Na última sexta-feira (28), a Autoridade Nacional de Proteção de Dados (ANPD) divulgou um guia em que, dentre outros pontos, traz orientações sobre a função do Encarregado pelo tratamento de dados pessoais – pessoa indicada pelo agente de tratamento para atuar como canal de comunicação com os titulares dos dados e com a ANPD.
Abaixo, a especialista em proteção de dados Cecilia Choeri, sócia de Chediak Advogados, listou as principais definições constantes da LGPD sobre o tema e orientações adicionais trazidas pelo guia:
– Todo agente de tratamento (controlador ou operador, organização pública ou privada) deve indicar Encarregado pelo tratamento de dados pessoais. Entretanto, normativas futuras da ANPD poderão trazer hipóteses de dispensa da necessidade de indicação do Encarregado, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados.
– Por agir como um ponto de contato com os titulares de dados e com a ANPD, a identidade e as informações de contato do Encarregado de dados devem ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no sítio eletrônico do agente de tratamento.
– São atividades do Encarregado: aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências; receber comunicações da autoridade nacional e adotar providências; orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
– O Encarregado poderá ser tanto um funcionário da instituição quanto um agente externo, pessoa física ou jurídica, idealmente indicado por um ato formal, como um contrato de prestação de serviços ou um ato administrativo.
– O Encarregado deve ter liberdade e recursos adequados para realizar suas atividades, como tempo, recursos financeiros, infraestrutura e recursos humanos. Não há vedação a que o Encarregado seja apoiado por uma equipe de proteção de dados.
– As qualificações profissionais do Encarregado devem ser definidas pelo agente de tratamento que o indica, considerando conhecimentos de proteção de dados e segurança da informação em nível que atenda às necessidades da operação da organização.
– Não há vedação a que um mesmo Encarregado atue em nome de diferentes organizações, contanto que seja capaz de realizar suas atribuições com eficiência, o que deve ser avaliado pelo agente de tratamento no caso concreto.
– Não há necessidade de comunicação ou de registro da identidade e das informações de contato do Encarregado perante a ANPD.
Finalmente, embora o guia informe que o Encarregado é o indivíduo responsável por garantir a conformidade da organização à LGPD, há a ressalva de que a responsabilidade pelas atividades de tratamento de dados pessoais continua sendo do agente de tratamento, conforme estabelece o artigo 42 da LGPD.
