Em meados de julho deste ano, a Autoridade Nacional de Proteção de Dados publicou a Resolução CD/ANPD nº18, que explicita regras sobre a atuação da pessoa Encarregada pelo Tratamento de Dados Pessoais, ou seja, aquela indicada pelo controlador e operador de dados para atuar como canal de comunicação entre o controlador, os titulares dos dados e a ANPD.
O Encarregado pelo tratamento dos dados tem as atribuições de:
receber reclamações dos titulares, prestar esclarecimentos e adotar medidas cabíveis sobre tais comunicados;
receber comunicações da ANPD e tomar providências;
orientar funcionários e contratados do agente de tratamentos sobre práticas de proteção de dados pessoais; e
executar outras atribuições determinadas pelo agente de tratamento de dados.
O trabalho deste ator fundamental da LGPD também ocorre dentro das Instituições de Ensino e deve ser precedido de treinamentos e avaliações que possibilitem certificação feita por organizações acreditadas e reconhecidas internacionalmente. O exercício de sua atividade não pressupõe a inscrição em qualquer entidade nem qualquer certificação ou formação profissional específica; não existe um nível de conhecimento definido, mas deve ser proporcional à complexidade dos dados que as IES tratam e estas devem considerar a exigência ou não de especialização.
De qualquer forma, é relevante que o Encarregado de grandes IES possua experiência em dados nacionais e internacionais, sendo conhecedor do setor de negócios da organização, compreender todas as atividades de processamento, conhecer sistemas de TI e de segurança.
Resolução CD/ANPD nº 18, de 16 de julho de 2024
Este Regulamento estabelece normas complementares especialmente sobre a indicação, a definição, as atribuições e a atuação do Encarregado.
Dos artigos 3º ao 7º a norma define o processo de indicação do profissional, que deve ser realizada por ato formal do agente de tratamento, do qual constem as formas de atuação e as atividades a serem desempenhadas e publicadas em Diário Oficial da União, do Estado, do Distrito Federal ou do Município, a depender da esfera de atuação do agente de tratamento.
Em suas ausências, impedimentos e vacâncias, a função será exercida por um substituto formalmente designado.
Cabe ao agente de tratamento estabelecer as qualificações profissionais necessárias para o desempenho das atribuições do Encarregado, considerando seus conhecimentos sobre a legislação de proteção de dados pessoais, bem como o contexto, o volume e o risco das operações de tratamento realizadas.
Já a identificação e as informações de contato do Encarregado foram definidas pelos artigos 8º e 9º da Resolução. A norma determina que o agente de tratamento deve divulgar e manter atualizadas a identidade e as informações de contato do encarregado e que a identidade e as informações de contato do encarregado devem ser divulgadas publicamente, de forma clara e objetiva, em local de destaque e de fácil acesso, no sítio eletrônico do agente de tratamento, a menos que ele não o possua.
Nesta eventualidade, cuja ocorrência nos parece pouco provável, o agente de tratamento poderá realizar a divulgação da identidade e das informações de contato do Encarregado por quaisquer outros meios de comunicação disponíveis, especialmente aqueles usualmente utilizados para contato com os titulares.
A divulgação da identidade do Encarregado abrangerá, no mínimo:
o nome completo, se for pessoa natural; ou
o nome empresarial ou o título do estabelecimento, bem como o nome completo da pessoa natural responsável, se pessoa jurídica.
A divulgação das informações de contato do Encarregado abrangerá, no mínimo, os dados referentes aos meios de comunicação que viabilizem o exercício dos direitos dos titulares junto ao controlador e possibilitem o recebimento de comunicações da ANPD.
As características do Encarregado foram previstas nos artigos 12 ao 14. Ele poderá ser uma pessoa natural, integrante do quadro organizacional do agente de tratamento ou externo a este; ou uma pessoa jurídica e deverá ser capaz de comunicar-se com os titulares e com a ANPD, de forma clara e precisa e em língua portuguesa.
Quanto às atividades e atribuições da pessoa Encarregada, foram dispostas nos artigos 15 ao 17.
As atividades consistem em:
aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências cabíveis;
receber comunicações da ANPD e adotar providências;
orientar os funcionários e os contratados do agente de tratamento a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
executar as demais atribuições determinadas pelo agente de tratamento ou estabelecidas em normas complementares.
Ao receber comunicações da ANPD, o profissional deverá adotar as medidas necessárias para o atendimento da solicitação e para o fornecimento das informações pertinentes Para isto, ele deve encaminhar internamente a demanda para as unidades competentes e fornecer a orientação e a assistência necessárias ao agente de tratamento, indicando expressamente o representante do agente de tratamento perante a ANPD para fins de atuação em processos administrativos quando esta função não for exercida pelo próprio encarregado.
Cabe, ainda, ao Encarregado, prestar assistência e orientação ao agente de tratamento na elaboração, definição e implementação, conforme o caso, de:
registro e comunicação de incidente de segurança;
registro das operações de tratamento de dados pessoais;
relatório de impacto à proteção de dados pessoais; e
mecanismos internos de supervisão e de mitigação de riscos relativos ao tratamento de dados pessoais;
Também cabem as providências em casos de medidas de segurança, técnicas e administrativas que protejam os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
Do Encarregado também se espera assistência e orientação ao agente de tratamento em se tratando de processos e políticas internas que assegurem o cumprimento da LGPD; transferências internacionais de dados e regras de boas práticas e de governança e programa de governança em privacidade.
A pessoa do Encarregado
De acordo com a nova regra, a pessoa Encarregada deve ser indicada pela empresa que controla os dados e pode ser tanto um profissional que integre o quadro da empresa/instituição de ensino quanto uma pessoa jurídica.
O desempenho de suas atividades e atribuições não lhe confere responsabilidade perante a ANPD pela conformidade do tratamento dos dados pessoais realizado pelo controlador. Afinal, ele atua como um canal de comunicação entre o controlador, os titulares dos dados e a ANPD. Porém, se agir com dolo ou culpa grave e, em razão disto, causar danos, responderá perante o empregador e terceiros, na esfera cível ou criminal.
Fato é que tal função dispõe de autonomia técnica em relação às lideranças das empresas e o novo regulamento também dispõe sobre situações de conflito de interesse que podem envolver o Encarregado, fornecendo diretrizes para solucionar tais conflitos.
Respeitando a autonomia deste profissional, ele poderá acumular funções e exercer as suas atividades para mais de um agente de tratamento, desde que seja possível o pleno atendimento de suas atribuições relacionadas a cada agente de tratamento e inexista conflito de interesse, circunstância que pode ser objeto de verificação no caso concreto e ensejar aplicação de sanção.
Ainda sobre o tema, o Encarregado deve expor ao agente de tratamento qualquer situação que possa configurar conflito de interesse e se responsabilizar pela veracidade das informações. Em contrapartida, o agente de tratamento deve atentar para que o Encarregado não exerça atribuições que acarretem o conflito.
Se houver possibilidade de conflito de interesse, o agente de tratamento, conforme o caso, se não for viável implementar medidas para afastar o problema, deve substituir a pessoa designada para exercer a função de Encarregado ou indicar outra.
Para finalizar, bom frisar que todas as funções mencionadas podem ser relativas a uma instituição de ensino, que deve manter-se em conformidade com as regras da LGPD.
Para maiores informações, acesse nossos textos:
Gostou deste texto? Faça parte de nossa lista de e-mail para receber regularmente materiais como este. Fazendo seu cadastro você também pode receber notícias sobre nossos cursos, que oferecem informações atualizadas e metodologias adaptadas aos participantes.
Temos cursos regulares já consagrados e modelamos cursos in company sobre temas gerais ou específicos relacionados ao Direito da Educação Superior. Conheça nossas opções e participe de nossos eventos.
Comments