Desde a entrada em vigor da LGPD todos os Controladores são obrigados a nomear um Encarregado, exceto aqueles que se enquadram nas exceções para agentes de tratamento de pequeno porte. A Resolução representa um passo importante para tornar a função do Encarregado mais clara, bem definida e regulamentada.
Seguem os principais pontos da normativa:
- Nomeação formal: A indicação deve ser feita por documento escrito, datado e assinado, detalhando as atividades e formas de atuação do Encarregado. Este documento pode ser solicitado pela ANPD.
- Quem poderá ser um encarregado: O encarregado pode ser uma pessoa física (interna ou externa) ou jurídica, sem necessidade de certificações específicas, podendo acumular funções e trabalhar para mais de um agente de tratamento, desde que não gere conflito de interesses. A qualificação mínima do profissional deve considerar contexto, volume e risco do tratamento de dados pessoais.
- Divulgação dos dados: Devem ser divulgados o nome completo do encarregado e, no caso de pessoa jurídica, o nome empresarial e o nome completo da pessoa responsável, além das informações de contato para que os titulares possam exercer seus direitos.
- Encarregado substituto: Deve haver um substituto para o encarregado em caso de ausência, impedimento ou vacância, garantindo o atendimento contínuo dos titulares de dados.
- Obrigações da Organização: A organização deve garantir ao encarregado recursos humanos, técnicos e administrativos, autonomia técnica, e acesso direto aos níveis hierárquicos superiores. Deve solicitar assistência ao encarregado em decisões estratégicas e assegurar meios eficazes de comunicação com os titulares.
- Atividades principais: As atividades incluem aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências cabíveis, receber comunicações da ANPD e adotar providências, orientar os funcionários e contratados sobre práticas de proteção de dados pessoais, além de outras atribuições determinadas pelo agente ou normas complementares.
O encarregado deve adotar medidas necessárias ao receber comunicações da ANPD, incluindo encaminhar demandas internamente, fornecer orientação e assistência ao agente de tratamento, indicando o representante deste para casos de processo administrativo.
- Outras atividades: Assistir e orientar na elaboração e implementação de registros e comunicação de incidentes de segurança, registros de operações de tratamento de dados pessoais, relatórios de impacto à proteção de dados, supervisão e mitigação de riscos, medidas de segurança, compliance com a LGPD, instrumentos contratuais, transferências internacionais de dados, boas práticas e governança em privacidade, e design de produtos e serviços compatíveis com a LGPD.
- Não responsabilização: O encarregado não é responsável perante a ANPD pela conformidade do tratamento de dados pessoais realizado pelo controlador.
- Conflito de Interesse: O agente de tratamento deve garantir que o encarregado não exerça atribuições que gerem conflito de interesse e, se for constatada essa possibilidade, deve tomar providências como não indicar a pessoa para a função, implementar medidas para afastar o risco ou substituir o encarregado. A verificação do conflito de interesse será feita caso a caso, podendo resultar em sanção ao agente de tratamento. O encarregado deve declarar ao agente de tratamento qualquer situação que possa configurar conflito de interesse, responsabilizando-se pela veracidade das informações.
