Publicada resolução que regulamenta nomeação e atuação do Encarregado

A Autoridade Nacional de Proteção de Dados (ANPD) divulgou em 16 de julho uma nova regulamentação que estabelece normas complementares sobre a indicação, a definição, as atribuições e a atuação do encarregado, de que trata a Lei nº 13.709, de 14 de agosto de 2018. Confira a íntegra do novo normativo aqui.

O Encarregado pelo tratamento de dados pessoais ou DPO (Data Protection Officer - sigla originada da mesma função no GDPR) é o responsável por orientar e promover a implementação de uma série de ações relacionadas à conformidade com a LGPD, além de ter a atribuição de aceitar reclamações e comunicações das pessoas que tenham seus dados pessoais tratados pela organização na qual atua e receber comunicações da ANPD para adoção das providências cabíveis.

Quais organizações, obrigatoriamente, precisam nomear Encarregado pelo tratamento de dados pessoais?

Todas as organizações privadas e públicas, que atuam na condição de controladores de dados pessoais, dentre elas as cooperativas, precisam nomear Encarregado pelo tratamento de dados pessoais, com exceção daquelas que se enquadrarem na condição de agente de tratamento de pequeno porte (para tanto, deverão ser contemplados os requisitos estabelecidos na Resolução nº 2/2022 da ANPD).

Segundo a ANPD, a nomeação de Encarregado por organizações privadas e públicas que atuam na condição de operadores de dados pessoais é facultativa e será considerada como boa prática de governança.

Quais as atribuições definidas para os Encarregados pela ANPD?

• Aceitar e receber reclamações e comunicações das pessoas físicas com quem as organizações se relacionam, tomando as providências necessárias;
• Receber comunicações da ANPD e adotar providências;
• Orientar os funcionários e contratados sobre boas práticas de proteção de dados pessoais;
• Registrar e comunicar incidentes de segurança;
• Elaborar e manter atualizado o registro das operações de tratamento de dados pessoais;
• Elaborar relatório de impacto à proteção de dados pessoais;
• Definir e implementar mecanismos internos de supervisão e de mitigação de riscos relativos ao tratamento de dados pessoais;
• Definir medidas de segurança, técnicas e administrativas, aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito;
• Definir, elaborar e implementar processos e políticas internas que assegurem o cumprimento da LGPD e dos regulamentos e orientações da ANPD;
• Elaborar instrumentos contratuais que disciplinem questões relacionadas ao tratamento de dados pessoais;
• Definir controles apropriados para transferências internacionais de dados;
• Definir, elaborar e implementar regras de boas práticas e de governança para o programa de privacidade e proteção de dados pessoais; e
• Definir e implementar controles para que produtos e serviços adotem padrões de design compatíveis com os princípios previstos na LGPD, incluindo a privacidade por padrão e a limitação da coleta de dados pessoais ao mínimo necessário.

ATENÇÃO: As cooperativas devem se certificar que os Encarregados nomeados tenham condições de realizar as atribuições acima.

E a nomeação do Encarregado? Deve ser formal?

Sim. De acordo com as novas regras, o Encarregado deverá ser nomeado por ato formal, no qual também constem as atividades que devem ser desempenhadas.

São atos formais aqueles que constam em documentos escritos, datados e assinados. Exemplos: resoluções, portarias, termos de nomeação, dentre outros.

E como fica em caso de ausência do Encarregado?

Outra novidade da regulamentação é a nomeação de Encarregado substituto para atuação quando das ausências, impedimentos ou vacâncias do encarregado titular, o qual também deverá ser formalmente nomeado.

As organizações podem optar, desde já, pela nomeação de Encarregado substituto, para não ter de nomear formalmente e emitir documentos reiterados para cada um dos momentos em que o titular estiver ausente ou impedido de realizar as suas atribuições.

E onde as informações do Encarregado devem ser disponibilizadas?

Reforçando o que já constava no próprio texto da LGPD, a resolução prevê que a identidade e informações de contato do Encarregado devem ser divulgadas em ambientes de fácil acesso ao público que tem seus dados pessoais tratados pelas organizações, preferencialmente nos sites.

• Atenção 1: Se a cooperativa nomeou Encarregados pessoa jurídica (prestadores de serviço que atuam nessa condição, por exemplo), o nome da pessoa física responsável pelas atividades também deverá ser indicado.
• Atenção 2: Cooperativas que não possuem site, deverão dar publicidade as informações acima nos canais que usualmente utilizam para se comunicar e divulgar suas ações.

Qual a qualificação esperada de quem atua como Encarregado?

Pode atuar na condição de Encarregado uma pessoa jurídica (prestador de serviços especializados contratado para tanto) ou uma pessoa física integrante ou não do quadro de colaboradores da cooperativa.

A ANPD indicou que “cabe ao agente de tratamento estabelecer as qualificações profissionais necessárias para o desempenho das atribuições do encarregado, considerando seus conhecimentos sobre a legislação de proteção de dados pessoais, bem como o contexto, o volume e o risco das operações de tratamento realizadas”.

Sendo assim, a própria cooperativa, ciente dos riscos relacionados ao seu ambiente de negócios e às atividades que realiza, deverá avaliar a qualificação do Encarregado que pretender nomear, considerando seus conhecimentos sobre a legislação e as atividades de tratamento realizadas pela organização.

Qualquer colaborador pode ser Encarregado?

Não. De acordo com as novas regras, o Encarregado deverá atuar com autonomia técnica, ética e integridade, evitando situações que possam configurar conflitos de interesse.

A ANPD indica que o Encarregado apenas poderá acumular outras funções se for possível o pleno atendimento das suas atribuições e se inexistir conflitos de interesse.

• Poderá configurar conflito de interesse a situação em que o Encarregado atuar em outras atividades que possibilitem a tomada de decisões estratégicas sobre as atividades de tratamento de dados pessoais.
• Ou seja, os casos em que os Encarregados atuarem também como coordenadores, gerentes ou diretores (portanto, tomando decisões sobre uma série de atividades que envolvem dados pessoais), poderão caracterizar conflito de interesse.
• De acordo com o texto da resolução, a existência de conflito de interesse poderá ensejar a aplicação de sanções por descumprimento da LGPD.
• O próprio Encarregado, identificando situação que pode configurar conflito de interesse, deverá comunicar à cooperativa em que atua na mencionada posição.

Resumindo...

• As atribuições do Encarregado são diversas, além de multidisciplinares e complexas.
• As cooperativas devem nomear formalmente pessoas físicas ou jurídicas que realmente tenham capacidade para o desempenho de todas as atribuições que são próprias do Encarregado.
• Além do Encarregado titular, um substituto deverá ser nomeado para atuar nos períodos em que a atuação do titular não seja possível em razão de ausências, impedimentos ou vacâncias.
• A nomeação do substituto pode ocorrer desde já e não necessariamente para cada ato (cada período de ausência do titular, por exemplo).
• A nomeação deve ocorrer por ato formal, bem como a identificação e as formas de contatar o Encarregado deverão estar indicadas no site da organização.
• Para prevenir e evitar situações que caracterizem conflito de interesse, o Encarregado nomeado não deverá desempenhar outras funções que lhe possibilitem tomar decisões sobre atividades desenvolvidas pelas organizações que envolvam o tratamento/utilização de dados pessoais.

A análise minuciosa dessa resolução é essencial e deve ser uma prioridade das cooperativas, dado o impacto significativo que ela pode ter nos programas de conformidade com a LGPD.

É fundamental realizar ajustes nos procedimentos internos e documentos que integram o Programa de Conformidade das cooperativas para o pleno atendimento das disposições previstas na Resolução publicada.

Gostou do tema? Nos acompanhe e fique por dentro de todas as orientações publicadas pela ANPD sobre proteção de dados pessoais.