Recém-publicada pela Autoridade Nacional de Proteção de Dados (ANPD), a Resolução nº 18 traz todas as diretrizes, orientações e delimitações acerca da atuação do Encarregado pelo tratamento de dados pessoais. O documento consolida muitas teses e discussões que estavam sendo aventadas acerca do assunto.
Em síntese, a figura do Encarregado foi criada pela Lei Geral de Proteção de Dados Pessoais (LGPD), segundo a qual cabe a ele fazer a interface entre o titular dos dados, o agente de tratamento e a ANPD, assim como orientar a instituição para a qual trabalha em relação às melhores práticas no tratamento de dados.
A atual resolução estabelece que o agente de tratamento deve indicar o Encarregado por ato formal em documento escrito com determinados requisitos, o qual deverá ser apresentado à ANPD, sempre que solicitado.
A identidade e informações de contato do Encarregado deverão ser divulgadas publicamente, em local de destaque e fácil acesso, no website do agente de tratamento, sendo que, no caso de pessoa natural deverá ser divulgado o nome completo, e, no caso de pessoa jurídica, o nome empresarial ou o título do estabelecimento, bem como o nome completo da pessoa natural responsável.
A resolução também deixa claro as atribuições do agente de tratamento, o qual deverá: i) prover os meios necessários para o exercício das atribuições do encarregado, neles compreendidos, entre outros, recursos humanos, técnicos e administrativos; ii) solicitar assistência e orientação do encarregado quando da realização de atividades e tomada de decisões estratégicas referentes ao tratamento de dados pessoais; iii) garantir ao encarregado autonomia técnica; iv) assegurar aos titulares meios céleres, eficazes e adequados a comunicação com o encarregado e o exercício de direitos; v) garantir ao encarregado acesso direto às pessoas de maior nível hierárquico na organização, bem como às demais áreas da organização que lidem com o tratamento de dados pessoais.
O documento prevê expressamente que o agente de tratamento é o responsável pela conformidade do tratamento dos dados pessoais, e não o Encarregado. Por isso é primordial que as organizações tenham muita cautela e responsabilidade ao eleger o responsável por esse cargo. Reforça também que o Encarregado poderá ser uma pessoa natural, integrante do quadro organizacional do agente de tratamento ou externo a esse; ou uma pessoa jurídica.
Importante ressaltar que a resolução deixa claro que o Encarregado deverá ser capaz de comunicar-se com os titulares e com a ANPD, de forma clara e precisa e em língua portuguesa, o que pode relevante de ser observado ser no caso de empresas multinacionais.
Um tema que estava sendo objeto de bastante discussão também foi trazido pelo documento, que estabelece que o exercício da atividade de Encarregado não pressupõe a inscrição em qualquer entidade nem qualquer certificação ou formação profissional específica.
Dentre as principais atribuições previstas pela resolução e que não constam da letra da LGPD, temos que o Encarregado deve prestar assistência e orientação ao agente de tratamento na elaboração, definição e implementação, conforme o caso, de: i) registro e comunicação de incidente de segurança; ii) registro das operações de tratamento de dados pessoais; iii) relatório de impacto à proteção de dados pessoais; iv) mecanismos internos de supervisão e de mitigação de riscos relativos ao tratamento de dados pessoais; v) medidas de segurança, técnicas e administrativas, aptas a proteger os dados pessoais; vi) processos e políticas internas que assegurem o cumprimento da LGPD e dos regulamentos e orientações da ANPD; vii) instrumentos contratuais que disciplinem questões relacionadas ao tratamento de dados pessoais; viii) transferências internacionais de dados; ix) regras de boas práticas e de governança e de programa de governança em privacidade; x) produtos e serviços que adotem padrões de design compatíveis com os princípios previstos na LGPD ("privacy by design"), xi) outras atividades e tomada de decisões estratégicas referentes ao tratamento de dados pessoais.
Lembrando que o desempenho de todas essas atribuições dispostas na resolução não confere ao encarregado a responsabilidade, perante a ANPD, pela conformidade do tratamento dos dados pessoais realizado pelo controlador.
Por fim, a resolução deixa claro que o encarregado poderá acumular funções e exercer as suas atividades para mais de um agente de tratamento, desde que seja possível o pleno atendimento de suas atribuições relacionadas a cada agente de tratamento e inexista conflito de interesse, trazendo algumas hipóteses nas quais ele se configura, podendo ser uma infração à LGPD passível de sanção caso ele ocorra.
Camila Chizzotti, sócia da área de compliance do escritório Ogawa, Lazzerotti e Baraldi Advogados.
