A ANPD (Autoridade Nacional de Proteção de Dados) publicou, em dezembro de 2024, o Guia Orientativo da Atuação do Encarregado pelo Tratamento de Dados Pessoais. Neste guia, foram definidas importantes diretrizes que poderão ser objeto de comprovação em eventual auditoria do órgão.

Essa figura é prevista no artigo 41 da LGPD (Lei Geral de Proteção de Dados Pessoais, nº 13.709/2018) .

Em julho de 2024, a ANPD publicou a Resolução  nº 18, na qual estipula os deveres do agente de tratamento. Neste regulamento, em seus artigos 15º e 16º, também foram estipulados os deveres do encarregado de dados.

Vale ressaltar que, conforme estipulado no artigo 17, o encarregado de dados não é responsável, perante a ANPD, pela conformidade do tratamento de dados pessoais realizados pelo controlador.

Neste artigo, destacamos os principais pontos e recomendações para que as empresas atuem de acordo com as diretrizes estipuladas pela ANPD.

A indicação do encarregado de dados

A empresa deverá indicar o encarregado de dados dando publicidade a sua identidade e canal de contato. A indicação poderá ser a pessoa natural ou pessoa jurídica, contratada para este fim.

É recomendado que a indicação do encarregado de dados seja feita pela alta administração da empresa, tendo na ata de designação as formas de atuação do encarregado e as atividades a serem desempenhadas. O documento  deve ser devidamente assinado pela alta administração e arquivado. No anexo do guia orientativo, é possível encontrar dois modelos de ata de designação do encarregado de dados.

A designação deverá visar evitar conflito de interesses entre as atividades do encarregado e seus interesses pessoais. Uma constatação de conflito de interesses por parte da ANPD poderá resultar em aplicação de sanção ao agente de tratamento.

As situações de ausência, vacância ou impedimento do encarregado não poderão implicar em obstáculos para o exercício dos titulares de dados pessoais ou atendimento às comunicações da ANPD. Sendo assim, a empresa deverá designar substituto por meio de ato formal. Tendo em vista que estas situações são imprevisíveis, recomendamos que a designação do substituto seja realizada de maneira conjunta com a designação do encarregado de dados, incluindo sua forma de contato e identidade.

Como deve ser feita a divulgação da identidade do encarregado de dados

O encarregado de dados é o canal de comunicação da empresa com o titular de dados e  com a ANPD. Sendo assim, sua identidade deverá ser divulgada publicamente, de forma clara e objetiva.

Caso o encarregado seja pessoa natural, deverá ser indicado o seu nome completo e canal de comunicação. Se o encarregado for pessoa jurídica, deverá ser divulgado o nome empresarial contratado e o nome completo da pessoa natural responsável.

A ANPD estipula que a divulgação da identidade se dê por meio do sítio eletrônico da empresa, ou, caso o agente de tratamento não possua este recurso, poderá realizá-la por meio do canal de comunicação com os titulares de dados.

• Leia também: O avanço tecnológico e a privacidade e proteção de dados pessoais

As características necessárias para ser encarregado de dados

De acordo com a norma da ANPD, o encarregado de dados deve possuir conhecimento sobre a legislação de proteção de dados pessoais, assim como o contexto, o volume e o risco das operações de tratamento realizadas.

Além disso, é fundamental que o designado seja capaz de se comunicar na língua portuguesa.

A resolução ainda diz que “o exercício da atividade de encarregado não pressupõe a inscrição em qualquer entidade nem qualquer certificação ou formação profissional específica”.

Equipe de Privacidade de Dados & Compliance – escritório Saavedra & Gottschefsky

Notícia base: https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-e-ans-firmam-acordo-para-aprimorar-protecao-de-dados-na-area-de-saude