Em Julho/2024, foi aprovado o “Regulamento sobre a Atuação do Encarregado pelo Tratamento de Dados Pessoais” (Resolução CD/ADNPD nº 18/24). Mas, afinal, quem é o Encarregado de Dados, qual sua função, quem está obrigado a indica-lo, e como escolhê-lo?
Na literalidade do que indica o art. 5º, VIII, da Lei Geral de Proteção de Dados (LGPD), o Encarregado de Dados é a “pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)”.
Com inspiração na figura do Data Protection Officer (DPO) prevista no Regulamento Geral sobre a Proteção de Dados da União Europeia (General Data Protection Regulation – GDPR), o Encarregado de Dados é, assim, responsável por garantir a conformidade das organizações com relação à LGPD, atuando tanto internamente, quanto externamente, promovendo a proteção e privacidade dos dados pessoais coletados, armazenados e tratados por empresas e instituições.
Pode-se dizer, assim, que o Encarregado de Dados tem as atribuições de:
Ponto de Contato: atua como um intermediário entre a empresa, os titulares dos dados e a ANPD, devendo receber e responder às solicitações dos titulares dos dados sobre o tratamento de seus dados pessoais e também se comunicar com a ANPD em questões relativas à privacidade e proteção de dados.
Monitoramento da Conformidade: orientar e monitorar a conformidade da organização com a LGPD, garantindo que as práticas de tratamento de dados pessoais estejam adequadas e seguras. Isso inclui a criação de políticas internas, a realização de auditorias e a promoção de treinamentos sobre a proteção de dados.
Assessoria Técnica e Jurídica: Ele deve aconselhar a empresa sobre os melhores processos e práticas para o tratamento de dados pessoais, ajudando a interpretar a LGPD e a aplicar suas diretrizes no dia a dia da organização.
Relatório de Impacto à Proteção de Dados: Outra responsabilidade importante é supervisionar ou colaborar na elaboração de Relatórios de Impacto à Proteção de Dados (RIPD), um documento que identifica os riscos associados ao tratamento de dados pessoais e as medidas adotadas pela organização para mitigar esses riscos.
Gestão de Incidentes: Em caso de vazamentos ou incidentes de segurança envolvendo dados pessoais, o Encarregado deve atuar rapidamente, comunicando o ocorrido à ANPD e adotando medidas corretivas para minimizar danos.
No entanto, embora seja uma figura de extrema importância, nem todas as instituições estão legalmente obrigadas a indicar um Encarregado de Dados. São elas os “agentes de tratamento de pequeno porte”, entendidos como microempresas, empresas de pequeno porte, startups, pessoas jurídicas de direito privado, inclusive sem fins lucrativos, nos termos da legislação vigente, bem como pessoas naturais e entes privados despersonalizados que realizam tratamento de dados pessoais.
Ainda que a instituição se enquadre como “agente de tratamento de pequeno porte”, como indicado acima, permanece a obrigatoriedade de indicação de Encarregado de Dados nos casos em que haja tratamento de alto risco aos titulares de dados, definidos como aqueles: (i) realizados em larga escala; (ii) que possam afetar significativamente interesses e direitos fundamentais dos titulares; (iii) feitos com uso de tecnologias emergentes ou inovadoras; (iv) envolvam vigilância ou controle de zonas acessíveis ao público; (v) possuam decisões tomadas unicamente com base em tratamento automatizado de dados pessoais; (vi) que utilizem dados pessoais sensíveis ou de crianças, de adolescentes e de idosos.
Uma grande dúvida das empresas recai sobre a escolha do Encarregado. Nesse sentido, esclarece-se que o Encarregado pode ser uma pessoa física ou jurídica, profissional interno ou externo, sendo necessário que possua amplo conhecimento sobre segurança da informação e tratamento de dados pessoais. Contudo, considerando as atribuições do Encarregado, normalmente orienta-se pela escolha de alguém externo, a fim de evitar conflitos de interesse e garantir a autonomia de atuação.
Isso porque, uma das imposições legais ao agente de tratamento de dados é de, justamente, garantir ao Encarregado a autonomia técnica necessária para cumprir suas atividades, livre de interferências indevidas, especialmente na orientação a respeito das práticas a serem tomadas em relação à proteção de dados pessoais, o que pode não ocorrer, caso o Encarregado de Dados seja um funcionário interno. A constatação de conflito de interesse pode, inclusive, ensejar a aplicação de multa à empresa.
Neste texto, destacamos as atribuições e a relevância do Encarregado de Dados para as organizações. A escolha adequada desse profissional é crucial não apenas para assegurar a conformidade com a LGPD, mas também para fortalecer a imagem da empresa perante autoridades, titulares de dados e parceiros comerciais. Um encarregado competente demonstra o comprometimento da empresa com boas práticas de tratamento de dados, o que pode aumentar sua credibilidade no mercado e, como consequência, impulsionar o crescimento, atraindo mais oportunidades de negócios.
Links úteis:
https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm
https://www.in.gov.br/en/web/dou/-/resolucao-cd/anpd-n-18-de-16-de-julho-de-2024-572632074
