Por Karyna Gaya
Post convidado
Foi publicada e entrou em vigor a Resolução nº 18, de 16.7.2024, da Autoridade Nacional de Proteção de Dados Pessoais – ANPD, que regulamenta a atuação do Encarregado de Dados Pessoais.
A Resolução destaca que o Encarregado deverá ser nomeado por ato formal, em forma de documento escrito, datado e assinado, que, de maneira clara e inequívoca, demonstre a intenção do agente de tratamento em realizar a designação.
O Encarregado poderá ser pessoa física, integrante do quadro organizacional do agente de tratamento ou externo a esse, ou uma pessoa jurídica. Em caso de nomeação externa, o mercado costuma referir-se à expressão DPOaaS (DPO as a Service).
Nos termos do artigo 9º da Resolução, a identidade e as informações de contato do Encarregado deverão ser divulgadas publicamente, de forma clara e objetiva, em local de destaque e de fácil acesso, no sítio eletrônico do agente de tratamento, abrangendo, no mínimo: o nome completo, se for pessoa natural; ou o nome empresarial ou o título do estabelecimento, bem como o nome completo da pessoa natural responsável, se pessoa jurídica.
A Lei Geral de Proteção de Dados (Lei nº 13.709/2018) já previa as seguintes atividades a serem exercidas pelo Encarregado: aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências cabíveis; receber comunicações da ANPD e adotar providências; orientar os funcionários e os contratados do agente de tratamento a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e executar as demais atribuições determinadas pelo agente de tratamento ou estabelecidas em normas complementares.
A Resolução nº 18/2024 determina, em seu artigo 16, que o Encarregado de Dados Pessoais deverá prestar assistência e orientação ao agente de tratamento na elaborração, definição e implementação das seguintes atividades: registro e comunicação de incidente de segurança; registro das operações de tratamento de dados pessoais; relatório de impacto à proteção de dados pessoais; mecanismos internos de supervisão e de mitigação de riscos relativos ao tratamento de dados pessoais; medidas de segurança, técnicas e administrativas, aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito; processos e políticas internas que assegurem o cumprimento da Lei nº 13.709, de 14 de agosto de 2018, e dos regulamentos e orientações da ANPD; instrumentos contratuais que disciplinem questões relacionadas ao tratamento de dados pessoais; transferências internacionais de dados; regras de boas práticas e de governança e de programa de governança em privacidade, nos termos do art. 50 da Lei nº 13.709, de 14 de agosto de 2018; produtos e serviços que adotem padrões de design compatíveis com os princípios previstos na LGPD, incluindo a privacidade por padrão e a limitação da coleta de dados pessoais ao mínimo necessário para a realização de suas finalidades; e outras atividades e tomada de decisões estratégicas referentes ao tratamento de dados pessoais.
Por fim, a Resolução destaca que o Encarregado deverá atuar com ética, integridade e autonomia técnica, evitando situações que possam configurar conflito de interesse. E como o conflito pode se configurar? Entre as atribuições exercidas internamente em um agente de tratamento ou no exercício da atividade de encarregado em agentes de tratamento distintos; ou com o acúmulo das atividades de encarregado com outras que envolvam a tomada de decisões estratégicas sobre o tratamento de dados pessoais pelo controlador, ressalvadas as operações com dados pessoais inerentes às atribuições do encarregado, diz o artigo 19 da Resolução.
Em sendo configuradas quaisquer das situações acima, o Encarregado deverá declarar ao agente de tratamento qualquer situação que possa configurar conflito de interesse, responsabilizando-se pela veracidade das informações prestadas.
Portanto, seja como integrante dos quadros do agente de tratamento ou como prestador de serviço externo, cabe ao Encarregado de Dados Pessoais, pessoa física ou jurídica, atentar-se ao cumprimento de todas as atividades previstas na LGPD e na nova Resolução, zelando pela ética, integridade e autonomia técnica no exercício de suas funções.
E você, como empresário, proteja os dados pessoais de seus clientes, colaboradores e representantes legais.
Aproveite para nomear ou revisar a indicação do seu encarregado de dados pessoais e assegure-se de que suas atividades estejam em conformidade com as diretrizes da Autoridade Nacional da Proteção de Dados, seja integrante de seus quadros ou DPOaaS.
Karyna Gaya é advogada sócia do escritório Imaculada Gordiano Sociedade de Advogados coordenadora Jurídica I Compliance I Direito Digital.