A Autoridade Nacional de Proteção de Dados (“ANPD”) divulgou neste dia 07 de novembro a minuta de regulamento (“Regulamento”), sobre a atuação do Encarregado de Dados Pessoais (“Encarregado”). O Regulamento esclareceu algumas dúvidas sobre a qualificação técnica do Encarregado, suas competências e responsabilidades. Em resumo, a minuta de Regulamento estabelece os seguintes pontos principais:
-
Nomeação por Ato Formal. Todo o Controlador de dados pessoais (“Controlador”) deve nomear um Encarregado através de ato formal. Ou seja, a partir da aprovação do Regulamento, o Encarregado deverá ser formalmente nomeado (por meio de ata ou instrumento similar), pelo órgão de governança responsável por tal indicação, conforme previsto na política de governança ou documento similar do Controlador.
-
Encarregado de Pessoas de Direito Público. O Encarregado de pessoa jurídica de direito público objeto da Lei de Acesso à Informação deverá ser, preferencialmente, servidor estável, detentor de reputação ilibada.
-
Múltiplos Encarregados. É possível a indicação de mais de um Encarregado por um mesmo Controlador.
-
Publicidade. A indicação do Encarregado deve ser publicada em veículo de comunicação oficial.
-
Encarregados de Operadores. A indicação de Encarregado por Operadores de dados pessoais (“Operadores”) não é obrigatória, porém será considerada uma boa-prática para fins da dosimetria das penalidades.
-
Qualificações. O agente de tratamento deverá estabelecer as qualificações do Encarregado considerando o volume e risco das operações de tratamento praticadas.
-
Identidade e Informações de Contato no Site. A identidade (nome completo, se pessoa física, ou razão social, se pessoa jurídica) e as informações de contato (dados que viabilizem o contato dos titulares e de autoridades com o Encarregado) do Encarregado devem ser mantidas atualizadas e divulgadas no site do agente de tratamento (de forma clara, precisa e em local de fácil acesso).
-
Facilitação do Exercício das Atividades. O agente de tratamento deve (a) prover ao Encarregado os meios necessários para a sua atuação; (b) proporcionar ao Encarregado autonomia técnica e acesso à alta administração para possibilitar o desempenho de suas funções; e (c) prover meios de atendimento humanizado do Encarregado com o titular e a ANPD.
-
Tipos de Encarregado. O Encarregado poderá ser pessoa física ou jurídica, funcionário ou prestador de serviço do agente de tratamento.
-
Encarregado Substituto. Em caso de ausência, vacância ou impedimento do Encarregado, um substituto deverá ser nomeado.
-
Comunicação. Encarregado deve ser capaz de se comunicar de forma clara e em língua portuguesa.
-
Certificação. Não é necessária qualquer certificação ou inscrição em qualquer órgão específico pelo Encarregado.
-
Cumulatividade de Cargos. Pode ocorrer acumulação de funções pelo Encarregado, desde que não exista conflito de interesses.
-
Funções do Encarregado. O Encarregado deverá (a) aceitar reclamações e comunicações dos titulares de dados e tomar as providências cabíveis; (b) receber comunicações da ANPD e tomar as providências cabíveis; (c) orientar funcionários do agente de tratamento sobre boas práticas de proteção de dados; (d) exercer outras atribuições que sejam definidas, incluindo (i) elaborar comunicação de incidente; (ii) elaborar o registro de operações de tratamento de dados (“ROPA”); (iii) elaborar relatório de impacto, quando necessário; (iv) identificar e analisar eventuais riscos de tratamento; (v) definir as medidas de segurança necessárias para o tratamento; (vi) implementar a legislação e boas práticas relacionadas a dados pessoais; (viii) analisar cláusulas contratuais relacionadas a proteção de dados; (iv) implementar, da forma adequada, transferência internacional de dados; e (v) formalizar as regras de governança sobre o tratamento de dados pessoais.
-
Responsabilidade. O Encarregado não possui responsabilidade pessoal pela conformidade do tratamento de dados.
-
Conflito de Interesses. O Encarregado deve informar ao Controlador qualquer situação que possa gerar conflito de interesse. O conflito é presumido quando o Encarregado for a pessoa responsável pelas decisões relacionadas ao tratamento de dados.
Eventuais contribuições podem ser efetuadas até o dia 07 de dezembro através do link https://www.gov.br/participamaisbrasil/regulamento-encarregado
