No último dia 17 de julho, foi publicada no Diário Oficial da União a Resolução CD/ANPD nº 18, de 16 de julho de 2024, que aprova o Regulamento sobre a atuação do encarregado pelo tratamento de dados pessoais. Este artigo tem como objetivo analisar de forma breve as principais disposições desta resolução, destacando as suas implicações práticas e a relevância para a proteção de dados no Brasil.
Uma das primeiras preocupações do regulamento é definir termos chave como agentes de tratamento (controlador e operador), conflito de interesse, controlador, dado pessoal, encarregado, operador, titular e tratamento de dados. Essas definições, embora algumas delas já constassem da Lei Geral de Proteção de Dados, são essenciais para a aplicação uniforme das regras desta resolução e para garantir que todos os envolvidos compreendam as suas responsabilidades e direitos.
A indicação do encarregado é um ponto crucial abordado pelo regulamento. Ela deve ser formal, por meio de um documento escrito, datado e assinado, que demonstre claramente a intenção do agente de tratamento em designar uma pessoa natural ou jurídica para a função. O documento de nomeação deverá conter as atividades que serão desempenhadas pelo encarregado no exercício da sua função.
Para os agentes de tratamento de pequeno porte, que são dispensados de indicar um encarregado, o regulamento apenas destaca a obrigatoriedade de disponibilizar um canal de comunicação com os titulares de dados, assegurando que esses possam exercer os seus direitos de maneira eficaz, o que já estava previsto na Resolução CD/ANPD nº 2/2022.
Além de formalizar a nomeação, o agente de tratamento também deverá divulgar publicamente a identidade e as informações de contato do encarregado. Nesse ponto, a resolução prevê que a divulgação da identidade deverá conter no mínimo o nome completo da pessoa natural que ocupar o cargo e, caso seja uma pessoa jurídica a exercer o papel de encarregado, deverá constar o nome empresarial ou do estabelecimento, assim como o nome da pessoa natural responsável pela empresa terceira.
Acerca da divulgação da identidade do encarregado, vislumbramos tal exigência com preocupação. Ora, realmente é necessária a identificação do encarregado? Divulgar o contato do encarregado e garantir o acesso ao titular não seria o suficiente? Tal divulgação não implicaria em uma exposição desnecessária do ocupante do cargo, o que, a depender do caso, poderia, inclusive, lhe trazer riscos? Parece-nos que essa determinação vai de encontro ao princípio da necessidade prevista na LGPD e contra o próprio direito constitucional à proteção dos dados pessoais. Logo, não nos surpreenderíamos se a constitucionalidade do dispositivo que determina a divulgação da identidade do encarregado viesse a ser questionada junto ao Supremo Tribunal Federal.
Noutro ponto, o regulamento prevê que os agentes de tratamento devem prover os meios necessários para o desempenho das atribuições do encarregado. Precisamente, devem garantir autonomia técnica ao encarregado, assegurar meios céleres para comunicação com os titulares e acesso direto às pessoas de maior nível hierárquico dentro da organização. Estes requisitos visam assegurar que o encarregado tenha a independência e os recursos necessários para realizar suas funções de forma eficaz.
A qualificação técnica do encarregado é outro ponto que merece atenção. Nesse ponto, o regulamento deixa expresso que o exercício da função de encarregado não depende de inscrição em qualquer entidade, de certificação, tampouco formação profissional específica. Ou seja, a princípio, qualquer pessoa pode atuar como encarregado. Contudo, recomenda-se que o profissional que irá ocupar esse cargo tenha não somente conhecimento jurídico sobre proteção de dados pessoais, mas também entenda de questões regulatórias e de tecnologia e segurança da informação.
Outra característica imposta pelo regulamento à figura do encarregado é que ele tenha capacidade de se comunicar com os titulares e com a ANPD em língua portuguesa. Trata-se de um ponto de atenção principalmente para empresas estrangeiras que têm atuação no Brasil. Consideramos tal medida acertada, afinal, se uma das atividades do encarregado é a de prestar esclarecimentos ao titular, a utilização da língua portuguesa é uma ferramenta essencial para tanto. Isso também se alinha com os princípios do livre acesso e transparência previstos na LGPD, que exigem do agente de tratamento a garantia de consulta facilitada e informações claras aos titulares acerca do tratamento de seus dados. Acrescenta-se, ainda, que tal exigência não é novidade no nosso ordenamento jurídico; ela vai ao encontro de outras leis nacionais, como o CDC, por exemplo, que exige expressamente que a oferta e apresentação de produtos e serviços seja em língua portuguesa.
O regulamento também especifica as atividades e atribuições do encarregado, que incluem aceitar reclamações e comunicações dos titulares, receber comunicações da ANPD, orientar funcionários e contratados sobre práticas de proteção de dados e prestar assistência na elaboração de documentos como registros de operações de tratamento de dados pessoais, registro e comunicação de incidentes de segurança, relatórios de impacto, entre outros. É importante destacar que as atribuições indicadas pelo regulamento poderão ser executadas pelo encarregado em conjunto com outras áreas da empresa, a depender da organização interna do agente de tratamento.
Outro aspecto relevante abordado pela resolução é a questão do conflito de interesse. O texto não traz exemplos específicos de situações que poderiam gerar conflitos de interesse, mas indica que um conflito pode surgir se a função de encarregado for acumulada com outra função que tenha poder para tomar decisões estratégicas sobre o tratamento de dados pessoais em nome do controlador. Nesse passo, os agentes de tratamento devem adotar medidas para prevenir esses conflitos, assegurando que o encarregado possa atuar de maneira independente e imparcial.
Acerca disso, observa-se que o regulamento abre margem para o acúmulo de funções, desde que isso não implique em conflito de interesse. Diante disso, é válido pontuar que o acúmulo de funções também deve ser analisado sob a ótica trabalhista, na medida em que o exercício de funções adicionais que sejam incompatíveis com as atribuições originais pode dar ensejo ao pagamento de um acréscimo salarial.
Em suma, a Resolução CD/ANPD nº 18/2024 é um marco importante para a proteção de dados no Brasil, detalhando e reforçando o papel do encarregado no contexto da LGPD. Embora tenha pontos passíveis de questionamento, acreditamos que sua aplicação prática trará benefícios para a governança de dados e a proteção dos direitos dos titulares, contribuindo para uma cultura de privacidade e segurança da informação no país.
Cláudio Roberto Santos, Advogado. Sócio-fundador do DMS Advogados. CIPM | CDPO/BR (IAPP). Doutorando em Direito (PUC Rio). Mestre em Direito Privado (PUC Minas). Professor universitário.
Daniel Dore Lage, Advogado. Sócio-fundador do DMS Advogados. CIPT (IAPP). DPO e CISO (Exin). Mestrando em Direito da Regulação (FGV Rio). Pós-graduado em Direito Digital (CERS), Direito Urbanístico e Ambiental (PUC Minas), Direito Público (PUC Minas) e em Ciências Penais (UFJF). Bacharel em Direito pela UFJF.
Gustavo Carvalho Machado, Advogado. Sócio-fundador do DMS Advogados. Mestre em Direito e Inovação (UFJF). Pós-graduado em Compliance e Integridade Corporativa (PUC Minas) e em Direito do Trabalho (PUC Minas). Bacharel em Direito pela UFV.