Conheça a norma do encarregado!

Uma função essencial

O encarregado é o principal responsável por promover e disseminar uma cultura de proteção de dados na medida em que intermedia diferentes tensões existentes na busca pela implementação da proteção de dados. Tudo isso envolve orientações organizacionais, promoção do exercício dos direitos dos titulares até a resposta de requisições da ANPD.

Desde a criação da LGPD, a regulamentação é bastante esperada. Isso pode ser visto na quantidade de contribuições que o tema recebeu. Ao todo, a área técnica da ANPD analisou quase 1200 contribuições de mais de 200 pessoas.

O novo regulamento esclarece diversos aspectos da profissão. Nesse blog dividiremos ele em 3 seções: 1 – Indicação do encarregado e divulgação de seu contato. 2 – Obrigações do encarregado e agentes de tratamento  e 3 – Conflito de interesse. 

Detalhes do estudo

1. Indicação do encarregado e divulgação de seu contato

O regulamento estabelece que o encarregado pode ser uma pessoa natural ou jurídica. Quando se tratar de pessoa natural, é possível que ela corresponda a um cargo interno ou externo ao agente de tratamento. Além disso, a função de encarregado não depende de inscrição em entidade nem de certificação ou formação específica. Por último, o encarregado deve ser capaz de se comunicar com a ANPD ou titulares em língua portuguesa. (arts 12,13 e 14 da norma)

De acordo com a norma, a indicação do encarregado tem de ser feita por ato formal, um documento escrito, datado e assinado que demonstre a intenção do agente de tratamento em designar como encarregado. Tal documento deverá ser apresentado à ANPD quando for solicitado. Em caso de ausência do encarregado, a função deverá ser exercida por substituto formalmente designado. Tal ausência não pode levar a prejuízo do atendimento dos direitos dos titulares. (art 3°, §§ 1°,2° e 3°)

De acordo com a norma, o agente de tratamento pode definir quais qualificações são necessárias para que o encarregado exerça sua atividade no contexto de seu tratamento de dados. (art.7°). A norma também estabelece que o operador não é obrigado a indicar um encarregado, contudo, caso ele venha a indicar alguém, tal conduta poderá ser considerada uma política de boas práticas.

No setor público, o encarregado preferencialmente poderá ser um servidor público efetivo e todos os órgãos com características de controlador precisam indicar um encarregado (art. 5°, § 2°). 

No que tange à divulgação das informações de contato do encarregado: é preciso que o agente de tratamento divulgue mantenha atualizadas a identidade e as informações de contato do encarregado. Tais informações deverão ser divulgadas publicamente no sítio eletrônico do agente de tratamento. A divulgação de identidade deve conter o nome completo, se for pessoa natural, ou o nome empresarial ou o título do estabelecimento, bem como o nome completo da pessoa natural responsável, quando se tratar de pessoa jurídica. (arts 8° e 9° do regulamento)

2. Obrigações do encarregado e agentes de tratamento. 

• Encarregado

A norma estabelece as atividades do encarregado, suas atribuições complementares, bem como a responsabilidade pela conformidade à proteção de dados. Dentre as atividades previstas pela norma (art. 15), o encarregado deve:

1. Aceitar reclamações e comunicações dos titulares;

2. Receber comunicações da ANPD e adotar providências,

3. Promover ações de orientação organizacional em matéria de proteção de dados e

4. Executar as atribuições definidas do agente de tratamento

O encarregado também deverá adotar as medidas necessárias para o atendimento da solicitação da ANPD e para o fornecimento das informações pertinentes, adotando as seguintes providências:

1. Encaminhar internamente a demanda para as unidades competentes;

2. Fornecer a orientação e a assistência necessárias ao agente de tratamento; e

3. Indicar expressamente o representante do agente de tratamento perante a ANPD para fins de atuação em processos administrativos, quando esta função não for exercida pelo próprio encarregado

Já dentre as atribuições complementares, o encarregado pode orientar agentes de tratamento na elaboração de registro e comunicação de incidentes de segurança; Relatório de Impacto à Proteção de Dados, Registro das atividades de tratamento e na adoção de medidas de segurança,  dentre outras atividades.

Além disso, o regulamento destaca em seu art. 17 que o desempenho de tais atividades e atribuições pelo encarregado não o torna responsável pela conformidade do tratamento dos dados pessoais. Isto pois essa responsabilidade ainda fica a cargo do controlador.

• Agentes de tratamento

O regulamento estabelece que o agente de tratamento deverá: 

3. Prover os meios necessários para o exercício das atribuições do encarregado

4.  Solicitar assistência e orientação do encarregado quando da realização de atividades e tomada de decisões estratégicas referentes ao tratamento de dados pessoais;

5. Garantir ao encarregado a autonomia técnica necessária para cumprir suas atividades;

6. Assegurar meios céleres, eficazes e adequados para viabilizar a comunicação com o encarregado e o exercício de direitos dos titulares;

7. Garantir ao encarregado acesso direto às pessoas de maior nível hierárquico dentro da organização, aos responsáveis pela tomada de decisões estratégicas que afetem ou envolvam o tratamento de dados pessoais, bem como às demais áreas da organização.

Conflito de Interesses 

Como vimos, a atuação do encarregado depende da independência para atuar e promover a cultura de proteção de dados. Nesse sentido, o conflito de interesses entre o controlador e a conformidade à proteção de dados deve ser evitado. Para tanto, a norma  traz disposições específicas para isso.

A norma esclarece (art.19) que o encarregado pode acumular funções e exercer as suas atividades para mais de um agente de tratamento, desde que atenda às suas atribuições relacionadas a cada agente de tratamento e inexista conflito de interesse.

O conflito de interesse pode se configurar: (I) entre as atribuições exercidas internamente em um agente de tratamento ou no exercício da atividade de encarregado em agentes de tratamento distintos ou (II) com o acúmulo das atividades de encarregado com outras que envolvam a tomada de decisões estratégicas sobre o tratamento de dados pessoais pelo controlador, ressalvadas as operações com dados pessoais inerentes às atribuições do encarregado.  (art.19, §1°)

Mas e quando houver risco de conflito de interesse(art. 21, § único)? O agente de tratamento deverá adotar as seguintes providências a depender da ocasião, são elas:

• Não indicar a pessoa para exercer a função de encarregado;

•  Implementar medidas para afastar o risco de conflito de interesse; ou

• Substituir a pessoa designada para exercer a função de encarregado.

A existência de conflito de interesse poderá ser averiguada em processo administrativo e caso confirmado pode levar a uma sanção do agente de tratamento. 

Mais um passo em uma cultura de proteção de dados

Com o regulamento, a solidificação da atuação do encarregado ganha força. Isso significa que o serviço prestado conta com maior segurança jurídica e importância no mercado de proteção de dados. A aprovação do regulamento representa mais um passo em direção a uma cultura de proteção de dados no Brasil.

Caso você seja um DPO ou pense em se tornar um, o Clube Data tem uma aula exclusiva sobre estratégias e desafios na prática da adequação à LGPD que conta com a presença Renato Leite Monteiro, DPO Global do X. Venha conferir!