Notícias
Novo Regulamento da ANPD sobre Encarregados pelo Tratamento de Dados Pessoais entra em vigor
19 de julho de 2024
No dia 17 de julho de 2024, foi publicado no Diário Oficial da União o novo regulamento (Resolução CD/ANPD nº 18) sobre a atuação do encarregado pelo tratamento de dados pessoais (DPO).
Essa norma complementa a Lei Geral de Proteção de Dados (LGPD) e traz importantes definições e orientações sobre a figura do encarregado, também conhecido como Data Protection Officer (DPO), que é o canal de comunicação entre o controlador, os titulares dos dados e a ANPD.
Entre os principais pontos da Resolução, destacamos:
- A indicação do encarregado deve ser realizada por ato formal do agente de tratamento, do qual constem as formas de atuação e as atividades a serem desempenhadas. O documento deve ser apresentado à ANPD, quando solicitado.
- O encarregado pode ser uma pessoa natural ou jurídica, integrante do quadro organizacional do agente de tratamento ou externo a esse, desde que seja capaz de comunicar-se com os titulares e com a ANPD, de forma clara e precisa e em língua portuguesa.
- O agente de tratamento deve prover os meios necessários para o exercício das atribuições do encarregado, garantir sua autonomia técnica, assegurar aos titulares meios céleres, eficazes e adequados para viabilizar a comunicação com o encarregado e o exercício de direitos, e garantir ao encarregado acesso direto às pessoas de maior nível hierárquico dentro da organização.
- O encarregado deve atuar com ética, integridade e autonomia técnica, evitando situações que possam configurar conflito de interesse. O encarregado poderá acumular funções e exercer as suas atividades para mais de um agente de tratamento, desde que seja possível o pleno atendimento de suas atribuições relacionadas a cada agente de tratamento e inexista conflito de interesse.
- O encarregado tem como atividades aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências cabíveis, receber comunicações da ANPD e adotar providências, orientar os funcionários e os contratados do agente de tratamento a respeito das práticas a serem tomadas em relação à proteção de dados pessoais, e executar as demais atribuições determinadas pelo agente de tratamento ou estabelecidas em normas complementares.
- O encarregado também deve prestar assistência e orientação ao agente de tratamento na elaboração, definição e implementação de diversas atividades e tomada de decisões estratégicas referentes ao tratamento de dados pessoais, tais como registro e comunicação de incidente de segurança, relatório de impacto à proteção de dados pessoais, medidas de segurança, técnicas e administrativas, regras de boas práticas e de governança e de programa de governança em privacidade, entre outras.
- O desempenho das atividades e das atribuições do encarregado não confere a ele a responsabilidade, perante a ANPD, pela conformidade do tratamento dos dados pessoais realizado pelo controlador. O agente de tratamento é o responsável pela conformidade do tratamento dos dados pessoais, nos termos da LGPD.
Essa Resolução já está em vigor e estabelece um novo marco regulatório para a atuação do encarregado, que é uma figura essencial para a adequação e a conformidade dos agentes de tratamento à LGPD.