Nova resolução da ANPD regulamenta indicação do encarregado de dados

A nova resolução da ANPD (Autoridade Nacional de Proteção de Dados), em atenção ao § 3º do artigo 41 da LGPD, trouxe a regulamentação quanto à obrigatoriedade da indicação do encarregado de dados (DPO — Data Protection Officer), a qual deverá ocorrer através de um ato formal, ou seja, documento escrito e inequívoco, deste encarregado de dados, e tal obrigatoriedade também atinge as pessoas de direito público, onde a indicação, para estas, deverá ser publicada em Diário Oficial.

Portanto, toda a empresa (controlador), por exemplo, deverá promover a indicação do seu encarregado de dados (DPO). E caberá a esta estabelecer as qualificações profissionais que entende necessárias para o desempenho desta função de encarregado, observando o conhecimento que o indicado deverá ter sobre a Lei Geral de Proteção de Dados, bem como o volume de dados que serão tratados e o risco deste tratamento.

Este encarregado poderá ser pessoa natural, inclusive integrante da própria empresa, podendo, também, ser externa, ou ser, o encarregado, até uma pessoa jurídica. E um detalhe importante, esta atividade de encarregado de dados, e o exercício desta, não carece de inscrição em qualquer tipo de associação, conselho profissional, ou assemelhados, e nem qualquer tipo de certificação, ou formação profissional específica. Muito embora, como dito no parágrafo anterior, a empresa precisará estabelecer quais serão as qualificações profissionais que o encarregado deverá possuir para o desempenho da função.

Além disso, deve manter atualizado as informações de contato, bem como a identidade do encarregado de dados, as quais deverão ser divulgadas publicamente, de forma clara e objetiva, no site da empresa, e isto em local de destaque e de fácil acesso.

Contudo, para as MEs e EPPs (micro e pequenas empresas), tal obrigatoriedade não persiste, todavia não estão dispensadas de disponibilizar um canal de comunicação com o titular de dados (pessoa natural) e o controlador.

E inova trazendo mais um agente de tratamento, mas na qualidade de substituto, é a figura do encarregado adjunto, o qual, nas ausências, impedimentos e vacâncias do encarregado de dados, exercerá as funções deste, devendo ser formalmente designado para tal função.

Ausência do encarregado de dados

Agora, o curioso é que, para os operadores de dados (quem realiza o tratamento de dados pessoais em nome do controlador, exemplo, uma operadora de plano de saúde, que trata os dados dos colaboradores de uma empresa contratante do plano), essa obrigatoriedade não existe, ficando facultada a indicação. E, caso haja, será considerada política de boas práticas de governança, para fins de minoração de possíveis sanções que possam ser aplicadas em caso de infrações a normas da LGPD.

Ao meu sentir, houve um equívoco para esta faculdade dada aos operadores, até porque o inciso VIII do artigo 5º da LGPD diz que o encarregado será indicado tanto pelo controlador, bem como o operador; muito embora o artigo 41 da LGPD, em seu caput, traga apenas a figura do controlador na condição de obrigatoriedade de indicação, o que é uma incongruência. Passo a explicar.

Tanto o controlador como o operador respondem de forma solidária, isto nos exatos termos do artigo 42 da LGPD, desta feita, a faculdade de indicação do encarregado, para o operador, causa um ruptura na sistemática de responsabilização, pois poderá causar danos aos titulares de dados, já que para os operadores a figura do encarregado pode não existir.

Como o operador tem a mesma responsabilidade do controlador ao realizar o tratamento de dados, os quais são passados por este, a figura do encarregado deve ter a mesma importância que tem para com o controlador, no sentido, principalmente, atender aos incisos III e IV, do § 2º, do artigo 41 da LGPD, onde as atribuições do encarregado estão voltadas para orientação de todos os colaboradores e os contratados das empresas a respeito das boas práticas relativas à proteção de dados pessoais, bem como a execução do monitoramento das empresas para que seja garantido que estas estejam em compliance com as regras estabelecidas pela LGPD, promovendo o mapeamento de dados, criando políticas e procedimentos para adequação a LGPD, atuando na mitigação de incidentes de vazamento de dados que venham a ocorrer, etc.

E nesse contexto, da importância do encarregado, a própria resolução em comento, a nº 18, estabelece a sua importância, quando elenca as atribuições do encarregado, principalmente nos incisos do artigo 16 desta resolução, que justamente são, entre outras, a de garantir a conformidade (compliance) das atividades de tratamento de dados com a LGPD, o privacy by design (privacidade por padrão), a observância dos princípios da finalidade e necessidade, com a coleta de dados do mínimo necessário para atender a finalidade estabelecida, o desenvolvimento das medidas de segurança, políticas internas e programas de governança na proteção e no tratamento de dados.

E que estão em sintonia com os deveres do controlador, também elencados na resolução, onde este sempre deverá solicitar a orientação do encarregado de dados, para a realização de quaisquer atividades referentes ao tratamento de dados pessoais, e o mais importante, para com a tomada de decisões estratégicas envolvendo o tratamento dos dados.

Conflito de interesses

Finalizando, um ponto interessante abordado nesta resolução, que é objeto de muita discussão no meio, foi o conflito de interesses que pode ocorrer, para com o encarregado de dados, no exercício de suas funções, que é justamente quando o encarregado de dados é empregado do controlador, da empresa.

Muito se discute sobre a autonomia deste encarregado na condição de empregado, posto que, estando subordinado ao seu empregador, por óbvio, teria, portanto, face a esta subordinação, uma limitação na sua atuação como encarregado. Explico.

Imagine a ocorrência de um incidente de vazamento de dados e o seu empregador resolve que este incidente não deva ser reportado à ANPD, ou que determinadas medidas de mitigação não devam ser tomadas. Uma vez isto ocorrendo, o encarregado estaria faltando com o seu dever, o qual está previsto nas suas atribuições regulamentadas.

Assim, encarregado, sendo empregado do controlador, não deverá jamais acumular funções, atividades que comprometam o exercício das suas atribuições de encarregado de dados.

Devendo, inclusive, o encarregado, numa situação que possa configurar o conflito de interesses, comunicar ao controlador que deverá implementar as medidas para afastar o conflito de interesse ou, até substituir o encarregado.

A resolução veio em boa hora, até para não dizer tardiamente, posto que a necessidade da regulamentação das atribuições do encarregado de dados, já estava prevista na LGPD desde a sua publicação, faltando a ANPD estabelecê-las. Contudo, alguns pontos ainda merecem reflexão como os destacados neste texto.