No encerramento de 2024, a Autoridade Nacional de Proteção de Dados (ANPD) publicou o Guia Orientativo sobre a Atuação do Encarregado pelo Tratamento de Dados Pessoais, detalhando e consolidando as obrigações e atribuições dessa figura central para a gestão de dados pessoais. Além de reafirmar as diretrizes previstas na Lei Geral de Proteção de Dados (LGPD), o Guia incorpora regulamentações importantes, como as Resoluções CD/ANPD nº 2/2022 e nº 15/2024, que aprofundam as disposições sobre flexibilizações para pequenos agentes e formalidades no relacionamento com a ANPD.
O encarregado de dados desempenha papel essencial como ponto de contato entre os titulares, a organização e a ANPD, garantindo conformidade, transparência e eficiência no tratamento de dados pessoais. O Guia da ANPD, em consonância com o § 5º do artigo 6º da Resolução CD/ANPD nº 15/2024, estabelece que sua nomeação deve ser formalizada por ato escrito, com a devida comprovação do vínculo contratual, empregatício ou funcional. Essa formalização não apenas assegura clareza e legitimidade às suas atribuições, mas também habilita o encarregado a atuar como representante oficial da entidade junto à ANPD.
Em situações críticas, como a comunicação de incidentes de segurança, o controlador deve realizá-la exclusivamente por meio do encarregado apenas supervisiona a conformidade, mas também responde por questões regulatórias perante a ou de representante devidamente constituído, acompanhado de instrumento que outorgue poderes específicos de representação. Essa exigência reforça a importância estratégica do encarregado, que não autoridade.
Reconhecendo as diferenças estruturais entre grandes organizações e agentes de pequeno porte, o Guia e a Resolução CD/ANPD nº 2/2022 preveem flexibilizações específicas para pequenos negócios, como startups, microempresas, empresas de pequeno porte e organizações sem fins lucrativos. Essas entidades podem ser dispensadas da nomeação de um encarregado, desde que mantenham um canal eficiente de comunicação com os titulares.
No entanto, a obrigatoriedade de indicar um encarregado permanece para agentes que realizam tratamento de dados de alto risco, como aqueles que lidam com dados sensíveis em larga escala ou têm como público-alvo crianças e adolescentes. Essa regra reflete o equilíbrio entre o alívio regulatório para pequenos agentes e a proteção robusta para dados mais críticos.
Atribuições Fundamentais e Papel Consultivo do Encarregado
O encarregado deve desempenhar atribuições previstas no artigo 41 da LGPD e no Guia, que incluem:
Receber e responder reclamações e comunicações dos titulares de dados;
Propor medidas corretivas e preventivas em casos de não conformidade ou incidentes de segurança;
Atuar como ponto de contato com a ANPD;
Orientar funcionários e contratados sobre práticas de proteção de dados pessoais.
Adicionalmente, o Guia expande essas atribuições ao destacar a participação do encarregado em atividades como:
Elaboração de políticas de privacidade e governança em proteção de dados;
Supervisão de avaliações de impacto à proteção de dados (DPIA);
Gestão de incidentes de segurança, incluindo a notificação à ANPD e aos titulares afetados.
Independência e Estrutura de Suporte
A ANPD reforça a necessidade de autonomia funcional do encarregado, evitando conflitos de interesse. O encarregado não deve acumular funções que possam comprometer sua objetividade, como cargos de liderança em áreas como TI, recursos humanos ou finanças. Para garantir sua efetividade, as organizações devem fornecer suporte técnico, administrativo e humano adequados, bem como assegurar sua independência técnica e operacional.
O Guia também incentiva a adoção de boas práticas, como:
Incorporar privacidade por design e por padrão em projetos e operações;
Desenvolver programas de governança em privacidade que promovam a conformidade integrada;
Estabelecer cláusulas contratuais robustas para regulamentar o tratamento de dados por terceiros;
Seguir normas rigorosas para transferências internacionais, conforme regulamentação recente.
Sanções e Consequências por Descumprimento
A ausência de nomeação ou o descumprimento das exigências relacionadas à atuação do encarregado, como a divulgação de seus contatos, pode acarretar a aplicação de sanções administrativas previstas no artigo 52 da Lei Geral de Proteção de Dados (LGPD), incluindo:
Multas de até 2% do faturamento da empresa, limitadas a R$ 50 milhões por infração;
Suspensão ou bloqueio do tratamento de dados pessoais;
Publicização das infrações, prejudicando a reputação da organização.
Conclusão: Encarregado como Guardião da Confiança e da Conformidade
O Guia da ANPD e as resoluções complementares destacam o encarregado como um pilar estratégico para a conformidade à LGPD. Além de garantir a proteção de dados pessoais, sua atuação promove a confiança dos titulares, fortalece a cultura de privacidade e consolida o compromisso da organização com práticas éticas e transparentes no tratamento de dados.
Ao nomear e capacitar um encarregado em conformidade com as normas vigentes, as organizações não apenas cumprem exigências legais, mas também demonstram compromisso com a responsabilidade social e com a sustentabilidade de suas operações no cenário digital.
Walter Calza Neto, DPO do Corinthians e Fernanda Araújo Couto e Melo Nogueira, Diretora Jurídica da TM1.
