ANPD publica Regulamento sobre a atuação do Encarregado de Dados Pessoais
A Autoridade Nacional de Proteção de Dados ("ANPD") publicou hoje a Resolução CD/ANPD n°18/2024, que aprovou o Regulamento sobre a atuação do Encarregado de Dados Pessoais ("Regulamento" e "Encarregado", respectivamente). O Regulamento já está em vigor e tem como objetivo estabelecer normas complementares sobre a atuação do Encarregado nas organizações, conforme previsto no artigo 41 da Lei Geral de Proteção de Dados ("LGPD").
Dentre as principais implicações decorrentes do Regulamento estão:
• Ato Formal. Exigência de ato formal para indicação do Encarregado, por meio de um documento escrito, datado e assinado, no qual constem as formas de atuação e as atividades a serem desempenhadas;
• Encarregado Substituto. Em caso de ausências, impedimentos e vacâncias do Encarregado, deverá haver um Encarregado substituto formalmente designado;
• Operadores. A indicação do Encarregado por Operadores é facultativa, mas será considerada política de boas práticas de governança;
• Divulgação da Identidade. Exigência de divulgação da identidade (nome completo ou nome empresarial + nome da pessoa física responsável) e informações de contato do Encarregado, devidamente atualizadas, no sítio eletrônico do agente de tratamento, de forma clara, objetiva, em local de destaque e de fácil acesso. Caso o agente de tratamento não possua sítio eletrônico, a identidade poderá ser divulgada em seus canais de comunicação disponíveis;
• Comunicação em Língua Portuguesa. O Encarregado deverá ser capaz de se comunicar com os titulares e com a ANPD em língua portuguesa, de forma clara e precisa;
• Acúmulo de Funções. O Encarregado poderá acumular funções e exercer as suas atividades para mais de um agente de tratamento, desde que seja de possível conciliação e inexista conflito de interesse;
• Conflito de Interesse. A existência de conflito de interesse poderá ensejar aplicação de sanções ao agente de tratamento, sendo responsabilidade deste tomar as providências necessárias para afastar o conflito de interesse; e
• Deveres do Agente de Tratamento. O agente de tratamento deverá prover ao Encarregado os meios necessários para exercício de suas atribuições, garantir sua autonomia técnica e acesso direto às pessoas de maior nível hierárquico dentro da organização.
Além das atividades e competências previstas no artigo 41, §2º da LGPD, o Regulamento atribuiu ao Encarregado a responsabilidade de tomar as medidas necessárias para atendimento às solicitações da ANPD e prestar assistência e orientação ao agente de tratamento para:
- Registrar incidentes de segurança e operações de tratamento de dados pessoais;
- Elaborar Relatório de Impacto à Proteção de Dados Pessoais ("RIPD");
- Criar e implementar processos internos de supervisão e mitigação de riscos, assim como um programa de governança em privacidade e políticas internas;
- Adotar medidas técnicas e administrativas de segurança;
- Acompanhar o desenvolvimento de novos produtos e serviços (Privacy by Design);
- Elaborar instrumentos contratuais relacionados ao tratamento de dados pessoais;
- Monitorar transferências internacionais de dados.
No mais, os agentes de tratamento de pequeno porte seguem desobrigados a indicar um Encarregado, exceto quando realizarem tratamento de dados de alto risco.
Por fim, o Regulamento ressalta que o responsável pela conformidade do tratamento de dados pessoais com a LGPD é do agente de tratamento, sendo que o desempenho das atribuições pelo Encarregado não confere a ele tal responsabilidade perante a ANPD.
Nosso time de Proteção de Dados & Privacidade segue acompanhando o assunto e está à disposição para quaisquer esclarecimentos e para prestar assessoria sobre o tema.
Fonte: Veirano Advogados, em 17.07.2024