devem manter um canal de comunicação com os titulares de dados e faculta a indicação por operadores, definindo que tal atitude será considerada política de boas práticas de governança;
  
  
• Identidade e as informações de contato do encarregado: devem ser publicamente divulgadas no sítio eletrônico do agente de tratamento, garantindo transparência e fácil contato. O agente de tratamento que não possuir sítio eletrônico poderá realizar a divulgação da identidade e das informações de contato do encarregado por quaisquer outros meios de comunicação disponíveis, especialmente aqueles usualmente utilizados para contato com os titulares;
  
  
• Atuação: a encarregado deve possuir conhecimento sobre a legislação de proteção de dados, além de atuar com ética e integridade, podendo acumular funções, desde que isso não prejudique suas atribuições ou gere conflitos de interesse;
  
  
• Responsabilização: o desempenho das atividades do encarregado de dados pessoais não o responsabiliza pela conformidade do tratamento de dados pelo controlador, que continua sendo responsável por garantir que suas operações estejam de acordo com a LGPD;
  
  
• Setor público: para empresas do setor público, também deve haver a indicação de encarregado de dados, preferencialmente, sobre servidores ou empregados públicos detentores de reputação ilibada. Ademais, a indicação do encarregado por essas entidades faz presumir sua competência sobre toda a estrutura organizacional subordinada ao órgão, exceto em caso de ressalva expressa no ato de indicação;
  
  
• Atribuições: entre as atividades e atribuições do encarregado, está aceitar reclamações e comunicações dos titulares, receber e adotar providências em resposta às comunicações da ANPD e orientar funcionários sobre práticas de proteção de dados;
  
  
• Registros e comunicações: é papel do encarregado auxiliar na elaboração de registros e comunicações de incidentes de segurança, relatórios de impacto à proteção de dados pessoais (RIPD) e na implementação de políticas internas de segurança. 

Por fim, o regulamento reforça que a autonomia técnica do encarregado deve ser garantida pelo agente de tratamento, assegurando que ele possa realizar suas funções sem interferências indevidas e que possua acesso à alta liderança para subsidiar os líderes que são responsáveis por tomadas de decisão estratégicas.

Além disso, o regulamento prevê a possibilidade de o encarregado ser uma pessoa natural ou jurídica, e estabelece que não é necessária inscrição em entidade ou certificação específica para o exercício da função.