A Autoridade Nacional de Proteção de Dados (ANPD) publicou no último dia 17 de julho o seu Regulamento sobre a atuação do Encarregado pelo Tratamento de Dados Pessoais (“Encarregado”) dos controladores no Brasil.
Esse Regulamento, dentre outras regras, estabelece as normas complementares para atuação desse profissional, mais conhecido como DPO (Data Protection Officer) em razão da sigla utilizada na União Europeia, em todas as instituições que tratam dados pessoais no país.
Com essa publicação, a ANPD regulamentou alguns itens importantes para o correto exercício do Encarregado, podendo ser destacado:
(i) Indicação do Encarregado:
- A indicação do Encarregado deve ser realizada por ato formal, por meio de um documento escrito, datado e assinado que indica de forma clara e inequívoca a intenção do agente de tratamento indicar o Encarregado.
- Sendo solicitado, esse documento deve ser apresentado à ANPD.
- Além da indicação do Encarregado também é necessário fazer a indicação de um substituto que o substituirá sempre que necessário.
- Para Agentes de Tratamento de pequeno porte, a indicação do Encarregado permanece facultativa, sendo considerada uma boa-prática caso ela seja realizada.
(ii) Obrigações dos Agentes de Tratamento para o Encarregado:
- Os Agentes de Tratamento devem garantir ao Encarregado autonomia técnica, livre de interferência indevidas, de modo que ele possa exercer sua função de forma correta e nos termos da LGPD.
- Os Agentes também devem garantir que o Encarregado tenha acesso às pessoas de maior nível hierárquico dentro da organização, bem como aos responsáveis pela tomada de decisões estratégicas que afetem ou envolvam o tratamento de dados pessoais.
(iii) Características do Encarregado:
- Permanece válida a opção de o Encarregado ser uma pessoa natural (pessoa física) ou uma pessoa jurídica.
- Não é pressuposto para exercício dessa função a inscrição em qualquer entidade e nem a obtenção de qualquer certificação ou formação profissional específica.
(iv) Responsabilidades:
- O Encarregado, além das responsabilidades já estabelecidas na LGPD, deverá aceitar as reclamações de titulares, comunicações da ANPD e trabalhar na orientação dos funcionários e contratados dos Agentes de Tratamento a respeito das práticas relacionadas à proteção de dados pessoais.
- Ele será responsável por realizar os registros de incidentes de segurança, das operações de tratamento de dados e dos relatórios de impacto à proteção de dados (RIPD).
- As responsabilidades previstas na regulamentação não conferem ao Encarregado a responsabilidade, perante a ANPD, pela conformidade do tratamento de dados pessoais realizados pelo controlador.
(v) Conflitos de Interesse:
- O Encarregado também deverá observar as situações que possam configurar conflito de interesse, atuando de forma a evitá-las.
- O Encarregado poderá exercer as suas atividades para mais de um Agente de Tratamento, porém inexista conflito entre tais atividades, sob pena de aplicação das sanções previstas no Art. 52 da LGPD.
A equipe de Compliance e Integridade do Rolim Goulart Cardoso encontra-se à disposição para mais esclarecimentos e para auxiliá-los na discussão judicial do tema.