Em 16 de julho de 2024, o Conselho Diretor da Autoridade Nacional de Proteção de Dados (ANPD) aprovou a Resolução CD/ANPD Nº 18, que estabelece o Regulamento sobre a atuação do encarregado pelo tratamento de dados pessoais. Este regulamento visa complementar a Lei nº 13.709, de 14 de agosto de 2018, conhecida como Lei Geral de Proteção de Dados (LGPD), detalhando as normas sobre a indicação, as atribuições e a atuação do encarregado.
A indicação do encarregado deve ser formalizada por meio de um ato escrito, datado e assinado, demonstrando a intenção do agente de tratamento. Esta formalização é obrigatória para pessoas jurídicas de direito público que realizam o tratamento de dados pessoais, devendo recair preferencialmente sobre servidores ou empregados públicos. Para agentes de tratamento de pequeno porte, a indicação do encarregado é dispensada, mas é exigido que disponibilizem um canal de comunicação com os titulares de dados.
A identidade e as informações de contato do encarregado devem ser divulgadas publicamente e mantidas atualizadas de forma clara e objetiva, no sítio eletrônico do agente de tratamento ou por outros meios de comunicação disponíveis. A divulgação deve incluir o nome completo da pessoa natural ou, no caso de pessoa jurídica, o nome empresarial e o responsável.
Os deveres dos agentes de tratamento incluem prover os meios necessários para o exercício das atribuições do encarregado, como recursos humanos, técnicos e administrativos. Também devem garantir ao encarregado a autonomia técnica e o acesso às pessoas de maior nível hierárquico e às diversas áreas da organização. Além disso, os agentes devem assegurar meios céleres e eficazes para a comunicação dos titulares com o encarregado e para o exercício de seus direitos.
Entre as atividades e atribuições do encarregado estão aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências cabíveis. O encarregado também deve receber comunicações da ANPD e adotar as providências necessárias, orientar funcionários e contratados sobre práticas de proteção de dados pessoais e auxiliar na elaboração e implementação de registros de operações de tratamento, relatórios de impacto, medidas de segurança e políticas internas.
O encarregado deve atuar com ética, integridade e autonomia técnica, evitando situações de conflito de interesse. Ele pode acumular funções e atuar para mais de um agente de tratamento, desde que não haja conflito de interesse. O agente de tratamento deve adotar medidas para evitar conflitos de interesse, podendo substituir o encarregado se necessário.
O regulamento também estabelece prazos específicos para determinadas ações e comunicações. A indicação do encarregado deve ser formalizada imediatamente após a decisão do agente de tratamento. As informações de identidade e contato do encarregado devem ser mantidas atualizadas continuamente e refletidas de forma imediata nos meios de divulgação. A identidade e as informações de contato do encarregado devem ser divulgadas publicamente de forma contínua e em tempo real.
O encarregado deve adotar providências imediatas ao receber comunicações da ANPD, respondendo o mais rápido possível. O agente de tratamento deve assegurar meios céleres e eficazes para que o encarregado possa responder a reclamações e solicitações dos titulares de dados de maneira rápida e eficiente. A elaboração e a atualização do relatório de impacto à proteção de dados pessoais devem ser feitas de forma contínua, especialmente após qualquer alteração significativa nas operações de tratamento de dados.
O registro das operações de tratamento de dados pessoais deve ser mantido atualizado continuamente, com novas operações ou alterações registradas imediatamente. A comunicação de incidentes de segurança à ANPD deve ocorrer no prazo máximo de dois dias úteis após a confirmação do incidente.
Assim, a nova Resolução reforça a importância de uma atuação ética e transparente do encarregado, garantindo a proteção dos dados pessoais conforme a LGPD e assegurando que os direitos dos titulares sejam respeitados.
Walter Calza Neto, DPO do Corinthians.
