Em 17 de julho de 2024, a ANPD (Autoridade Nacional de Proteção de Dados) publicou a Resolução CD/ANPD nº 18 (“R18”), que aprova o Regulamento sobre a atuação do Encarregado pelo Tratamento de Dados Pessoais.
A R18 traz normas complementares à Lei nº 13.709, de 14 de agosto de 2018 – Lei Geral de Proteção de Dados Pessoais (LGPD) sobre a indicação, as atribuições e a atuação do Encarregado.
A LGPD define que o Encarregado é a pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a ANPD. O artigo 41 da LGPD trazia um rol de competências do Encarregado, mas em seu parágrafo 3º já mencionava que a ANPD poderia estabelecer normas complementares sobre as atribuições do Encarregado.
Dentre os avanços e inovações trazidas pela R18, destacamos os principais tópicos:
Indicação
Pré-R18 | A LGPD prevê em seu artigo 41 a indicação obrigatória de Encarregado pelo controlador, bem como a divulgação pública da identidade e de seu contato. Também lista as seguintes competências do Encarregado: aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências; receber comunicações da autoridade nacional e adotar providências; orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.Exceção: a Resolução CD/ANPS nº 2/2022 que aprova o Regulamento de Aplicação da LGPD para Agentes de Tratamento de Pequeno Porte, traz hipótese de dispensa de nomeação do Encarregado, quando não realizar tratamento de alto risco ao titular e tenham receita bruta inferior ao limite estabelecido no art. 3º, II, da Lei Complementar nº 123, de 2006 ou, no caso de startups, no art. 4º, § 1º, I, da Lei Complementar nº 182, de 2021. |
Pós-R18 | O ato de indicação do Encarregado deve ser formal, por meio de documento escrito, datado e assinado. É possível prever um substituto ao Encarregado, no caso de sua ausência ou impedimento ou vacância, mas o substituto também deverá ser formalmente designado. Os operadores podem, facultativamente, indicar um Encarregado e, caso o façam, será considerado como política de boas práticas de governança. Caberá ao agente de tratamento o estabelecimento das qualificações profissionais necessárias para o desempenho das atribuições do Encarregado, considerando seus conhecimentos e o contexto da operação de tratamento de dados pessoais. |
Da Identidade e das Informações de Contato do Encarregado
Pré-R18 | A LGPD prevê em seu art. 41, §1º que a identidade e as informações de contato do Encarregado deverão ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no sítio eletrônico do controlador. |
Pós-R18 | O agente de tratamento deverá divulgar os dados do Encarregado, incluindo:Nome completo, caso seja pessoa natural; ouNome empresarial ou título do estabelecimento e nome completo da pessoa natural responsável, se pessoa jurídica. Meios de comunicação que viabilizem o exercício dos direitos dos titulares e o recebimento de comunicações da ANPD. |
Deveres dos Agentes de Tratamento
Pré-R18 | A LGPD não trazia os deveres dos Agentes de Tratamento em relação ao Encarregado. |
Pós-R18 | Um dos pontos de inovação da R18 é a previsão dos deveres específicos do agente de tratamento em relação à atuação do Encarregado:Prover recursos humanos, técnicos e administrativos para o Encarregado exercer suas atribuições.Solicitar assistência do Encarregado em atividades e decisões estratégicas sobre tratamento de dados pessoais.Garantir ao Encarregado autonomia técnica para cumprir suas atividades, livre de interferências indevidas.Assegurar meios céleres e eficazes para a comunicação dos titulares com o Encarregado e o exercício de direitos.Garantir ao Encarregado acesso direto às pessoas de maior nível hierárquico e aos responsáveis por decisões estratégicas na organização. |
Encarregado
Pré-R18 | A LGPD não era clara quanto à natureza e qualificação do Encarregado. Mas, o Guia Orientativo mencionava que o Encarregado poderia ser pessoa física ou jurídica, ou um funcionário da organização ou um agente externo. |
Pós-R18 | A R18 estabelece que o Encarregado:Pode ser uma pessoa natural, que pode ser integrante do quadro organizacional do Agente de Tratamento ou externa a esse.Pode ser uma pessoa jurídica.Deve ser capaz de se comunicar com os titulares e ANPD, de forma clara e em língua portuguesa.Não pressupõe inscrição em entidade, nem qualquer certificação ou formação profissional específica. |
Atribuições do Encarregado
Pré-R18 | A LGPD prevê em seu art. 41, §2º, as atividades principais do Encarregado, em rol exemplificativo. |
Pós-R18 | A R18 reitera as atividades dispostas na LGPD, mas determina que o Encarregado adote as medidas necessárias para o atendimento da solicitação e para o fornecimento das informações pertinentes:encaminhar internamente a demanda para as unidades competentes;fornecer a orientação e a assistência necessárias ao Agente de Tratamento; eindicar expressamente o representante do Agente de Tratamento perante a ANPD.Ainda, cumprirá ao Encarregado dar assistência e orientação ao agente de tratamento em relação a:Incidentes de segurança;Registros de operações de tratamento de dados;Relatório de Impacto à proteção de dados;Mecanismos de segurança da informação;Processos e políticas internas;Instrumentos contratuais;Transferência internacional de dados;Privacy By Design;Outras atividades com decisões estratégicas relacionadas a dados pessoais. |
Conflito de Interesse
Pré-R18 | O Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado, publicado pela ANPD em 2022, trouxe como boa prática que o Encarregado atue com liberdade em suas atribuições. |
Pós-R18 | Com a Resolução 18, o Encarregado deverá atuar com ética, integridade e autonomia técnica, evitando situações que possam configurar conflito de interesse.O Encarregado pode acumular funções e atuar para mais de um Agente de Tratamento, desde que:Possa atender plenamente suas atribuições para cada Agente.Não haja conflito de interesse, seja internamente ou entre diferentes Agentes de Tratamento.Não acumule atividades de tomada de decisões estratégicas sobre o tratamento de dados pessoais pelo controlador, salvo operações inerentes às suas atribuições.A existência de conflito de interesse será verificada no caso concreto e poderá resultar em sanção ao Agente de Tratamento conforme art. 52 da Lei n. 13.709/2018, o que é uma novidade no cenário regulatório. Se identificado conflito de interesse, o Encarregado deve declarar ao Agente de Tratamento, que tomará como providências:Não indicar a pessoa para exercer a função de Encarregado.Implementar medidas para afastar o risco de conflito de interesse.Substituir a pessoa designada para exercer a função de Encarregado. |
Em resumo, os principais pontos da R18 podem ser elencados como:
- Estabelecimento do conceito de conflito de interesse do Encarregado;
- Indicação do Encarregado por ato formal – escrito, datado e assinado;
- Indicação de Encarregado pelos operadores como medida facultativa e, se realizada, será considerada como boa prática de governança em privacidade;
- A divulgação de dados de identificação completos do Encarregado e meios de comunicação para titulares e ANPD;
- A obrigação dos Agentes de Tratamento em prover um ambiente favorável à atuação do Encarregado, com autonomia, recursos e acesso à alta administração;
- A obrigação dos Agentes de Tratamento em cumprir a legislação de proteção de dados, reiterando a LGPD;
- A não necessidade de quaisquer certificações ou qualificações e formações específicas para atuar como Encarregado;
- A obrigação do Encarregado em evitar situações de conflito de interesse e, caso ocorra, notificar ao agente de tratamento;
- As situações de conflito de interesse que poderão ensejar as sanções previstas na LGPD, para os agentes de tratamento.
Em razão da R18, é importante que os agentes de tratamento e Encarregados consultem suas políticas e processos internos, a fim de atualizá-los em conformidade com a Resolução e implementá-los nas operações de tratamento de dados pessoais.
O GCAA está à disposição para aperfeiçoar o Programa de Privacidade e Proteção de Dados de seus clientes e garantir que estejam em conformidade com as atuais regras e diretrizes da ANPD.
Tae Young Cho
Camilla Chicaroni
Gabriel Lepore
Luigi Arantes
#ANPD #gcaa #gonsalesechoadvogadosassociados