Norma foi publicada no Diário Oficial da União e
anunciada pelo presidente em evento no Rio de Janeiro
A Autoridade Nacional de
Proteção de Dados (ANPD) publicou o regulamento sobre a atuação do Encarregado
pelo Tratamento de Dados Pessoais. Além de ser publicada no Diário Oficial
da União, a norma foi anunciada pelo Diretor-Presidente, Waldemar Gonçalves, em
evento no Rio de Janeiro. O dirigente participa da conferência Computer
Privacy anda Data Protection para a América Latina (CPDP LatAm).
O
Encarregado foi uma figura criada pela
Lei
Geral de Proteção de Dados Pessoais (LGPD). Segundo a lei, cabe a ele
fazer a interface entre o titular dos dados, o agente de tratamento e a ANPD.
Também é sua responsabilidade orientar a organização para a qual trabalha em
relação às melhores práticas no tratamento de dados.
Em
atendimento à LGPD,
o regulamento detalha
aspectos do papel do Encarregado. A norma inclui dispositivos sobre a
divulgação de sua identidade e de informações de contato; os deveres dos
agentes de tratamento; e as situações de conflito de interesse.
Além
de conferir maior segurança jurídica às operações de tratamento, o regulamento
reflete demandas da sociedade. O processo de regulamentação
incluiu várias etapas de participação social, incluindo Tomada de Subsídios,
Consulta Pública e Audiência Pública. Ao todo, a área técnica analisou
quase 1200 contribuições de mais de 200 pessoas.
"Detalhar
o papel do Encarregado era uma de nossas prioridades em razão de sua
importância para uma sociedade movida a dados. Ele é um ator fundamental para
garantir o cumprimento do direito fundamental à proteção dos dados pessoais, e,
consequentemente, para consolidar uma cultura de proteção de dados no País - o
que passa, também, pela mudança na cultura de negócios no Brasil, passando de
acordos orais para compromissos escritos", disse o Diretor-Presidente a
uma plateia compostas por professores, estudantes e profissionais da área.
A seguir o texto da referida
Resolução.
RESOLUÇÃO CD/ANPD Nº 18, DE 16 DE JULHO DE 2024
Aprova o Regulamento sobre a atuação do encarregado
pelo tratamento de dados pessoais.
O CONSELHO DIRETOR DA AUTORIDADE NACIONAL DE PROTEÇÃO
DE DADOS (ANPD), no uso de suas atribuições legais, considerando o disposto nos
arts. 41, § 3º e 55-J, inciso XIII, da Lei nº 13.709, de 14 de agosto de 2018,
bem como a deliberação tomada nos autos do processo nº 00261.000226/2022-53,
resolve:
Art. 1º Fica aprovado o Regulamento sobre a atuação
do encarregado pelo tratamento de dados pessoais, na forma do Anexo desta
Resolução.
Art. 2º Esta Resolução entra em vigor na data de
sua publicação.
WALDEMAR GONÇALVES ORTUNHO
JUNIOR
Diretor-Presidente
ANEXO
REGULAMENTO SOBRE A ATUAÇÃO DO ENCARREGADO PELO
TRATAMENTO DE DADOS PESSOAIS
CAPÍTULO I
DISPOSIÇÕES PRELIMINARES
Art. 1º Este Regulamento estabelece normas
complementares sobre a indicação, a definição, as atribuições e a atuação do
encarregado, de que trata a Lei nº 13.709, de 14 de agosto de 2018.
Art. 2º Para fins deste Regulamento adotam-se as
seguintes definições:
I - agentes de tratamento: o controlador e o
operador;
II - conflito de interesse: a situação que possa
comprometer, influenciar ou afetar, de maneira imprópria, a objetividade e o
julgamento técnico no desempenho das atribuições do encarregado;
III - controlador: pessoa natural ou jurídica, de
direito público ou privado, a quem competem as decisões referentes ao
tratamento de dados pessoais;
IV - dado pessoal: informação relacionada a pessoa
natural identificada ou identificável;
V - encarregado: pessoa indicada pelo controlador e
operador para atuar como canal de comunicação entre o controlador, os titulares
dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);
VI - operador: pessoa natural ou jurídica, de
direito público ou privado, que realiza o tratamento de dados pessoais em nome
do controlador;
VII - titular: pessoa natural a quem se referem os
dados pessoais que são objeto de tratamento; e
VIII - tratamento: toda operação realizada com
dados pessoais, como as que se referem a coleta, produção, recepção,
classificação, utilização, acesso, reprodução, transmissão, distribuição,
processamento, arquivamento, armazenamento, eliminação, avaliação ou controle
da informação, modificação, comunicação, transferência, difusão ou extração.
CAPÍTULO II
DOS AGENTES DE TRATAMENTO
Seção I
Da Indicação do Encarregado
Art. 3º A indicação do encarregado deve ser
realizada por ato formal do agente de tratamento, do qual constem as formas de
atuação e as atividades a serem desempenhadas.
§ 1º Entende-se por ato formal o documento escrito,
datado e assinado, que, de maneira clara e inequívoca, demonstre a intenção do
agente de tratamento em designar como encarregado uma pessoa natural ou uma
pessoa jurídica.
§ 2º O documento referido no caput deverá ser
apresentado à ANPD, quando solicitado.
§ 3º Os Agentes de Tratamento de Pequeno Porte
dispensados de indicar encarregado devem disponibilizar um canal de comunicação
com o titular de dados, nos termos do art. 11 do Regulamento de aplicação da
LGPD para Agentes de Tratamento de Pequeno Porte, aprovado pela Resolução
CD/ANPD nº 2, de 27 de janeiro de 2022.
Art. 4º Nas ausências, impedimentos e vacâncias do
encarregado, a função será exercida por substituto formalmente designado.
Parágrafo único. As situações referidas no caput
não poderão consistir em obstáculos para o exercício dos direitos dos titulares
ou para o atendimento às comunicações da ANPD.
Art. 5º As pessoas jurídicas de direito público
referidas no art. 1º, parágrafo único, da Lei nº 12.527, de 18 de novembro de
2011, deverão indicar encarregado quando realizarem operações de tratamento de
dados pessoais, recaindo a indicação, preferencialmente, sobre servidores ou
empregados públicos detentores de reputação ilibada.
§ 1º A indicação deverá ser publicada em Diário
Oficial da União, do Estado, do Distrito Federal ou do Município, a depender da
esfera de atuação do agente de tratamento.
§ 2º Entes despersonalizados da Administração
Pública que detenham obrigações típicas de controlador poderão indicar
encarregado próprio, considerando o contexto e o volume dos tratamentos de
dados pessoais realizados e a necessidade de desconcentração administrativa,
observadas as obrigações previstas neste Regulamento.
§ 3º A indicação de encarregado nos termos do § 2º
faz presumir sua competência sobre toda a estrutura organizacional subordinada
ao órgão, exceto em caso de ressalva expressa no ato de indicação.
Art. 6º A indicação de encarregado por operadores é
facultativa e será considerada política de boas práticas de governança para
fins do disposto no art. 52, § 1º, inciso IX, da Lei nº 13.709, de 14 de agosto
de 2018, e no art. 13, inciso II, do anexo da Resolução CD/ANPD nº 4, de 24 de
fevereiro de 2023, desde que observadas as normas deste Regulamento.
Art. 7º Cabe ao agente de tratamento estabelecer as
qualificações profissionais necessárias para o desempenho das atribuições do
encarregado, considerando seus conhecimentos sobre a legislação de proteção de
dados pessoais, bem como o contexto, o volume e o risco das operações de
tratamento realizadas.
Seção II
Da Identidade e das Informações de Contato do
Encarregado
Art. 8º O agente de tratamento deverá divulgar e
manter atualizadas a identidade e as informações de contato do encarregado.
Art. 9º A identidade e as informações de contato do
encarregado deverão ser divulgadas publicamente, de forma clara e objetiva, em
local de destaque e de fácil acesso, no sítio eletrônico do agente de
tratamento, ressalvada a hipótese do § 3º deste artigo.
§ 1º A divulgação da identidade do encarregado
abrangerá, no mínimo:
I - o nome completo, se for pessoa natural; ou
II - o nome empresarial ou o título do
estabelecimento, bem como o nome completo da pessoa natural responsável, se
pessoa jurídica.
§ 2º A divulgação das informações de contato do
encarregado abrangerá, no mínimo, os dados referentes aos meios de comunicação
que viabilizem o exercício dos direitos dos titulares junto ao controlador e
possibilitem o recebimento de comunicações da ANPD.
§ 3º O agente de tratamento que não possuir sítio
eletrônico poderá realizar a divulgação da identidade e das informações de
contato do encarregado por quaisquer outros meios de comunicação disponíveis,
especialmente aqueles usualmente utilizados para contato com os titulares.
Seção III
Dos Deveres dos Agentes de Tratamento
Art. 10. O agente de tratamento deverá
I - prover os meios necessários para o exercício
das atribuições do encarregado, neles compreendidos, entre outros, recursos
humanos, técnicos e administrativos;
II - solicitar assistência e orientação do
encarregado quando da realização de atividades e tomada de decisões estratégicas
referentes ao tratamento de dados pessoais;
III - garantir ao encarregado a autonomia técnica
necessária para cumprir suas atividades, livre de interferências indevidas,
especialmente na orientação a respeito das práticas a serem tomadas em relação
à proteção de dados pessoais;
IV - assegurar aos titulares meios céleres,
eficazes e adequados para viabilizar a comunicação com o encarregado e o
exercício de direitos;
V - garantir ao encarregado acesso direto às
pessoas de maior nível hierárquico dentro da organização, aos responsáveis pela
tomada de decisões estratégicas que afetem ou envolvam o tratamento de dados
pessoais, bem como às demais áreas da organização.
Art. 11. O agente de tratamento é o responsável
pela conformidade do tratamento dos dados pessoais, nos termos da Lei nº
13.709, de 14 de agosto de 2018.
CAPÍTULO III
DO ENCARREGADO
Seção I
Das Características
Art. 12. O encarregado poderá ser:
I - uma pessoa natural, integrante do quadro
organizacional do agente de tratamento ou externo a esse; ou
II - uma pessoa jurídica.
Art. 13. O encarregado deverá ser capaz de
comunicar-se com os titulares e com a ANPD, de forma clara e precisa e em
língua portuguesa.
Art. 14. O exercício da atividade de encarregado
não pressupõe a inscrição em qualquer entidade nem qualquer certificação ou
formação profissional específica.
Seção II
Das Atividades e das Atribuições
Art. 15. As atividades do encarregado consistem em:
I - aceitar reclamações e comunicações dos
titulares, prestar esclarecimentos e adotar providências cabíveis;
II - receber comunicações da ANPD e adotar
providências;
III - orientar os funcionários e os contratados do
agente de tratamento a respeito das práticas a serem tomadas em relação à
proteção de dados pessoais; e
IV - executar as demais atribuições determinadas
pelo agente de tratamento ou estabelecidas em normas complementares.
Parágrafo único. Ao receber comunicações da ANPD, o
encarregado deverá adotar as medidas necessárias para o atendimento da
solicitação e para o fornecimento das informações pertinentes, adotando, entre
outras, as seguintes providências:
I - encaminhar internamente a demanda para as
unidades competentes;
II - fornecer a orientação e a assistência
necessárias ao agente de tratamento; e
III - indicar expressamente o representante do
agente de tratamento perante a ANPD para fins de atuação em processos
administrativos, quando esta função não for exercida pelo próprio encarregado.
Art. 16. Cabe, ainda, ao encarregado, nos termos do
art. 10, inciso II, deste Regulamento, prestar assistência e orientação ao
agente de tratamento na elaboração, definição e implementação, conforme o caso,
de:
I - registro e comunicação de incidente de
segurança;
II - registro das operações de tratamento de dados
pessoais;
III - relatório de impacto à proteção de dados
pessoais;
IV - mecanismos internos de supervisão e de
mitigação de riscos relativos ao tratamento de dados pessoais;
V - medidas de segurança, técnicas e
administrativas, aptas a proteger os dados pessoais de acessos não autorizados
e de situações acidentais ou ilícitas de destruição, perda, alteração,
comunicação ou qualquer forma de tratamento inadequado ou ilícito;
VI - processos e políticas internas que assegurem o
cumprimento da Lei nº 13.709, de 14 de agosto de 2018, e dos regulamentos e
orientações da ANPD;
VII - instrumentos contratuais que disciplinem
questões relacionadas ao tratamento de dados pessoais;
VIII - transferências internacionais de dados;
IX - regras de boas práticas e de governança e de
programa de governança em privacidade, nos termos do art. 50 da Lei nº 13.709,
de 14 de agosto de 2018;
X - produtos e serviços que adotem padrões de
design compatíveis com os princípios previstos na LGPD, incluindo a privacidade
por padrão e a limitação da coleta de dados pessoais ao mínimo necessário para
a realização de suas finalidades; e
XI - outras atividades e tomada de decisões
estratégicas referentes ao tratamento de dados pessoais.
Art. 17. O desempenho das atividades e das
atribuições dispostas nos arts. 15 e 16 não confere ao encarregado a
responsabilidade, perante a ANPD, pela conformidade do tratamento dos dados
pessoais realizado pelo controlador.
Seção III
Do Conflito de Interesse
Art. 18. O encarregado deverá atuar com ética,
integridade e autonomia técnica, evitando situações que possam configurar
conflito de interesse.
Art. 19. O encarregado poderá acumular funções e
exercer as suas atividades para mais de um agente de tratamento, desde que seja
possível o pleno atendimento de suas atribuições relacionadas a cada agente de
tratamento e inexista conflito de interesse.
§ 1º O conflito de interesse pode se configurar:
I - entre as atribuições exercidas internamente em
um agente de tratamento ou no exercício da atividade de encarregado em agentes
de tratamento distintos; ou
II - com o acúmulo das atividades de encarregado
com outras que envolvam a tomada de decisões estratégicas sobre o tratamento de
dados pessoais pelo controlador, ressalvadas as operações com dados pessoais
inerentes às atribuições do encarregado.
§ 2º A existência de conflito de interesse será
objeto de verificação no caso concreto e poderá ensejar a aplicação de sanção
ao agente de tratamento nos termos do art. 52 da Lei nº 13.709, de 14 de agosto
de 2018.
Art. 20. O encarregado deverá declarar ao agente de
tratamento qualquer situação que possa configurar conflito de interesse,
responsabilizando-se pela veracidade das informações prestadas.
Art. 21. O agente de tratamento deve atentar para
que o encarregado não exerça atribuições que acarretem conflito de interesse.
Parágrafo único. Uma vez constatada a possibilidade
de conflito de interesse, o agente de tratamento deverá adotar as seguintes
providências, conforme o caso:
I - não indicar a pessoa para exercer a função de
encarregado;
II - implementar medidas para afastar o risco de
conflito de interesse; ou
III - substituir a pessoa designada para exercer a
função de encarregado.
Fonte: Assessoria de Comunicação
ANPD?