A Autoridade Nacional de Proteção de Dados (ANPD), submeteu recentemente uma consulta pública para regulamentar a atuação do Encarregado de Dados, nos termos do art. 41, §3º, da Lei Geral de Proteção de Dados (Lei nº 13.709, de 14 de agosto de 2018). Neste contexto, devemos ressaltar que toda empresa que coleta, trata, armazena e compartilha dados pessoais precisa indicar esse profissional denominado Encarregado de Dados, cuja responsabilidade é zelar pela governança destes dados pessoais, zelando pela sua jornada nos mais diversos departamentos e sistemas de uma empresa.
Assim, essa consulta pública é de suma relevância para determinar qual será o escopo de trabalho a ser exigido do Encarregado de Dados no desempenho de suas atividades. No ato da contratação deste profissional, seja ele interno ou terceirizado, a regulação será importante, para que sejam atendidos os requisitos técnicos e regulatórios mínimos para exercer a atividade de Encarregado de Dados.
Destacamos, então, as 10 principais responsabilidades do Encarregado de Dados, que estão previstos na consulta pública, e que podem ser objeto de regulação:
1 – A empresa deverá indicar formalmente quem é o Encarregado de Dados, que pode ser mais de um, podendo ser um empregado interno ou mesmo um prestador de serviço externo terceirizado, devendo atender sempre em língua portuguesa, não presumindo a inscrição em qualquer entidade nem a detenção de qualquer certificação ou formação profissional específica.
2 – Os Agentes de Tratamento de Pequeno Porte, que estão dispensados de indicar um encarregado de dados, devem disponibilizar um canal de comunicação com o titular de dados e com a ANPD
3 – Cabe ao agente de tratamento estabelecer, considerando o contexto, o volume e o risco das operações de tratamento realizadas, as qualificações profissionais para o desempenho das atribuições do encarregado.
4 – A indicação do encarregado deverá observar as suas qualidades profissionais, e, principalmente, seus conhecimentos relativos à disciplina de privacidade e proteção de dados, bem como aqueles necessários para o desempenho das suas funções.
5 – A identidade e as informações de contato do encarregado devem ser mantidas atualizadas e ser divulgadas no sítio eletrônico do agente de tratamento.
6 – A empresa deve prover os meios necessários para o exercício das atribuições do encarregado, neles compreendidos recursos humanos, técnicos e administrativos, bem como proporcionar ao encarregado autonomia técnica e acesso à alta administração da organização, para o melhor desempenho de suas atividades, além de prover meios de atendimento humanizados do encarregado com o titular de dados e com a ANPD.
7 – O encarregado poderá acumular funções e exercer as suas atividades para mais de um agente de tratamento, desde que seja possível o pleno atendimento de suas atribuições relacionadas a cada agente de tratamento e inexista conflito de interesses.
8- As atividades do encarregado consistem em:
I – aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
II – receber comunicações da ANPD e adotar providências;
III – orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
IV – executar as demais atribuições determinadas pelo agente de tratamento ou estabelecidas em normas complementares.
9 – São atribuições complementares do encarregado:
I – elaborar a comunicação de incidente de segurança com dados pessoais;
II – elaborar o registro das operações de tratamento de dados pessoais;
III – elaborar do Relatório de Impacto à Proteção de Dados Pessoais;
IV – identificar e analisar o risco relativo ao tratamento de dados pessoais;
V – definir medidas de segurança, técnicas e administrativas, aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito;
VI – implementar as determinações da LGPD, dos regulamentos da ANPD e na adoção de melhores práticas para proteção de dados pessoais;
VII – analisar cláusulas contratuais com terceiros que versem sobre proteção de dados pessoais;
VIII – responsabilizar-se pela transferências internacionais de dados;
IX – formular e implementar regras de boas práticas e de governança e de programa de governança em privacidade.
10 – O encarregado deverá declarar ao agente de tratamento qualquer situação que possa configurar conflito de interesse, responsabilizando-se pela veracidade das informações prestadas. Neste contexto, o agente de tratamento, ao indicar o encarregado, deve atentar para que este não esteja ocupando ou não passe a ocupar posição que acarrete conflito de interesses.
A conclusão é que o Encarregado de Dados, para desempenhar as suas funções, deve estar muito bem capacitado, com conhecimento técnico e regulatório, mesmo que esta exigência não esteja formalizada na consulta pública. Por ser um cargo de alta responsabilidade, é necessário que este profissional seja capacitado e tenha experiência no assunto, a fim de que possa exercer sua função com desenvoltura e sem conflito de interesses. Se esta for uma função a ser terceirizada, que a empresa contratante tome os devidos cuidados para analisar a experiência e conhecimento do Encarregado de Dados a respeito do assunto, pois há muita oferta no mercado de pessoas sem a expertise necessária tentando ocupar esta função, que ainda é muito nova e atrai diversos aventureiros.
Você sabia que o Portal Juristas está no Facebook, Twitter, Instagram, Telegram, WhatsApp, Google News e Linkedin? Siga-nos!