No dia 17.07, a Autoridade Nacional de Proteção de Dados (ANPD) publicou no Diário Oficial da União a Resolução CD/ANPD nº 18, de 16 de julho de 2024, que aprova o regulamento sobre a atuação do Encarregado pelo Tratamento de Dados Pessoais e estabelece normas complementares sobre a indicação, a definição, as atribuições e a atuação do encarregado.

Em atendimento ao art. 41, §3º da Lei Geral de Proteção de Dados Pessoais (LGPD), o Regulamento define aspectos do papel do Encarregado e cria dispositivos para regular outros aspectos controversos sobre o encarregado.

O papel do Encarregado pelo tratamento de dados

O Encarregado é uma figura criada pela Lei Geral de Proteção de Dados Pessoais (LGPD), nomeada pelos agentes de tratamento para atuar como canal de comunicação com os titulares dos dados e com a Autoridade Nacional de Proteção de Dados (ANPD). Uma de suas atribuições centrais é orientar os funcionários e contratados da entidade em relação às melhores práticas no tratamento de dados, sempre em conformidade com a LGPD.

A norma define que a indicação do Encarregado deve ser realizada por ato formal, escrito, datado e assinado pelo agente de tratamento, do qual constem as formas de atuação e as atividades. Destaca-se que os Agentes de Tratamento de Pequeno Porte dispensados de indicar encarregado devem, ainda assim, disponibilizar um canal de comunicação com o titular de dados. Ademais, em caso de ausências, impedimentos e vacâncias do Encarregado, a função será exercida por substituto formalmente designado.

Indicação do encarregado e divulgação da informação

O Regulamento dispõe que a indicação de encarregado por operadores é facultativa e será considerada política de boas práticas de governança e que caberá ao agente de tratamento estabelecer as qualificações profissionais necessárias para o desempenho das atribuições do Encarregado, considerando seus conhecimentos sobre a legislação de proteção de dados pessoais, bem como o contexto, o volume e o risco das operações de tratamento realizadas.

Nota-se, no entanto, que conforme estabelece o Guia Orientativo para Definição dos Agentes de Tratamento disponibilizado pela ANPD, “o agente de tratamento é definido para cada operação de tratamento de dados pessoais, portanto, a mesma organização poderá ser controladora e operadora, de acordo com sua atuação em diferentes operações de tratamento”. Isso significa que um agente poderá atuar como Operador em determinada relação contratual e como Controlador em relação aos seus próprios funcionários, por exemplo.

O agente de tratamento deverá divulgar e manter atualizadas a identidade e as informações de contato do encarregado, que deverão ser públicas, de forma clara e objetiva, em local de destaque e de fácil acesso, no sítio eletrônico do agente de tratamento ou, caso não possua site, poderá realizar a divulgação da identidade e das informações de contato do encarregado por quaisquer outros meios de comunicação disponíveis, especialmente aqueles usualmente utilizados para contato com os titulares.

A divulgação da identidade do Encarregado deverá abranger, no mínimo, o nome completo, se for pessoa natural, ou o nome empresarial ou o título do estabelecimento, bem como o nome completo da pessoa natural responsável, se pessoa jurídica. Ainda, deverá constar os dados referentes aos meios de comunicação que viabilizem o exercício dos direitos dos titulares junto ao controlador e possibilitem o recebimento de comunicações da ANPD.

Deveres dos Agentes de Tratamento

O texto elenca os deveres dos agentes de tratamento, sendo eles:

• Prover os meios necessários para o exercício das atribuições do encarregado, neles compreendidos, entre outros, recursos humanos, técnicos e administrativos;

• Solicitar assistência e orientação do encarregado quando da realização de atividades e tomada de decisões estratégicas referentes ao tratamento de dados pessoais;

• Garantir ao encarregado a autonomia técnica necessária para cumprir suas atividades, livre de interferências indevidas, especialmente na orientação a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;

• Assegurar aos titulares meios céleres, eficazes e adequados para viabilizar a comunicação com o encarregado e o exercício de direitos;

• Garantir ao encarregado acesso direto às pessoas de maior nível hierárquico dentro da organização, aos responsáveis pela tomada de decisões estratégicas que afetem ou envolvam o tratamento de dados pessoais, bem como às demais áreas da organização; e

• Ser responsável pela conformidade do tratamento dos dados pessoais, nos termos da LGPD.

Requisito de indicação do Encarregado

A norma define que o Encarregado poderá ser tanto uma pessoa natural, integrante do quadro organizacional do agente de tratamento ou externo a esse; ou uma pessoa jurídica. Em ambos os casos, ele deverá ser capaz de comunicar-se com os titulares e com a ANPD, de forma clara e precisa e em língua portuguesa, não sendo obrigatória a inscrição em qualquer entidade nem qualquer certificação ou formação profissional específica.

Atividades do Encarregado

Segundo o Regulamento, as atividades do encarregado consistem em:

• Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências cabíveis;

• Receber comunicações da ANPD e adotar providências, que incluem, entre outras, encaminhar internamente a demanda para as unidades competentes; fornecer a orientação e a assistência necessárias ao agente de tratamento; e indicar expressamente o representante do agente de tratamento perante a ANPD para fins de atuação em processos administrativos, quando esta função não for exercida pelo próprio encarregado;

• Orientar os funcionários e os contratados do agente de tratamento a respeito das práticas a serem tomadas em relação à proteção de dados pessoais, além de outras atividades e tomada de decisões estratégicas referentes ao tratamento de dados pessoais; e

• Executar as demais atribuições determinadas pelo agente de tratamento ou estabelecidas em normas complementares.

Conflito de interesses

Outro ponto abordado pelo texto foi a questão do conflito de interesses, que poderá ser configurado entre as atribuições exercidas internamente em um agente de tratamento ou no exercício da atividade de Encarregado em agentes de tratamento distintos; ou com o acúmulo das atividades de encarregado com outras que envolvam a tomada de decisões estratégicas sobre o tratamento de dados pessoais pelo controlador, ressalvadas as operações com dados pessoais inerentes às atribuições do Encarregado.

Deste modo, o Encarregado deverá atuar com ética, integridade e autonomia técnica, evitando situações que possam configurar conflito de interesse, caso contrário, poderá ensejar a aplicação de sanção ao agente de tratamento que não fizer esta verificação.

Destaca-se que o Encarregado poderá acumular funções e exercer as suas atividades para mais de um agente de tratamento, desde que seja possível o pleno atendimento de suas atribuições relacionadas a cada agente de tratamento e inexista conflito de interesses.

Conclusão

O Regulamento de atuação do Encarregado preenche mais algumas lacunas deixadas pelo texto original da LGPD, esclarecendo sobre as atividades, atribuições e responsabilidades do Encarregado, trazendo maior segurança jurídica aos agentes de tratamento.

No entanto, é possível perceber que o Regulamento traz também algumas disposições controversas, como a necessidade de indicação do nome do Encarregado, enquanto pessoa física, o que pode torná-lo suscetível a ataques pessoais.

Ademais, o Regulamento não traz nenhum esclarecimento acerca da possibilidade ou não de responsabilização direta do Encarregado em casos específicos, um tema que gera incerteza desde a vigência da LGPD.