Por Rafhael Camargo
A Autoridade Nacional de Proteção de Dados (ANPD) publicou recentemente o Regulamento do Encarregado. Trata-se de um marco regulatório importante, uma vez que auxilia as empresas, que estão há anos adequando processos e procedimentos, para estarem em conformidade com a Lei Geral de Proteção de Dados (LGPD) em relação às dúvidas sobre quando nomear um Encarregado (DPO), o que ele deve fazer, quais são suas responsabilidades e qual perfil deve ser o melhor a exercer a função.
Resumo da Resolução:
– A resolução reforça a obrigatoriedade de nomeação de um encarregado pelo tratamento de dados pessoais, também conhecido como Data Protection Officer (DPO), especifica parâmetros para a Administração Pública e faculta os operadores da nomeação, deixando claro que se o fizer, será considerado uma boa prática.
– Aponta que a nomeação do encarregado deve ser formalizada por meio de um documento escrito, datado e assinado que poderá ser requerido pelo órgão regulador sempre que necessário.
– Detalha as atribuições do encarregado, que incluem aceitar reclamações e comunicações dos titulares, receber comunicações da ANPD e orientar funcionários sobre práticas de proteção de dados.
– Determina que a identidade e as informações de contato do Encarregado devem ser divulgadas publicamente de forma clara e objetiva, em local de destaque e fácil acesso no site da organização.
– Pormenoriza as responsabilidades das organizações como controladoras de dados, ao prover meios humanos, técnicos e administrativos para a atuação do Encarregado.
Os advogados que atuam aconselhando empresas sobre o tema devem estudar os pormenores da Resolução, já que existem alguns pontos que devem ser evidenciados e estruturados em cada organização, para fins de governança e conformidade.
Nomeação do Encarregado para Operadores de Dados: deixou de ser uma obrigação?
As empresas devem nomear um encarregado, que será o ponto de contato entre a empresa, os titulares dos dados e a ANPD. Esta nomeação é obrigatória para o “controlador”, enquanto para o “operador” é opcional, sendo considerada uma política de boas práticas de governança conforme o disposto no art. 52, § 1º, inciso IX, da LGPD, e no art. 13, inciso II, do anexo da Resolução CD/ANPD nº 4/2023. Neste tópico, ainda que haja faculdade de “operadores” nomearem um DPO, aconselha-se a nomeação sempre por três motivos. O primeiro, e mais importante, é que as empresas que atuam como operadoras, também têm suas dificuldades de conformidade, melhorias de processos e necessidade de atender diversos requisitos legais, como boa prática e competitividade.
Em segundo lugar, cada vez mais os controladores estão exigindo que os operadores tenham uma governança robusta em dados, o que é óbvio, uma vez que essas empresas podem terceirizar parte da operação ou compartilhar dados com os operadores de forma sistemática, não fazendo sentido contratar uma empresa que não se preocupa com a nomeação de um Encarregado, que irá gerenciar um programa de privacidade e proteção de dados.
Além disso, todas as organizações tratam de dados pessoais devido à sua estrutura organizacional e, portanto, atuam como controladores desses dados. Por exemplo, uma empresa processa dados pessoais de seus próprios funcionários na qualidade de controladora. Dessa forma, qualquer entidade que atua como operadora em relação a um controlador também desempenha o papel de controladora em relação aos dados que processa em suas próprias operações.
Por fim, a ANPD, ao facultar à empresa a nomeação do encarregado, diz que será considerado “boa prática” e, se analisarmos outras regulamentações do órgão, é possível observar que as boas práticas serão consideradas para fins de redução de penalidade, como exemplo o inciso X, do artigo 7º da Resolução nº 4 do CD/ANPD, de 2023. É o famoso “morde e assopra”. De qualquer maneira, nomear um Encarregado é uma forma de garantir o cumprimento da lei e evitar possíveis burlas, dissimulações ou engano.
Nomeação de um Encarregado substituto
As empresas devem, ainda, nomear um DPO substituto para que na ausência do principal, não haja obstáculos para o exercício dos direitos dos titulares ou para o atendimento às comunicações da ANPD. Esta obrigação nos leva a refletir sobre as vantagens em contratar um DPO as a service, que poderá gerenciar toda a estrutura de dados dentro da organização.
Contratar um DPO as a service oferece a flexibilidade de contar com especialistas dedicados à proteção de dados sem a necessidade de manter um funcionário em tempo integral. Esses profissionais trazem uma vasta experiência e conhecimento atualizado sobre as regulamentações, permitindo que a empresa se mantenha em conformidade de maneira eficiente.
Além disso, um DPO as a service pode rapidamente se adaptar às mudanças nas necessidades da organização e fornecer suporte contínuo, garantindo que as políticas de proteção de dados sejam implementadas e monitoradas adequadamente. Essa abordagem também pode ser mais econômica e prática, especialmente para empresas menores que podem não ter os recursos para empregar um DPO em tempo integral.
Transparência na indicação do Encarregado
A identidade e informações de contato do encarregado devem ser divulgadas publicamente de forma clara e objetiva, de preferência no site e nos avisos de privacidade, dando amplo acesso aos interessados de quem é o responsável pela governança de dados.
Se o Encarregado for uma pessoa jurídica, a divulgação deve incluir o nome empresarial, bem como o nome completo da pessoa natural responsável, mas se for uma pessoa natural, deve ser divulgado somente o nome completo do responsável.
A divulgação deve incluir, no mínimo, dados de meios de comunicação que permitam o exercício dos direitos do titular. Esses meios de comunicação podem ser o e-mail do DPO, um link de atendimento redirecionando para uma página de suporte, um chat ao vivo, entre outros.
Documentação Formal
A indicação do encarregado deve ser documentada formalmente, garantindo a transparência e a clareza na designação. No documento deve conter, no mínimo, o nome da pessoa física ou empresa, os contatos para acesso ao responsável e os meios de comunicação para os titulares exercerem seus direitos de forma segura. Além dessas ações mínimas, sugerimos conter as responsabilidades do Encarregado para que a organização e as partes interessadas vejam com clareza as responsabilidades e tarefas que ao DPO são atribuídas.
Atribuições do Encarregado
As empresas devem assegurar que o encarregado tenha condições, incluídos recursos humanos, técnicos e administrativos, de realizar suas atribuições de forma autônoma, livre de interferências indevidas que incluem a orientação sobre práticas de proteção de dados e a comunicação com a ANPD.
O agente de tratamento deve, ainda, solicitar assistência e orientação do encarregado quando realizar atividades e tomada de decisões estratégicas referente ao tratamento de dados pessoais. É importante frisar: o DPO não toma decisões sobre tratamento de dados pessoais, essa é uma atribuição das empresas. Ele subsidia, através de sua técnica e experiência, a tomada de decisão pelos gestores responsáveis.
Por esta razão, as empresas devem garantir ao Encarregado acesso direto às pessoas com maior nível hierárquico dentro da organização, aos responsáveis pela tomada de decisões estratégicas que podem afetar ou envolver o tratamento de dados pessoais, bem como às demais áreas da organização.
Adicionalmente, é obrigação do controlador prover meios eficazes e rápidos para o atendimento dos direitos do titular de dados pessoais. Isso inclui a implementação de canais de comunicação acessíveis e eficientes para que os titulares possam exercer seus direitos, tais como: acesso, correção, eliminação, restrição de processamento e portabilidade dos dados. A empresa deve garantir que esses canais estejam devidamente estruturados e operacionais, permitindo uma resposta ágil e adequada às solicitações dos titulares.
Governança de Dados
Muito mais do que um mero mensageiro entre a ANPD e a empresa, a resolução enfatiza – como atribuições do DPO – a condução de práticas robustas de governança em proteção de dados, incluindo medidas de prevenção e segurança adequadas, registro das operações de tratamento de dados pessoais, relatórios de impacto à proteção de dados pessoais, mecanismos internos de gestão de riscos, processos e políticas internas, treinamentos aos colaboradores, opiniões em instrumentos jurídicos, privacy by design e qualquer atividade estratégica relacionadas a tratamento de dados pessoais.
A norma da ANPD deixa claro que as tarefas relacionadas à governança não conferem ao encarregado a responsabilidade, perante o órgão regulador, pela conformidade do tratamento dos dados pessoais realizado pelo agente de tratamento.
Por fim, a ANPD ressalta sobre casos de conflitos de interesse, ou seja, quando o encarregado não tiver condições de exercer seu papel com ética, integridade e autonomia técnica. Nesse aspecto, é importante destacar que é expressamente vedado o acúmulo das atividades de Encarregado com outras tarefas que envolvam a tomada de decisões estratégicas sobre o tratamento de dados pessoais pelo controlador.
É uma norma que deverá ser analisada de forma recorrente pelos advogados gestores que exercem o papel de DPO ou prestam consultoria sobre o tema. O cumprimento rigoroso dessas diretrizes não só garante a conformidade com a legislação, como também fortalece a governança das organizações, promovendo a confiança dos stakeholders e a segurança tanto para os titulares de dados quanto para as entidades fiscalizadoras.