Recentemente foi publicado o novo Regulamento da ANPD a respeito da atuação do Encarregado pelo Tratamento de DPO
Por Juliana Abrusio e Maurício Tamer
Recentemente foi publicado o novo Regulamento da Autoridade Nacional de Proteção de Dados (ANPD) a respeito da atuação do Encarregado pelo Tratamento de Dados Pessoais ou Data Protection Officer (DPO) – Resolução CD/ANPD n. 18/2024. A resolução era muito aguardada pelo mercado e traz importantes pontos a serem considerados pelas empresas.
A Resolução confirma a obrigatoriedade estampada no artigo 41 da LGPD de nomeação de Encarregado pelas entidades que tratam dados pessoais em suas atividades como controladoras, i.e. aquelas que tomam decisões sobre estes dados (finalidade, tempo de retenção, etc).
Ficam dispensados desta obrigação os chamados agentes de pequeno porte, incluindo micro empresas, startups e entes despersonalizados. Mas bom lembrar que tais agentes não estão dispensados de contar com canal eficiente de atendimento aos titulares e à Autoridade.
Além disso, a resolução impõe a nomeação de um Encarregado substituto que cumprirá as funções no caso da ausência do titular.
As entidades devem documentar a nomeação de ambos de forma escrita, com datação e assinatura, para de maneira clara e inequívoca demonstrar o ato de designação do encarregado pelo agente de tratamento.
Este documento pode ser requisitado pela ANPD quando necessário, o que ocorre, por exemplo, nos casos de comunicação de Incidentes de Segurança (cf. Resolução CD/ANPD n. 15/2024).
Fica claro que a Autoridade quer evitar nomeações meramente formais ou de fachada (por exemplo, às pressas após incidentes) que evidenciem a ausência de comprometimento contínuo do agente com uma cultura e governança de proteção de dados e privacidade.
Ademais, a Resolução disciplina o conflito de interesse no desempenho da função do Encarregado. Em que pese não ter descido em detalhes, o texto normativo veda qualquer situação aparente que possa comprometer, influenciar ou afetar de forma imprópria o julgamento objetivo do Encarregado no desempenho de sua função, sob pena de caracterização de conflito e possível aplicação de sanção pela ANPD.
Avaliar se há ou não conflito de interesse deve ser feito em cada caso concreto. A posição do colaborador, suas atribuições internas, acúmulo de atividades, vinculação orçamentária, perfil de remuneração, tomadas de decisões, entre outros aspectos devem ser analisados caso a caso.
Nesse sentido, é recomendável que o agente estude e documente sua avaliação e decisão executiva, estando pronto para prestar contas de sua posição e desempenho de suas atividades.
Ponto igualmente relevante é a determinação expressa da ANPD de que os dados de identificação do Encarregado sejam disponibilizados de forma pública no site da empresa.
Pela nova regulação, não basta apenas a existência de um canal de atendimento, é preciso a identificação pessoal do Encarregado.
No caso de pessoas físicas, a identificação do nome completo. No caso de pessoas jurídicas, o nome empresarial ou o título do estabelecimento, bem como o nome completo da pessoa física responsável.
Esta obrigação de exposição do nome da pessoa natural não está em consonância com os princípios e sistemática da LGPD. Aliás, embora tenha sido objeto de muitas sugestões durante o período de consulta pública da nova regulamentação, a opção da Autoridade foi por constar da norma que o nome da pessoa natural precisa ser exposto publicamente.
É compreensível que os profissionais e empresas não se sintam confortáveis quanto à divulgação de tais detalhes, inclusive pela exposição pessoal gerada.
Nesse contexto e considerando que a identificação pessoal do profissional não parece ser indispensável à eficiência do canal de atendimento, podendo tal exposição ser considerada desproporcional, abre-se caminho para contestar a norma e lei que assim dispõem.
Enquanto isso, ou seja, enquanto o texto normativo estiver vigente, muitas empresas têm diante de si uma decisão difícil de tomar, entre desobedecer a norma nesse detalhe ou expor a pessoa do Encarregado.
Vale observar que a exposição do nome pode gerar danos que vão além da pessoa física do colaborador nomeado como Encarregado, alcançando à própria empresa que precisará lidar com mais um canal (não corporativo) nas redes sociais para conversa com diversos públicos que vierem a entrar em contato com o Encarregado, dentre outras situações que podem lhe causar danos (ainda que de ordem apenas reputacional).
Após a primeira reação calorosa do mercado, há empresas se bifurcando em decisões opostas. Aqueles que decidem omitir o nome da pessoa física, apoiam-se na ponderação de riscos, avaliando que o risco e potencial dano de exposição do nome do Encarregado pode ser maior à companhia do que o descumprimento de parte da norma.
Seja como for, não há dúvidas que o mais importante é que tanto o titular quanto a Autoridade possam contatar e receber resposta em tempo razoável, de acordo com os marcos temporais da lei, e que o processo dentro da entidade funcione.
Em nada adianta cumprir com a publicação de um nome “Fulano de Tal” e o canal de comunicação estar, por exemplo, centralizado em país com fuso e que responde em idioma estrangeiro. Portanto, uma avaliação e documentação cuidadosa e de respaldo também passa a ser importante.
O novo regulamento ainda reforça o esperado compromisso dos controladores com o bom desempenho da função. Isto determina que as empresas sejam capazes de demonstrar os meios necessários para o desempenho de tais atividades, engajando efetivamente o encarregado nas rotinas da organização, e de modo a assegurar a autonomia técnica desses profissionais com acesso direto às altas lideranças.
No mais, a ANPD entra em maior nível de detalhe sobre as atividades a serem desempenhadas pelo Encarregado, ressaltando, por exemplo, o seu papel fundamental no registro e comunicação de incidentes, na condução de avalições de riscos, e assistência nos contratos comerciais da empresa.
Jurimetria: o que é e como ela pode te ajudar na tomada de decisões
Representantes do Machado Meyer Advogados participam da AB2L Lawtech Experience
Machado Meyer Advogados promove evento presencial “Navegando a evolução da saúde digital no Brasil”
Sobre Juliana Abrusio
Especialista em Tecnologia, Privacidade e Proteção de Dados, Cibersegurança e Inteligência Artificial. Profissional reconhecida por diversos diretórios jurídicos (Chambers, Legal 500 América Latina, Latin Lawyers, GDR, Escolha do Cliente, Mulheres no Direito Empresarial, Who’sWho, Análise). Doutora em Filosofia do Direito pela Pontifícia Universidade Católica de São Paulo (PUC/SP), Mestre pela Universidade de Roma Tor Vergata (Itália), pós-graduado lato sensu pela Universidade Presbiteriana Mackenzie. Sócia do escritório de advocacia Opice Blum, Bruno, Abrusio, Vainzof (2002-2020); Diretora Jurídica Adjunto na FIESP (2023); Conselheira na OAB-SP (Seção São Paulo – 2021-2024); Coordenador de Inovação e Tecnologia na Universidade Mackenzie (2020-2021). Diretora do Instituto Legal Grounds (2020-2021). Professora de Direito Digital e Proteção de Dados na Universidade Presbiteriana Mackenzie. Professora convidado na Fundação Dom Cabral, PECE/Poli da Universidade de São Paulo. Coordenadora do Comitê de Direito Digital e Proteção de Dados do CESA (Centro de Estudos das Sociedades de Advogados) (desde 2014); Presidente da Comissão de Economia Digital e Regulação do Instituto dos Advogados de São Paulo (IASP) (desde 2022); Vice-Presidente da Comissão de Estudos em TI e Inteligência Artificial do Instituto dos Advogados de São Paulo (IASP) (2017-2020). Autor do livro “Proteção de Dados na Cultura do Algoritmo, Ed. D´Placido, 2020”; “Covid-19: Impactos Jurídicos na Tecnologia, Ed. D´Placido, 2020”; “Marco Civil da Internet – Lei 12.964/2014”. Organizadora do livro “Educação Digital” (2015, Ed. RT Thonsom Reuters), entre outros. Autor de diversos artigos sobre direito e tecnologia e Colunista do Crypto ID.
Leia outros artigos de Juliana Abrusio aqui!
Sobre Machado Meyer Advogados
Machado Meyer Advogados – Fundado em 1972, o Machado Meyer é um dos mais respeitados escritórios de advocacia do Brasil. O escritório cresceu acompanhando o ritmo acelerado de expansão do Brasil e trabalha para oferecer soluções jurídicas inteligentes para impulsionar os negócios e transformar a realidade dos clientes e da sociedade. Oferece assistência legal a clientes nacionais e internacionais, incluindo grandes corporações dos mais variados setores de atividades, instituições financeiras e entidades governamentais. O escritório está presente em São Paulo, Rio de Janeiro, Brasília, Belo Horizonte e Nova York. Para mais informações, acesse o site: www.machadomeyer.com.br e leia os artigos publicados aqui no Crypto ID escritos por seus advogados nesse link!
Cadastre-se para receber o IDNews e acompanhe o melhor conteúdo do Brasil sobre Identificação Digital! Aqui!
