Migalhas de IA e Proteção de Dados

Breves notas sobre o regulamento da ANPD sobre a atuação do encarregado pelo tratamento de dados pessoais

Nesse breve ensaio, é analisada a Resolução CD/ANPD 18/24, que aprova o Regulamento sobre a atuação do encarregado pelo tratamento de dados pessoais, com destaque para as principais regras nela estabelecidas, em comparação com as previsões da Lei Geral de Proteção de Dados Pessoais.

19/7/2024

A Resolução CD/ANPD 18, de 16 de julho de 2024, define diretrizes essenciais sobre a atuação do encarregado pelo tratamento de dados, complementando as disposições da Lei Geral de Proteção de Dados Pessoais (LGPD)1. Como se sabe, o artigo 41 da LGPD define que o controlador deve indicar um encarregado, cuja identidade e informações de contato devem ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no sítio eletrônico do controlador.

Previsão similar consta do artigo 23, III, da LGPD, quanto aos agentes sujeitos ao regime de tratamento público de dados pessoais. Segundo João Victor Rozatti Longhi, “o que se pode ao menos destacar é que é obrigatória a indicação, pelo Poder Público, do encarregado de dados quando houver tratamento de dados, nos termos do art. 39 da Lei (a do citado art. 23, III, da LGPD), lembrando sempre que os relatórios de impacto à proteção de dados deverão ser solicitados pela ANPD aos que se encontram na exceção à proteção legal (art. 4º, inciso III, c/c o §3º, LGPD)”2.

De modo geral, em linha com o conceito do artigo 5º, VIII, da LGPD, pode-se dizer que as atividades do encarregado incluem aceitar reclamações e comunicações dos titulares, receber comunicações da ANPD, orientar funcionários sobre práticas de proteção de dados e executar demais atribuições determinadas pelo controlador ou previstas em normas complementares3.

O artigo 3º da resolução estabelece que a indicação do encarregado pelo tratamento de dados pessoais deve ser realizada por meio de um ato formal do agente de tratamento, sendo obrigatória ao controlador, mas facultativa ao operador, “considerada política de boas práticas de governança para fins do disposto no art. 52, § 1º, inciso IX, da Lei nº 13.709, de 14 de agosto de 2018, e no art. 13, inciso II, do anexo da Resolução CD/ANPD nº 4, de 24 de fevereiro de 20234, desde que observadas as normas deste Regulamento” (artigo 6º da resolução). Esse ato formal é definido como um documento escrito, datado e assinado que demonstra de maneira clara e inequívoca a intenção do agente de tratamento em designar uma pessoa natural ou jurídica como encarregado. Essa formalidade parece estar alinhada ao princípio da transparência (art. 6º, VI, LGPD), pois visa assegurar a clareza na designação da pessoa que atuará como ponto focal de interlocução com os interessados pelo resultado positivo da atividade de tratamento de dados pessoais, garantindo que suas funções e atividades sejam claramente delineadas.

O § 1º do artigo 3º ainda especifica que o documento deve ser claro e inequívoco, reforçando a importância de uma comunicação transparente e precisa sobre a nomeação do encarregado. O § 2º prevê que esse documento deve estar disponível para apresentação à ANPD quando solicitado. No mais, o novo regulamento reforça a obrigatoriedade da nomeação de um encarregado para todas as entidades que realizam o tratamento de dados pessoais, ressalvados os agentes de tratamento de pequeno porte, aos quais se aplicam as disposições da Resolução CD/ANPD nº 2, de 27 de janeiro de 20225. Para estes, o § 3º adapta a exigência, dispensando-os de indicar um encarregado, mas exigindo que disponibilizem um canal de comunicação com os titulares de dados. Isso garante que, mesmo em situações de menor escala, os direitos dos titulares de dados sejam respeitados e atendidos.

Já o artigo 5º da resolução estabelece a obrigatoriedade de que pessoas jurídicas de direito público indiquem um encarregado pelo tratamento de dados pessoais ao realizarem operações nesse contexto. A norma especifica que a indicação deve recair preferencialmente sobre servidores ou empregados públicos com reputação ilibada, garantindo transparência e responsabilidade ao processo. A publicação dessa indicação deve ocorrer no Diário Oficial correspondente à esfera de atuação da entidade, seja federal, estadual, distrital ou municipal.

Os artigos 12, 13 e 14 da resolução tratam das condições para a assunção da função de encarregado pelo tratamento de dados, sendo inequívoco que pode ser tanto uma pessoa natural, interna ou externa à organização, quanto uma pessoa jurídica, proporcionando versatilidade na escolha do profissional ou entidade mais adequada às necessidades do controlador, mas sufragando o entendimento expressado no Enunciado 680 da IX Jornada de Direito Civil do CJF, segundo o qual seria admissível a indicação de ente despersonalizado.6 O art. 13 enfatiza a importância da comunicação clara e precisa em língua portuguesa com os titulares e a ANPD, garantindo acessibilidade e transparência. Por fim, o art. 14 elimina a exigência de inscrição em entidades ou certificações específicas, focando na competência prática do encarregado, o que facilita a nomeação e promove uma abordagem mais inclusiva e prática para a proteção de dados.

Ademais, confirmando diversos entendimentos que já constavam de seu "Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado", versão 2.0, a ANPD consolidou o entendimento de que as atribuições do encarregado incluem, mas não se limitam, a receber reclamações dos titulares, prestar esclarecimentos, adotar providências, orientar colaboradores sobre práticas de proteção de dados e outras atribuições estabelecidas pelo controlador ou previstas em normas complementares, sendo imprescindível indicar a identidade e as informações de contato do encarregado de forma clara e objetiva.

A Seção II do Capítulo III da resolução (artigos 15, 16 e 17) é inteiramente dedicada às atividades e às atribuições do encarregado, e fica claro que, além das atribuições já definidas na LGPD, compete ao encarregado prestar assistência na elaboração de registros de incidentes de segurança, relatórios de impacto, medidas de segurança e políticas internas, além de auxiliar em transferências internacionais de dados e assegurar o cumprimento dos regulamentos da ANPD. Importante destacar que, ao realizar estas funções, o encarregado não é responsável diretamente perante a ANPD pela conformidade dos dados tratados pelo controlador, destacando-se como um facilitador e orientador para que o agente de tratamento atenda às exigências legais e normativas.

Esse profissional deve ter conhecimento adequado sobre práticas de proteção de dados e segurança da informação. Por isso, a escolha de um encarregado qualificado é elemento-chave para a conformidade do controlador com a lei, pois seu indicado atuará como o ponto de contato com os titulares dos dados e a ANPD. Com efeito, o artigo 41, §2º, da LGPD já estabelece que uma das principais funções do encarregado é receber reclamações e comunicações dos titulares, bem como prestar esclarecimentos e adotar providências, o que se alinha com o princípio da responsabilização e prestação de contas (accountability), previsto no artigo 6º, X, da LGPD.

Outro aspecto positivo é a ênfase no treinamento e conscientização dos funcionários. O encarregado deve promover programas que garantam que todos os colaboradores estejam cientes de suas responsabilidades e das melhores práticas de segurança. Isso é fundamental, pois a segurança da informação não depende apenas de tecnologias, mas também do comportamento humano.

A resolução também aborda a necessidade de monitoramento contínuo e auditorias internas. O encarregado deve conduzir auditorias regulares para avaliar a conformidade com as políticas de proteção de dados e identificar possíveis falhas. Essa abordagem proativa é vital para prevenir incidentes de segurança e garantir a eficácia das medidas de proteção. Em caso de incidentes de segurança que comprometam dados pessoais, a resolução estabelece que o encarregado deve agir prontamente para mitigar os impactos, notificando o controlador, a ANPD e os titulares dos dados afetados. Essa exigência está em linha com o artigo 48 da LGPD7, que determina a comunicação de incidentes de segurança que possam acarretar risco ou dano relevante aos titulares.

A interação contínua com a ANPD é outro ponto destacado. O encarregado deve manter uma comunicação aberta com a autoridade reguladora, reportando violações significativas e colaborando em investigações. Essa transparência é crucial para manter a confiança pública e assegurar que a proteção de dados pessoais seja levada a sério pelas organizações.

Por fim, a resolução descreve as sanções para o descumprimento das diretrizes estabelecidas, que podem incluir multas e restrições operacionais, conforme previsto na LGPD. A responsabilidade do encarregado é garantir que todas as obrigações legais sejam cumpridas, evitando sanções que possam comprometer a reputação e a operação da entidade.

Os artigos 18 a 21 da resolução abordam a questão do conflito de interesse no exercício das funções do encarregado pelo tratamento de dados pessoais. Esses dispositivos reforçam a necessidade de o encarregado atuar com ética, integridade e autonomia técnica, assegurando que suas atividades não sejam comprometidas por conflitos que possam macular a postura íntegra e isenta que é esperada. Assim, a resolução permite que o encarregado acumule funções e atue para mais de um agente de tratamento, desde que consiga atender plenamente às suas atribuições sem incorrer em conflitos. No mais, a identificação de conflitos de interesse pode ocorrer tanto internamente, em um único agente de tratamento, quanto entre agentes distintos, especialmente se o encarregado tiver influência sobre decisões estratégicas de tratamento de dados.

Para garantir a transparência e a imparcialidade, o encarregado deve declarar qualquer situação que possa configurar conflito de interesse. A resolução também descreve o múnus assumido pelo agente de tratamento no sentido de evitar que o encarregado desempenhe funções que possam resultar em conflitos, exigindo que medidas sejam adotadas para mitigar esses riscos, como não designar a pessoa, implementar medidas de mitigação ou substituir o encarregado. Em último caso, na hipótese de um conflito de interesse ser verificado, o agente de tratamento pode enfrentar sanções conforme o artigo 52 da LGPD, enfatizando a importância de uma gestão cuidadosa e ética no tratamento de dados pessoais.

Em conclusão, a Resolução CD/ANPD nº 18 de 16 de julho de 2024 é um avanço importante para a proteção de dados pessoais no Brasil, pois detalha a atuação de uma das mais importantes figuras relacionadas às atividades de tratamento de dados pessoais. A implementação dessas diretrizes é essencial para fortalecer a cultura de proteção de dados no país e garantir que os direitos dos titulares sejam respeitados, protegidos e efetivados.

________________

1 BRASIL. Autoridade Nacional de Proteção de Dados. Resolução CD/ANPD nº 18, de 16 de julho de 2024. Aprova o Regulamento sobre a atuação do encarregado pelo tratamento de dados pessoais. Diário Oficial da União: seção 1, Brasília, DF, 17 jul. 2024. Disponível em: https://www.in.gov.br/en/web/dou/-/resolucao-cd/anpd-n-18-de-16-de-julho-de-2024-572632074 Acesso em: 18 jul. 2024.

LONGHI, João Victor Rozatti. Artigo 41. In: MARTINS, Guilherme Magalhães; LONGHI, João Victor Rozatti; FALEIROS JÚNIOR, José Luiz de Moura (coord.). Comentários à Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018). 2. ed. Indaiatuba: Foco, 2024, p. 395.

Para maiores detalhes sobre o tema, conferir, por todos, QUEIROZ, Renata Capriolli Zocatelli. Encarregado de proteção de dados pessoais - DPO: regulamentação e responsabilidade civil. São Paulo: Quartier Latin, 2022.

4 BRASIL. Autoridade Nacional de Proteção de Dados. Resolução CD/ANPD nº 4, de 24 de fevereiro de 2023. Aprova o Regulamento de Dosimetria e Aplicação de Sanções Administrativas. Diário Oficial da União: seção 1, Brasília, DF, 27 fev. 2023. Disponível em: https://www.in.gov.br/en/web/dou/-/resolucao-cd/anpd-n-4-de-24-de-fevereiro-de-2023-466146077 Acesso em: 18 jul. 2024.

5 BRASIL. Autoridade Nacional de Proteção de Dados. Resolução CD/ANPD nº 2, de 27 de janeiro de 2022. Aprova o Regulamento de aplicação da Lei nº 13.709, de 14 de agosto de 2018, Lei Geral de Proteção de Dados Pessoais (LGPD), para agentes de tratamento de pequeno porte. Diário Oficial da União: seção 1, Brasília, DF, 28 jan. 2022. Disponível em: https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/regulamentacoes-da-anpd/resolucao-cd-anpd-no-2-de-27-de-janeiro-de-2022 Acesso em: 18 jul. 2024.

Enunciado 680/CJF – “A Lei Geral de Proteção de Dados Pessoais não exclui a possibilidade de nomeação pelo controlador de pessoa jurídica, ente despersonalizado ou de mais de uma pessoa natural para o exercício da função de encarregado pelo tratamento de dados pessoais” (Aprovado na IX Jornada de Direito Civil).

Cfr. BRASIL. Autoridade Nacional de Proteção de Dados. Resolução CD/ANPD nº 15, de 24 de abril de 2024. Aprova o Regulamento de Comunicação de Incidente de Segurança. Diário Oficial da União: seção 1, Brasília, DF, 25 abr. 2024. Disponível em: https://www.in.gov.br/en/web/dou/-/resolucao-cd/anpd-n-15-de-24-de-abril-de-2024-556243024 Acesso em: 18 jul. 2024.

Veja mais no portal
cadastre-se, comente, saiba mais

Coordenação

Cintia Rosa Pereira de Lima, professora de Direito Civil da Faculdade de Direito da USP Ribeirão Preto – FDRP. Doutora em Direito Civil pela Faculdade de Direito da USP com estágio na Ottawa University (Canadá) com bolsa CAPES - PDEE - Doutorado Sanduíche e livre-docente em Direito Civil Existencial e Patrimonial pela Faculdade de Direito de Ribeirão Preto (USP). Pó-doutora em Direito Civil na Università degli Studi di Camerino (Itália) com fomento FAPESP e CAPES. Líder e Coordenadora dos Grupos de Pesquisa "Tutela Jurídica dos Dados Pessoais dos Usuários da Internet" e "Observatório do Marco Civil da Internet", cadastrados no Diretório de Grupos de Pesquisa do CNPq e do Grupo de Pesquisa "Tech Law" do Instituto de Estudos Avançados (IEA/USP). Presidente do Instituto Avançado de Proteção de Dados – IAPD - www.iapd.org.br. Associada Titular do IBERC - Instituto Brasileiro de Responsabilidade Civil. Membro fundador do IBDCONT - Instituto Brasileiro de Direito Contratual. Advogada.

Cristina Godoy Bernardo de Oliveira, professora doutora da Faculdade de Direito de Ribeirão Preto – Universidade de São Paulo desde 2011. Academic Visitor da Faculty of Law of the University of Oxford (2015-2016). Pós-doutora pela Université Paris I Panthéon-Sorbonne (2014-2015). Doutora em Filosofia do Direito pela Faculdade de Direito da USP (2011). Graduada pela Faculdade de Direito da USP (2006). Líder do Grupo de Pesquisa Direito, Ética e Inteligência Artificial da USP – CNPq. Coordenadora do Grupo de Pesquisa "Tech Law" do Instituto de Estudos Avançados (IEA/USP). Membro fundador do Instituto Avançado de Proteção de Dados – IAPD.

Evandro Eduardo Seron Ruiz, professor Associado do Departamento de Computação e Matemática, FFCLRP - USP, onde é docente em dedicação exclusiva. Atua também como orientador no Programa de Pós-graduação em Computação Aplicada do DCM-USP. Bacharel em Ciências de Computação pela USP, mestre pela Faculdade de Engenharia Elétrica da UNICAMP, Ph.D. em Electronic Engineering pela University of Kent at Canterbury, Grã-Bretanha, professor lLivre-docente pela USP e pós-Doc pela Columbia University, NYC. Coordenador do Grupo de Pesquisa "Tech Law" do Instituto de Estudos Avançados (IEA/USP). Membro fundador do Instituto Avançado de Proteção de Dados – IAPD.

Nelson Rosenvald é advogado e parecerista. Professor do corpo permanente do Doutorado e Mestrado do IDP/DF. Pós-Doutor em Direito Civil na Università Roma Tre. Pós-Doutor em Direito Societário na Universidade de Coimbra. Visiting Academic na Oxford University. Professor Visitante na Universidade Carlos III, Madrid. Doutor e Mestre em Direito Civil pela Pontifícia Universidade Católica de São Paulo – PUC/SP. Presidente do Instituto Brasileiro de Estudos de Responsabilidade Civil – IBERC. Foi Procurador de Justiça do Ministério Público de Minas Gerais.

Newton De Lucca, professor Titular da Faculdade de Direito da USP. Desembargador Federal, presidente do Tribunal Regional Federal da 3ª Região (biênio 2012/2014). Membro da Academia Paulista de Direito. Membro da Academia Paulista de Letras Jurídicas. Membro da Academia Paulista dos Magistrados. Vice-presidente do Instituto Avançado de Proteção de Dados.