1. Nomeação por Ato Formal. Todo Controlador de dados pessoais (“Controlador”) deve nomear um Encarregado – pessoa física ou jurídica – através de ato formal (por meio de documento escrito, datado e assinado), que pode ser solicitado pela ANPD.
2. Identidade e Publicidade. A identidade (nome completo, se pessoa física, ou razão social, se pessoa jurídica), bem como as informações que viabilizem o contato dos titulares e das autoridades com o Encarregado devem ser mantidas atualizadas e divulgadas no site do agente de tratamento (de forma clara, precisa e em local de fácil acesso). Para os agentes de tratamento que não possuam site, a divulgação da identidade e das informações de contato do Encarregado deverá ocorrer por quaisquer outros meios de comunicação disponíveis, especialmente aqueles usualmente utilizados para contato com os titulares.
3. Encarregado Substituto. Em caso de ausência, vacância ou impedimento do Encarregado principal, um substituto deverá ser formalmente designado.
4. Encarregados de Operadores. A indicação de Encarregado por Operadores de dados pessoais (“Operadores”) não é obrigatória, porém será considerada uma boa prática.
5. Qualificações. O agente de tratamento deverá estabelecer as qualificações profissionais necessárias do Encarregado, considerando seus conhecimentos sobre a legislação de proteção de dados pessoais, bem como contexto, volume e risco dos tratamentos praticados.
6. Facilitação do Exercício das Atividades. O agente de tratamento deve (a) prover ao Encarregado os meios necessários para a sua atuação; (b) solicitar assistência e orientação do Encarregado quando da realização de atividades e tomada de decisões estratégicas referentes ao tratamento de dados pessoais; (c) garantir ao Encarregado autonomia técnica necessária para cumprir suas atividades; (d) assegurar aos titulares meios céleres, eficazes e adequados para comunicação com o Encarregado e o exercício de seus direitos; e (e) garantir ao Encarregado acesso direto às pessoas de maior nível hierárquico dentro da organização.
7. Tipos de Encarregado. O Encarregado poderá ser pessoa física ou jurídica, funcionário ou prestador de serviço do agente de tratamento.
8. Comunicação. O Encarregado deve ser capaz de se comunicar de forma clara e em língua portuguesa.
9. Certificação. Não é necessária qualquer certificação ou inscrição em qualquer órgão específico pelo Encarregado.
10. Funções do Encarregado. O Encarregado terá como funções (a) aceitar reclamações e comunicações dos titulares de dados, prestar esclarecimentos e adotar as providências cabíveis; (b) receber comunicações da ANPD e adotar providências; (c) orientar funcionários e contratados do agente de tratamento sobre boas práticas de proteção de dados; (d) exercer outras atribuições que sejam definidas pelo agente de tratamento ou por normas complementares; (e) prestar assistência e orientação ao agente de tratamento na elaboração, definição e implementação, conforme o caso de (i) comunicação de incidente; (ii) registro de operações de tratamento de dados (“ROPA”); (iii) relatório de impacto (“RIPD”), quando necessário; (iv) medidas de mitigação considerando eventuais riscos de tratamento; (v) medidas de segurança necessárias para a proteção dos dados; (vi) políticas internas aderentes à LGPD e regulamentos e orientações da ANPD; (vii) cláusulas contratuais relacionadas à proteção de dados; (viii) transferência internacional de dados; (ix) regras de governança e boas práticas sobre o tratamento de dados pessoais; (x) produtos e serviços que adotem a privacidade desde o design e por padrão (privacy by design e by default) e; (xi) outras atividades e tomadas de decisões estratégicas referentes ao tratamento de dados pessoais.
11. Responsabilidade. O Encarregado não possui responsabilidade pessoal pela conformidade do tratamento de dados.
12. Cumulatividade de Cargos. Pode ocorrer acumulação de funções pelo Encarregado e este exercer as suas atividades para mais de um agente de tratamento, desde que seja possível o pleno atendimento de suas atribuições relacionadas a cada agente de tratamento e não exista conflito de interesses.
13. Conflito de Interesses. O Encarregado e o agente de tratamento devem, respectivamente, declarar e se atentar para evitar situações que configurem conflito de interesse, incluindo atribuições internas conflitantes ou em diferentes agentes de tratamento, bem como o acúmulo das atividades do Encarregado com outras que envolvam a tomada de decisões estratégicas sobre o tratamento de dados. A existência de conflito de interesse será objeto de verificação no caso concreto e poderá ensejar a aplicação de sanção ao Controlador. Caso seja constatada possibilidade de conflito de interesse, o Controlador deverá: (i) não indicar a pessoa como Encarregado; (ii) adotar medidas para eliminar o risco de conflito de interesse; ou (iii) substituir a pessoa designada.
A equipe de Tecnologia e Proteção de Dados do Cescon Barrieu permanece à disposição para auxiliá-los com temas relacionados à proteção de dados pessoais.
