ANPD publica regras para a função de encarregado de dados pessoais

A Autoridade Nacional de Proteção de Dados (ANPD) aprovou o regulamento que define as regras de atuação do profissional encarregado pelo tratamento de dados pessoais. A resolução foi publicada no Diário Oficial da União nesta quarta-feira (17) e já entrou em vigor.

• Clique e siga o Canaltech no WhatsApp
• Jogo do Tigrinho deve ser liberado ainda este mês; entenda as regras do governo

O encarregado pelo tratamento de dados pessoais vai funcionar como um canal de comunicação entre a empresa controladora dos dados, os titulares (clientes, assinantes, entre outros) e a própria ANPD. Cada empresa pode indicar uma pessoa física ou jurídica, desde que siga princípios de ética para evitar conflito de interesses, e disponibilizar as informações para contato com o profissional.

A posição tem o papel de ajudar a garantir o uso e a efetividade da Lei Geral de Proteção de Dados (LGPD) em diversas frentes. Segundo a resolução, o encarregado precisa se comunicar com todas as partes em língua portuguesa e tem quatro funções principais:

O Canaltech está no WhatsApp!Entre no canal e acompanhe notícias e dicas de tecnologia

WhatsApp

• Aceitar reclamações e comunicações dos titulares;
• Receber comunicações da ANPD e tomar as respectivas providências;
• Orientar funcionários e contratados da agência tratadora sobre as práticas de proteção de dados pessoais;
• Executar atribuições determinadas pelo agente de tratamento ou estabelecidas em normas complementares.

Chefe da ANPD reforça importância

O diretor-presidente da ANPD, Waldemar Gonçalves Ortunho Júnior, comentou a resolução durante o evento CPDP LatAm, realizado na cidade do Rio de Janeiro. O chefe da agência destacou a contribuição da sociedade para determinar as regras e o papel do encarregado no contexto do tratamentos de dados.

“Depois da dosimetria, essa foi a norma que mais tivemos contribução da sociedade em geral. Vemos na figura do encarregado alguém muito importante no sistema de proteção de dados. É aquela pessoa que tem acesso a todos os operadores de dados, os diretores de empresas, fala com os titulares de dados, conversa com a ANPD, então é uma figura importantíssima nesse contexto de dados pessoais”, comentou.

Waldemar Ortunho Júnior também confirmou que o órgão fará o primeiro encontro de encarregado de dados no dia 1º de agosto para discutir o tema.

Repercussões

A decisão trouxe resultados positivos para estabelecer os critérios da função de encarregado. Segundo a Data Protection Officer do escritório Viseu Advogados, Antonielle Freitas, a resolução apresenta um papel importante para estabelecer uma cultura de proteção de dados no país.

“O regulamento esclarece as atribuições, as qualificações, as condições e as responsabilidades do encarregado, que é a figura central na comunicação entre os agentes de tratamento, os titulares e a ANPD”, comenta.

“O regulamento também reforça a necessidade de autonomia técnica, ética e integridade do encarregado, bem como a prevenção de conflitos de interesse. Esses aspectos são fundamentais para que o encarregado possa desempenhar seu papel de forma adequada e eficiente”, conclui.

Por outro lado, o advogado especialista em proteção de dados do escritório Prado Vidigal Advogados, Luis Fernando Prado, aponta alguns possíveis problemas do regulamento. De acordo com o profissional, as diretrizes podem causar problemas com empresas internacionais, enquanto a decisão de revelar o nome completo do encarregado é considerada “polêmica”.

“Foi mantida a polêmica exigência de divulgação de nome completo da pessoa física que exerce a função de DPO. Além disso, mesmo quando DPO for pessoa jurídica, será necessário indicar o nome da “pessoa natural responsável”. Além disso, foram criadas novas obrigações não previstas na LGPD, como a necessidade de indicação formal de “encarregado substituto”’, comenta.

“O encarregado precisa estar apto a se comunicar em português com a ANPD e titulares. Não há menção à possibilidade de uso de intérpretes ou tradutores. Como fica o caso das empresas sujeitas à LGPD que não estão estabelecidas no Brasil?”, pondera Prado.

Por fim, o advogado especialista em tecnologia, proteção de dados e propriedade intelectual do Lefosse, Paulo Lilla, avalia o impacto das medidas no segmento. Para o especialista, as principais mudanças envolvem a alteração de documentos e a adoção de providências que não são frequentemente usadas por agentes de tratamento de dados.

"O regulamento pode exigir a alteração de documentos e estruturas de governança em proteção de dados. Por exemplo, o texto indica a necessidade de nomeação formal do encarregado, por meio de documento escrito, assinado e datado, o que não foi realizado por todas as organizações. Neste caso, será necessária a formalização da nomeação do encarregado por meio de documento específico".

"Além disso, o Regulamento indica a necessidade de divulgar a identidade do encarregado junto com suas informações de contato, prática que não é adotada pela maioria dos agentes de tratamento e precisará ser ajustada", completa.

Recentemente, a ANPD ficou em destaque por aplicar uma medida preventiva contra a Meta para impedir o uso de dados pessoais pela empresa para treinar sistemas de inteligência artificial.

Atualização (18/07 - 9h30): o texto foi atualizado com os comentários do advogado Paulo Lilla.