A Autoridade Nacional de Proteção de Dados (“ANPD”) tornou pública, nesta última quinta-feira (17.07.2024), a Resolução nº 18/2024, que aprova o regulamento que normatiza o papel do Encarregado pelo Tratamento de Dados Pessoais, também chamado de Data Protection Officer ou DPO. O regulamento entrou em vigor na mesma data e visa complementar a Lei Geral de Proteção de Dados (“LGPD”), que já previa a necessidade de os controladores de dados indicarem um encarregado pelo tratamento de dados pessoais, mas não abordava questões gerais sobre a sua atuação, atribuições, qualificações necessárias e forma de indicação.

Diante da iniciativa da ANPD de regulamentar a posição do encarregado, nosso time de proteção de dados elaborou uma lista com algumas das principais novidades trazidas pelo regulamento para que os agentes de tratamento possam se adequar à nova normativa:

Características do Encarregado

  • O encarregado indicado pelo agente de tratamento poderá ser (i) uma pessoa natural (interna ou externa à entidade) ou (ii) pessoa jurídica (como no serviço de DPO as a Service).
  • O encarregado poderá acumular funções e/ou exercer atividades para mais de um agente de tratamento, desde que inexista conflito de interesse no desempenho da posição, o que poderá ser verificado diante do caso concreto pela própria ANPD e ensejar a aplicação de sanção nos termos do art. 52 da LGPD.
  • O próprio agente de tratamento deverá definir as qualificações profissionais necessárias para o desempenho das atribuições do encarregado, tendo como base o conhecimento sobre a legislação pertinente de proteção de dados, o contexto, o volume e o risco das operações de tratamento realizadas pelo agente.
  • Não é necessária formação profissional específica, inscrição em qualquer entidade ou obtenção de certificação para o desempenho das atividades de encarregado. No entanto, o agente de tratamento pode estabelecer as qualificações profissionais necessárias para o encarregado, conforme esclarecido acima.

Indicação do Encarregado

  • Deverá ser realizada por ato formal (i.e., escrito, datado e assinado), que contemple as formas de atuação e atividades a serem desempenhadas.

Dados de contato do Encarregado

  • O agente de tratamento deverá disponibilizar em seu site, caso o tenha, em local de destaque e fácil acesso, as seguintes informações sobre o encarregado: (a) nome completo, se for pessoa natural; (b) razão social, bem como o nome completo da pessoa natural responsável, se pessoa jurídica; e (c) meio de comunicação que viabilize o exercício de titulares e o recebimento de comunicações da ANPD.

Novos deveres dos agentes de tratamento

  • Disponibilizar os meios necessários para o exercício das atribuições do encarregado, incluindo recursos humanos, técnicos e administrativos.
  • Solicitar orientação do encarregado para a tomada de decisões estratégicas ou na realização de atividades envolvendo o tratamento de dados pessoais.
  • Garantir autonomia técnica do encarregado para cumprimento das suas atribuições, sem interferências indevidas, principalmente na orientação à temas envolvendo proteção de dados pessoais.
  • Dar acesso direito ao encarregado às pessoas de maior nível hierárquico dentro da organização, aos responsáveis pela tomada de decisões estratégicas que afetem ou envolvam o tratamento de dados pessoais, bem como às demais áreas da organização.

Atribuições

De forma geral, as atividades do encarregado permaneceram as mesmas daquelas já previstas no art. 41, §2º, da LGPD, incluindo receber comunicações/reclamações de titulares e da ANPD, orientar os funcionários e contratados do agente de tratamento a respeito das práticas de proteção de dados e executar as demais atribuições determinadas pelo agente de tratamento. Contudo, é preciso destacar que além das atribuições originais previstas na LGPD, o regulamento dispôs algumas novas atribuições ao encarregado, incluindo, por exemplo, a assistência e orientação ao agente de tratamento em incidentes de segurança, registros de operações de tratamento, relatórios de impacto, medidas de segurança da informação, transferência internacional de dados, políticas e contratos envolvendo o tema de proteção de dados, entre outras.

Para acessar a íntegra do novo regulamento da ANPD, favor acessar: https://www.in.gov.br/en/web/dou/-/resolucao-cd/anpd-n-18-de-16-de-julho-de-2024-572632074

Em caso de dúvidas, a equipe de direito de proteção de dados do Mello Torres Advogados encontra-se à disposição, através dos dados de contato abaixo:

Fabricio A. Cardim de Almeida – fabricio.cardim@mellotorres.com.br               

Gláucia Gomes Menato – glaucia.menato@mellotorres.com.br    

Marianna Morelli Laurini – marianna.laurini@mellotorres.com.br               

Gustavo Amaral Santos Köhnen – gustavo.kohnen@mellotorres.com.br            

Ivan Lago Mariotto –  ivan.mariotto@mellotorres.com.br