O Instituto Nacional de Proteção de Dados (INPD), em atenção a sua missão institucional de promover e fortalecer a cultura de proteção de dados pessoais no Brasil, e garantir a segurança e a privacidade das informações dos cidadãos, atuando para assegurar a conformidade com a Lei Geral de Proteção de Dados Pessoais (LGPD) e fomentar boas práticas no tratamento de dados, apresentou, em dezembro de 2023, à Autoridade Nacional de Proteção de Dados (ANPD), um relatório contendo contribuições à minuta de Regulamento publicada em 7 de dezembro do respectivo ano.
O relatório destacou na época a necessidade de estabelecer-se parâmetros objetivos para a definição de conflito de interesses, revisões na indicação da identidade do encarregado, definição de ato formal para constituição do encarregado, explicitação do escopo das funções de um substituto, entre outros pontos.
Neste contexto, a ANPD divulgou o Regulamento sobre a Atuação do Encarregado pelo Tratamento de Dados Pessoais, estabelecendo normas complementares para a indicação, atribuições e responsabilidades do encarregado, acatando grande parte das sugestões apresentadas pelo INPD.
A seguir, apresentamos um resumo das principais obrigações e responsabilidades dos agentes de tratamento de dados pessoais conforme o novo regulamento.
1. Disposições Preliminares
O Regulamento estabelece normas complementares sobre a indicação, definição, atribuições e atuação do encarregado, conforme a Lei nº 13.709, de 14 de agosto de 2018 (LGPD). Define-se encarregado como a pessoa indicada para atuar como canal de comunicação entre o controlador, os titulares dos dados e a ANPD.
2. Indicação do Encarregado
- A indicação do encarregado deve ser realizada por ato formal, documentado, datado e assinado pelo agente de tratamento.
- Em ausências, impedimentos ou vacâncias, a função será exercida por substituto formalmente designado.
- Para agentes de tratamento de pequeno porte, a indicação do encarregado é dispensada, devendo ser disponibilizado um canal de comunicação com os titulares dos dados.
- Pessoas jurídicas de direito público devem indicar um encarregado preferencialmente entre servidores públicos com reputação ilibada.
- Indicação facultativa de encarregado aos operadores.
- Cabe ao agente de tratamento estabelecer as qualificações profissionais necessárias para o desempenho das atribuições do encarregado, considerando os seus conhecimentos sobre a legislação de proteção de dados, bem como o contexto, volume e risco de tratamento realizados.
- Deve ser divulgada a identidade e as informações de contato do encarregado. No caso de pessoa natural, o nome completo. No caso de pessoa jurídica, o nome empresarial ou título do estabelecimento, bem como o nome completo da pessoa natural responsável.
- O exercício da atividade não pressupõe inscrição em qualquer entidade, nem certificação profissional específica.
- Cabe ao encarregado prestar assistência e orientação ao agente de tratamento na elaboração, definição e implementação de registro e comunicação de incidentes, registro de operações de tratamento, relatório de impacto à proteção de dados pessoais, mecanismos internos de supervisão e de mitigação de riscos, medidas de segurança técnicas e administrativas, processos e políticas internas, instrumentos contratuais que disciplinem questões relacionadas ao tratamento de dados pessoais, além de regras de boas práticas e produtos e serviços que adotem padrões de design compatíveis com os princípios da LGPD.
- As obrigações previstas nos arts. 15 e 16 não conferem ao encarregado a responsabilidade perante a ANPD pela conformidade do tratamento, que é do controlador/operador.
3. Identidade e Informações de Contato do Encarregado
- A identidade e as informações de contato do encarregado devem ser divulgadas publicamente e mantidas atualizadas no site do agente de tratamento.
- A divulgação deve incluir nome completo e dados de contato para facilitar a comunicação com titulares e a ANPD.
4. Deveres dos Agentes de Tratamento
- Prover os meios necessários para o exercício das atribuições do encarregado, incluindo recursos humanos, técnicos e administrativos.
- Solicitar assistência e orientação do encarregado em atividades e decisões estratégicas relacionadas ao tratamento de dados pessoais.
- Garantir ao encarregado a autonomia técnica necessária para suas atividades, livre de interferências indevidas.
- Assegurar meios eficazes para a comunicação dos titulares com o encarregado.
- Garantir ao encarregado acesso direto aos níveis hierárquicos mais altos e às áreas responsáveis pela tomada de decisões estratégicas.
5. Atribuições do Encarregado
- Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências cabíveis.
- Receber comunicações da ANPD e adotar as medidas necessárias para o atendimento das solicitações.
- Orientar funcionários e contratados sobre práticas de proteção de dados pessoais.
- Prestar assistência na elaboração e implementação de registros de incidentes de segurança, relatórios de impacto à proteção de dados, mecanismos internos de mitigação de riscos, medidas de segurança, processos internos, instrumentos contratuais, transferências internacionais de dados, regras de boas práticas e governança.
6. Conflito de Interesse
- O encarregado deve atuar com ética, integridade e autonomia técnica, evitando situações de conflito de interesse.
- Pode acumular funções para mais de um agente de tratamento desde que não haja conflito de interesse.
- O encarregado deve declarar qualquer situação que possa configurar conflito de interesse ao agente de tratamento.
- O agente de tratamento deve adotar medidas para evitar ou mitigar conflitos de interesse, incluindo a substituição do encarregado, se necessário.
Responsabilidades dos Agentes de Tratamento
- Controlador: Responsável por tomar decisões sobre o tratamento de dados pessoais.
- Operador: Realiza o tratamento de dados pessoais em nome do controlador.
- Ambos os agentes são responsáveis pela conformidade com a LGPD e devem garantir que os dados pessoais sejam tratados de acordo com as normas estabelecidas.
- Devem prover os meios necessários para o exercício das atribuições do encarregado de dados, incluindo recursos humanos, técnicos e administrativos.
- Devem solicitar assistência e orientação do encarregado quando da realização de atividades e tomada de decisões estratégicas referentes ao tratamento de dados pessoais.
- Devem garantir autonomia técnica ao encarregado.
- Devem garantir ao encarregado acesso direto às pessoas de maior nível hierárquico.
Comissão de Governança e Compliance do INPD
Presidente: Atilio A. S. Braga
Membro: Luíza Parolin