ANPD publica Guia Orientativo sobre atuação do Encarregado pelo tratamento de dados pessoais

Em 19 de dezembro de 2024, a ANPD publicou um guia orientativo complementar à Resolução nº 18, intitulado “Atuação do Encarregado pelo tratamento de dados pessoais” (“Guia”), com o objetivo de esclarecer pontos específicos sobre a nomeação e atuação da figura do Encarregado.

O Guia interpreta e apresenta o entendimento da Autoridade Nacional de Proteção de Dados (ANPD) com relação a temas regulados pela Resolução CD/ANPD nº 18/2024, que aprovou o Regulamento sobre a atuação do Encarregado pelo Tratamento de Dados Pessoais (“Regulamento”), também conhecido como Data Protection Officer (DPO).

À ocasião da publicação do Regulamento, o Lefosse preparou um material informativo para ajudar na compreensão dos principais pontos do novo Regulamento sobre atuação do Encarregado, com análise e recomendações, para as empresas e entidades do setor privado.

Aqui apresentamos informações complementares sobre os principais pontos apresentados pelo Guia, capazes de impactar aspectos de estruturas de governança em proteção de dados das empresas:

1. Orientações sobre como deve ser realizada a nomeação do Encarregado

De acordo com o Regulamento, a nomeação do Encarregado deve ser formalizada por meio de um “ato formal”, no qual constem as formas de atuação e as atividades que serão desempenhadas por esse profissional. O Guia reforça que o ato formal não precisa ser comunicado à ANPD, mas deve ser mantido pela organização e apresentado à autoridade quando solicitado.

O Guia também conta com dois modelos de documentos para o ato formal de nomeação do Encarregado, para pessoa natural e pessoa jurídica.

2. Nomeação do Encarregado substituto

O Guia recomenda que a nomeação de um substituto para o Encarregado seja feita de forma conjunta com a nomeação do Encarregado titular. Ou seja, não é aconselhável que o substituto seja nomeado apenas em casos de ausência ou impedimento do titular. Isso garante a continuidade das funções do Encarregado sem interrupções, caso o Encarregado titular se ausente temporariamente ou permanentemente.

Não há qualquer impedimento para que um prestador de serviços alheio à organização seja nomeado como Encarregado substituto terceirizado (o chamado “DPO as a Service”), o que inclusive pode ser um caminho útil para as situações em que não exista um substituto apto a assumir a função quando necessário.

3. Perfil e atuação do Encarregado

O Regulamento estabelece, e o Guia reforça, que o Encarregado pode ser uma pessoa natural ou uma pessoa jurídica contratada pela organização como prestadora de serviços. No caso de pessoa jurídica, deve ser indicado e divulgado um responsável individual pela atuação como Encarregado. Esse responsável deve ter pleno conhecimento sobre as práticas de proteção de dados da organização e deve ser capaz de atuar de forma autônoma e independente.

Adicionalmente, o Guia traz alguns entendimentos sobre as competências esperadas do Encarregado, para o adequado desenvolvimento de suas atribuições, conforme indicado abaixo:

    (I) Domínio da Língua Portuguesa

• De acordo com o entendimento apresentado pelo Guia, o Encarregado precisa ser capaz de se comunicar de maneira eficiente com os titulares de dados e com a ANPD em língua portuguesa. Embora a ANPD reconheça a possibilidade de atuação do Encarregado em conjunto com um time de proteção de dados ou comitê, o Guia indica que o Encarregado deve dominar a língua portuguesa. Ou seja, com base no entendimento do Guia não é aconselhável nomear como Encarregado alguém que dependa de intérprete ou tradutor para cumprir suas funções.

     (II) Qualificações do Encarregado

• O Encarregado precisa ter conhecimento profundo sobre a LGPD, as normas da ANPD, bem como sobre a natureza dos dados tratados pela organização. Além disso, o Guia indica que é desejável que o Encarregado tenha conhecimentos em gestão de riscos, segurança da informação, compliance e auditoria, uma vez que essas áreas estão diretamente relacionadas à proteção de dados pessoais. O Guia ainda reforça que não é necessário que o Encarregado obtenha certificações específicas.

4. Situações de conflito de interesse

O Regulamento já estabelecia que o Encarregado poderia acumular funções dentro da organização na inexistência de conflito de interesse, apresentando, no entanto, entendimento muito vago sobre o que poderia ser de fato interpretado como conflito de interesse.

Por sua vez, o Guia apresentou interpretação do que pode ser entendido como conflito de interesse, indicando que posições conflitantes são observadas quando o Encarregado acumula cargos de chefia, gerência ou direção, responsáveis pela determinação de meios e objetivos do tratamento de dados pessoais, vez que a atuação em posições desta natureza pode interferir na objetividade e na autonomia técnica necessárias ao Encarregado.

No Guia, para evitar esse tipo de conflito, a ANPD sugere a criação de uma “unidade organizacional própria” para a atuação do Encarregado, separada das áreas responsáveis por decisões estratégicas sobre o tratamento de dados, o que garantiria que suas decisões não sejam influenciadas por interesses conflitantes.

Diante deste cenário, o modelo de contratação de Encarregado terceirizado pode ser uma via para que as organizações contem com um Encarregado qualificado e experiente, sem a necessidade de estabelecer uma equipe interna dedicada exclusivamente a essas atividades. Ainda, na visão multidisciplinar da ANPD para atuação do Encarregado que o Guia apresenta, o recurso ao Encarregado terceirizado pode ser útil para assegurar que as organizações possam acessar um conjunto maior de competências regulatórias e técnicas, sem a necessidade de contratar internamente profissionais em um núcleo dedicado exclusivamente à proteção de dados.

5. Outros aspectos importantes

• De acordo com o Guia, os agentes de tratamento têm o dever de garantir que o Encarregado tenha condições técnicas e administrativas para desempenhar suas funções. Dentre outros aspectos, é necessário garantir que o Encarregado tenha acesso direto aos responsáveis estratégicos e possa atuar livremente para garantir a conformidade com a LGPD, bem como recursos proporcionais financeiros e de infraestrutura para exercer suas funções necessárias.
• O Guia reitera que o Encarregado não é o responsável legal pela conformidade do tratamento de dados realizado pela organização, tarefa que recai sobre esta.

Vale destacar que a versão atual do Guia ainda será sujeita a comentários e contribuições da sociedade e a ANPD informa no próprio Guia que este será atualizado, conforme necessidade, à medida que novas regulamentações e entendimentos forem publicados. Sugestões quanto a essa versão podem ser enviadas para a Ouvidoria da ANPD por meio da Plataforma Fala.br.

Ainda, apesar da novidade de ambos Regulamento e Guia, a ANPD já instaurou processos fiscalizatórios sobre a matéria, sinalizando a importância dada pelo órgão ao tema que, em nosso entendimento, é um dos aspectos que merece destaque quando da atualização de programas de governança em proteção de dados.

Nossa equipe especializada em Tecnologia, Proteção de Dados e Propriedade Intelectual acompanha de perto as mudanças e atualizações que impactam o setor. Para obter mais esclarecimentos sobre esse ou outros temas que sejam de seu interesse, entre em contato com o nosso time.