A Autoridade Nacional de Proteção de Dados (ANPD) manterá aberta até 7/12/2023 a consulta pública ao Regulamento sobre a Atuação do Encarregado. Aqueles que desejarem contribuir para alterações no texto proposto pela ANPD deverão acessar a publicação pelo portal participa+Brasil.
O art. 41 da Lei Geral de Proteção de Dados (LGPD) estabeleceu a obrigatoriedade dos Controladores de Dados Pessoais de indicar e divulgar publicamente a pessoa Encarregada pelo Tratamento de Dados Pessoais da sua organização. Entre as atividades definidas pela LGPD, o Encarregado deve atuar como canal de contato entre os Titulares, a ANPD e o Controlador, além de orientar os funcionários e parceiros e executar outras funções estabelecidas pelo próprio Controlador. Contudo, a LGPD não define especificamente suas atribuições.
Para tanto, a ANPD editou e disponibilizou para consulta pública o Regulamento sobre a Atuação do Encarregado, no qual estão definidas questões mais específicas relacionadas à atuação deste profissional. Destaque para as atribuições complementares à LGPD indicadas no art. 16 do regulamento, como:
- Elaboração de Comunicação de Incidentes de Segurança (CIS), assim definido pelo art. 48 da LGPD, a comunicação deverá ser tanto para a ANPD quanto aos Titulares de dados afetados pelo incidente, considerando os prazos, requisitos e formulários conforme indicado pela ANPD em sua publicação sobre o CIS
- Elaboração do registro das operações de tratamento de dados pessoais obrigatório a todo Controlador ou Operador, de acordo com o art. 37 da LGPD
- Elaboração do Relatório de Impacto à Proteção de Dados Pessoais (RIPD), que deve ser construído conforme a disposição do art. 38 da LGPD e seguindo as orientações apesentadas pela ANPD
- Identificação e análise de riscos relativos ao tratamento de Dados Pessoais realizados pela organização
- Definição de medidas técnicas e administrativas para proteção dos dados pessoais
- Análise de cláusulas contratuais assegurando a definição dos agentes, os limites das responsabilidades e condições para o tratamento de dados pessoais
- Análise de operações com transferência internacional de dados pessoais, de acordo com o art. 33 da LGPD nas operações
- Implementação das disposições da LGPD nas operações da organização, bem como adoção de regras de boas práticas e de governança em privacidade, conforme estabelecido pelo art. 50 da LGPD.
Além das atribuições complementares, um dos outros pontos mais debatidos pela consulta pública é o do conflito de interesses no exercício das atribuições do Encarregado. Segundo a redação proposta pela ANPD na seção III do regulamento, é presumido o conflito de interesses pelo acúmulo da função da pessoa encarregada pelo tratamento de dados que também possua competência para tomar decisões referentes ao tratamento de dados pessoais em outros setores da organização, assim a Organização não deve indicar como encarregado uma pessoa que possa assumir esse tipo de conflito de interesse.
Dessa forma, se o encarregado indicado for o gestor do RH ou de TI da empresa na qual ele possua competência para tomar decisões relacionadas ao tratamento de dados pessoais, esse profissional não deverá ser indicado como encarregado, pois, estará em uma posição de conflito de interesse.
Destacamos ainda que a função do Encarregado pode ser desempenhada tanto por uma pessoa física quanto por uma pessoa jurídica, sendo ou não integrante do quadro organizacional da empresa, desde que observe as questões relacionadas ao conflito de interesses.
Por fim, até o presente momento, o regulamento já possui cerca de 250 contribuições sugerindo alterações, e ainda poderá receber outros comentários até o fim do prazo da consulta pública. Após esse período, haverá a também a realização de uma audiência pública para discussão sobre o regulamento. De todo modo, até que o texto seja aprovado e publicado pela ANPD, ele não possui força normativa. No entanto, devemos estar atentos às suas disposições especialmente as relacionadas ao conflito de interesses.