Foi publicada no Diário Oficial da União no dia 17 de julho de 2024 (Edição 136, Seção 1, p. 42), a Resolução CD/ANPD nº 18/2024, expedida pelo Conselho Diretor da Autoridade Nacional de Proteção de Dados (CD/ANPD), que aprovou o Regulamento sobre a atuação do Encarregado pelo Tratamento de Dados Pessoais, também conhecido como DPO – Data Protection Officer, “pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)”.
A Resolução que passou a vigorar na data de sua publicação “estabelece normas complementares sobre a indicação, a definição, as atribuições e a atuação do encarregado, de que trata a Lei nº 13.709, de 14 de agosto de 2018…”, conhecida como LGPD – Lei Geral de Proteção de Dados Pessoais.
A norma prevê que a indicação do Encarregado deve ser feita por ato formal das empresas que realizam atividade de tratamento de dados, devendo constar as formas de atuação e as atividades a serem desempenhadas pelo profissional.
Para atuar como Encarregado pelo Tratamento de Dados não é necessária a inscrição em qualquer entidade nem qualquer certificação ou formação profissional específica, podendo inclusive acumular funções e exercer as suas atividades para mais de um agente de tratamento, desde que seja possível o pleno atendimento de suas atribuições relacionadas a cada um deles e inexista conflito de interesse.
No artigo 11 a Resolução prevê que “O agente de tratamento é o responsável pela conformidade do tratamento dos dados pessoais, nos termos da Lei nº 13.709, de 14 de agosto de 2018.” Isso significa que embora a empresa indique um Encarregado para auxiliar no processo de conformidade, ela ainda será responsável objetivamente perante a legislação, não podendo imputar essa responsabilidade ao Encarregado.
Algumas das principais funções do Encarregado são as seguintes:
I. aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências cabíveis;
II. receber comunicações da ANPD e adotar providências.
III. orientar os funcionários e os contratados do agente de tratamento a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
IV. executar as demais atribuições determinadas pelo agente de tratamento ou estabelecidas em normas complementares.
V. prestar assistência e orientação à empresa no caso de incidentes de segurança;
VI. acompanhar o registro das operações de tratamento de dados pessoais;
VII. elaborar relatório de impacto à proteção de dados pessoais;
VIII. estabelecer mecanismos internos de supervisão e de mitigação de riscos relativos ao tratamento de dados pessoais;
IX. estabelecer medidas de segurança, técnicas e administrativas, aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito;
X. elaborar e auxiliar na implementação de processos e políticas internas que assegurem o cumprimento da Lei nº 13.709, de 14 de agosto de 2018, e dos regulamentos e orientações da ANPD;
XI. elaborar instrumentos contratuais que disciplinem questões relacionadas ao tratamento de dados pessoais, dentre outras questões.
A integra da resolução pode ser consultada consultada clicando aqui.
Fonte: Assessoria Técnica FecomercioSP