Por Henrique Zalaf
A Resolução nº 18 da ANPD (Autoridade Nacional de Proteção de Dados), aprovou o regulamento que orienta a atuação do encarregado pelo tratamento de dados pessoais, conforme previsto na Lei Geral de Proteção de Dados (LGPD).
O encarregado, também conhecido como Data Protection Officer (DPO), desempenha um papel crucial como intermediário entre o controlador, os titulares dos dados e a ANPD.
O regulamento detalha que a indicação do encarregado deve ser feita por ato formal do agente de tratamento, com documentação clara e inequívoca, que deverá ser apresentada à ANPD quando solicitada. Para agentes de pequeno porte, que são dispensados da obrigatoriedade de designação de um encarregado, ainda é necessário manter um canal de comunicação para que os titulares de dados possam exercer seus direitos.
A resolução também regula que as informações do encarregado, como nome e contato, devem ser amplamente divulgadas para que os titulares e a ANPD possam facilmente localizá-lo. Se o agente de tratamento não possuir um site, essas informações podem ser divulgadas por outros meios de comunicação acessíveis. O objetivo é garantir transparência e fácil acesso ao encarregado para os titulares de dados e a autoridade.
No que se refere às qualificações do encarregado, a resolução não exige certificações ou formações específicas. Entretanto, é necessário que o encarregado tenha conhecimento sólido sobre a legislação de proteção de dados e sobre as operações de tratamento realizadas pelo agente de tratamento. Isso garante que ele possa desempenhar suas funções de maneira adequada e eficaz, prestando orientações e tomando decisões estratégicas em relação à proteção de dados.
As atividades do encarregado incluem o recebimento de reclamações e comunicações dos titulares, prestação de esclarecimentos e a adoção de medidas cabíveis. Ele também tem o papel de orientar os funcionários e contratados sobre práticas de proteção de dados, além de fornecer assistência em questões estratégicas, como incidentes de segurança e transferências internacionais de dados.
Adicionalmente, o regulamento estabelece que o encarregado deve atuar com ética, integridade e autonomia, evitando conflitos de interesse. É permitido que o encarregado acumule funções ou atue para mais de um agente de tratamento, desde que tal acúmulo não comprometa a autonomia e não gere conflito de interesse, situação que, se identificada, pode levar à aplicação de sanções ao agente de tratamento.
Por fim, o regulamento reforça a importância de garantir que o encarregado tenha acesso direto aos níveis mais altos de decisão dentro da organização, a fim de assegurar a conformidade com a LGPD. Essa relação próxima com os tomadores de decisão é fundamental para que a organização mantenha uma cultura de proteção de dados e adote as medidas necessárias para garantir a segurança e o cumprimento das normativas.