No final de dezembro, a Autoridade Nacional de Proteção de Dados (ANPD) publicou um guia orientativo sobre a atuação do encarregado pelo tratamento de dados pessoais, também conhecido como Data Protection Officer (DPO). O guia traz importantes orientações sobre as atribuições dessa figura, além de esclarecer as regras para a sua indicação estabelecidas no Regulamento do Encarregado da ANPD, publicado em julho de 2024.
Dentro de empresas e organizações, o encarregado é o ponto focal para assuntos de proteção de dados e o canal de comunicação entre os titulares, agentes de tratamento e a ANPD. Entre as atribuições mais comuns dessa figura, temos: o recebimento e tratamento de reclamações e comunicações dos titulares e da ANPD; orientação dos funcionários e dos contratados quanto às práticas de proteção de dados adotadas; entre outros deveres determinados pelo agente de tratamento.
Nesse contexto, apresentamos abaixo algumas orientações e esclarecimentos trazidos pelo guia da ANPD:
Quem deve indicar um encarregado?
Todos os controladores devem indicar um encarregado. De todo modo, a recomendação da ANPD é que todos os agentes, sejam controladores sejam operadores, indiquem um encarregado como uma medida de boa prática de governança.
Quando é aplicável a dispensa de indicação?
A dispensa da indicação de encarregado está restrita aos agentes de tratamento de pequeno porte, ou seja, microempresas, empresas de pequeno porte, startups, bem como pessoas naturais e entes privados despersonalizados. Todavia, cabe lembrar que essa hipótese de dispensa não é aplicável quando o agente: realizar tratamento de alto risco; auferir, em cada ano-calendário, receita bruta superior a R$ 360.000,00 e igual ou inferior a R$ 4.800.000,00, ou, no caso de startups, receita bruta de até R$ 16.000.000,00 no ano-calendário anterior ou de R$ 1.333.334,00 multiplicado pelo número de meses de atividade no ano-calendário anterior, quando inferior a 12 meses; ou pertencer a um grupo econômico de fato ou de direito, cuja receita global ultrapasse tais limites.
Quem pode nomear o encarregado?
Para agentes de tratamento privados, o dirigente competente, de acordo com contrato ou estatuto social da empresa. E, nos órgãos e entidades públicas, a autoridade máxima da instituição ou delegada, de acordo com legislação aplicável.
Ato formal é necessário?
Sim, a nomeação deve ser feita por meio de um documento escrito, datado e assinado, que nomeie o encarregado de maneira clara e expressa, devendo ser apresentado à ANPD se solicitado.
As informações do encarregado, como nome completo ou razão social, devem ser publicadas?
Sim, em conjunto com dados de contato e em meio digital de fácil acesso, por exemplo, sites e outros meios utilizados para comunicação com titulares, sem prejuízo da publicação, a depender do contexto do tratamento, em meios físicos, como placas, displays, folhetos etc.
A língua portuguesa é obrigatória?
Sim, uma vez que o encarregado é responsável por se comunicar com clareza com os titulares, controladores e ANPD.
Conflito de interesse pode afastar a nomeação do encarregado?
Sim, o encarregado deve cumprir suas funções de forma autônoma e, portanto, não pode exercer atividade que envolva a tomada de decisões estratégicas sobre tratamento de dados pessoais, como cargos de chefia, gerência ou direção, gestão de recursos humanos, tecnologia da informação, finanças ou saúde.
É importante destacar que, em dezembro, a ANPD deu início a um processo de fiscalização envolvendo 20 empresas de grande porte que não indicaram o contato do encarregado nem disponibilizaram um canal de comunicação adequado para atender os titulares de dados. Diante disso, é fundamental que empresas e organizações se mantenham informadas sobre as regras de indicação e as funções do encarregado. Essa conscientização é crucial para evitar o descumprimento de normas, evitando eventuais processos de fiscalização e sanções. O guia completo da ANPD pode ser acessado aqui.
