A Resolução CD/ANPD 18, de 16 de julho de 2024, define diretrizes essenciais sobre a atuação do encarregado pelo tratamento de dados, complementando as disposições da Lei Geral de Proteção de Dados Pessoais (LGPD)¹. Como se sabe, o artigo 41 da LGPD define que o controlador deve indicar um encarregado, cuja identidade e informações de contato devem ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no sítio eletrônico do controlador.

Previsão similar consta do artigo 23, III, da LGPD, quanto aos agentes sujeitos ao regime de tratamento público de dados pessoais. Segundo João Victor Rozatti Longhi, "o que se pode ao menos destacar é que é obrigatória a indicação, pelo Poder Público, do encarregado de dados quando houver tratamento de dados, nos termos do art. 39 da Lei (a do citado art. 23, III, da LGPD), lembrando sempre que os relatórios de impacto à proteção de dados deverão ser solicitados pela ANPD aos que se encontram na exceção à proteção legal (art. 4º, inciso III, c/c o §3º, LGPD)"2.

De modo geral, em linha com o conceito do artigo 5º, VIII, da LGPD, pode-se dizer que as atividades do encarregado incluem aceitar reclamações e comunicações dos titulares, receber comunicações da ANPD, orientar funcionários sobre práticas de proteção de dados e executar demais atribuições determinadas pelo controlador ou previstas em normas complementares³.

O artigo 3º da resolução estabelece que a indicação do encarregado pelo tratamento de dados pessoais deve ser realizada por meio de um ato formal do agente de tratamento, sendo obrigatória ao controlador, mas facultativa ao operador, "considerada política de boas práticas de governança para fins do disposto no art. 52, § 1º, inciso IX, da Lei nº 13.709, de 14 de agosto de 2018, e no art. 13, inciso II, do anexo da Resolução CD/ANPD nº 4, de 24 de fevereiro de 2023⁴, desde que observadas as normas deste Regulamento" (artigo 6º da resolução). Esse ato formal é definido como um documento escrito, datado e assinado que demonstra de maneira clara e inequívoca a intenção do agente de tratamento em designar uma pessoa natural ou jurídica como encarregado. Essa formalidade parece estar alinhada ao princípio da transparência (art. 6º, VI, LGPD), pois visa assegurar a clareza na designação da pessoa que atuará como ponto focal de interlocução com os interessados pelo resultado positivo da atividade de tratamento de dados pessoais, garantindo que suas funções e atividades sejam claramente delineadas.

O § 1º do artigo 3º ainda especifica que o documento deve ser claro e inequívoco, reforçando a importância de uma comunicação transparente e precisa sobre a nomeação do encarregado. O § 2º prevê que esse documento deve estar disponível para apresentação à ANPD quando solicitado. No mais, o novo regulamento reforça a obrigatoriedade da nomeação de um encarregado para todas as entidades que realizam o tratamento de dados pessoais, ressalvados os agentes de tratamento de pequeno porte, aos quais se aplicam as disposições da Resolução CD/ANPD nº 2, de 27 de janeiro de 2022⁵. Para estes, o § 3º adapta a exigência, dispensando-os de indicar um encarregado, mas exigindo que disponibilizem um canal de comunicação com os titulares de dados. Isso garante que, mesmo em situações de menor escala, os direitos dos titulares de dados sejam respeitados e atendidos.

Já o artigo 5º da resolução estabelece a obrigatoriedade de que pessoas jurídicas de direito público indiquem um encarregado pelo tratamento de dados pessoais ao realizarem operações nesse contexto. A norma especifica que a indicação deve recair preferencialmente sobre servidores ou empregados públicos com reputação ilibada, garantindo transparência e responsabilidade ao processo. A publicação dessa indicação deve ocorrer no Diário Oficial correspondente à esfera de atuação da entidade, seja federal, estadual, distrital ou municipal.

Os artigos 12, 13 e 14 da resolução tratam das condições para a assunção da função de encarregado pelo tratamento de dados, sendo inequívoco que pode ser tanto uma pessoa natural, interna ou externa à organização, quanto uma pessoa jurídica, proporcionando versatilidade na escolha do profissional ou entidade mais adequada às necessidades do controlador, mas sufragando o entendimento expressado no Enunciado 680 da IX Jornada de Direito Civil do CJF, segundo o qual seria admissível a indicação de ente despersonalizado.⁶ O art. 13 enfatiza a importância da comunicação clara e precisa em língua portuguesa com os titulares e a ANPD, garantindo acessibilidade e transparência. Por fim, o art. 14 elimina a exigência de inscrição em entidades ou certificações específicas, focando na competência prática do encarregado, o que facilita a nomeação e promove uma abordagem mais inclusiva e prática para a proteção de dados.

Ademais, confirmando diversos entendimentos que já constavam de seu "Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado", versão 2.0, a ANPD consolidou o entendimento de que as atribuições do encarregado incluem, mas não se limitam, a receber reclamações dos titulares, prestar esclarecimentos, adotar providências, orientar colaboradores sobre práticas de proteção de dados e outras atribuições estabelecidas pelo controlador ou previstas em normas complementares, sendo imprescindível indicar a identidade e as informações de contato do encarregado de forma clara e objetiva.

A Seção II do Capítulo III da resolução (artigos 15, 16 e 17) é inteiramente dedicada às atividades e às atribuições do encarregado, e fica claro que, além das atribuições já definidas na LGPD, compete ao encarregado prestar assistência na elaboração de registros de incidentes de segurança, relatórios de impacto, medidas de segurança e políticas internas, além de auxiliar em transferências internacionais de dados e assegurar o cumprimento dos regulamentos da ANPD. Importante destacar que, ao realizar estas funções, o encarregado não é responsável diretamente perante a ANPD pela conformidade dos dados tratados pelo controlador, destacando-se como um facilitador e orientador para que o agente de tratamento atenda às exigências legais e normativas.

Esse profissional deve ter conhecimento adequado sobre práticas de proteção de dados e segurança da informação. Por isso, a escolha de um encarregado qualificado é elemento-chave para a conformidade do controlador com a lei, pois seu indicado atuará como o ponto de contato com os titulares dos dados e a ANPD. Com efeito, o artigo 41, §2º, da LGPD já estabelece que uma das principais funções do encarregado é receber reclamações e comunicações dos titulares, bem como prestar esclarecimentos e adotar providências, o que se alinha com o princípio da responsabilização e prestação de contas (accountability), previsto no artigo 6º, X, da LGPD.

Outro aspecto positivo é a ênfase no treinamento e conscientização dos funcionários. O encarregado deve promover programas que garantam que todos os colaboradores estejam cientes de suas responsabilidades e das melhores práticas de segurança. Isso é fundamental, pois a segurança da informação não depende apenas de tecnologias, mas também do comportamento humano.

A resolução também aborda a necessidade de monitoramento contínuo e auditorias internas. O encarregado deve conduzir auditorias regulares para avaliar a conformidade com as políticas de proteção de dados e identificar possíveis falhas. Essa abordagem proativa é vital para prevenir incidentes de segurança e garantir a eficácia das medidas de proteção. Em caso de incidentes de segurança que comprometam dados pessoais, a resolução estabelece que o encarregado deve agir prontamente para mitigar os impactos, notificando o controlador, a ANPD e os titulares dos dados afetados. Essa exigência está em linha com o artigo 48 da LGPD⁷, que determina a comunicação de incidentes de segurança que possam acarretar risco ou dano relevante aos titulares.

A interação contínua com a ANPD é outro ponto destacado. O encarregado deve manter uma comunicação aberta com a autoridade reguladora, reportando violações significativas e colaborando em investigações. Essa transparência é crucial para manter a confiança pública e assegurar que a proteção de dados pessoais seja levada a sério pelas organizações.

Por fim, a resolução descreve as sanções para o descumprimento das diretrizes estabelecidas, que podem incluir multas e restrições operacionais, conforme previsto na LGPD. A responsabilidade do encarregado é garantir que todas as obrigações legais sejam cumpridas, evitando sanções que possam comprometer a reputação e a operação da entidade.

Os artigos 18 a 21 da resolução abordam a questão do conflito de interesse no exercício das funções do encarregado pelo tratamento de dados pessoais. Esses dispositivos reforçam a necessidade de o encarregado atuar com ética, integridade e autonomia técnica, assegurando que suas atividades não sejam comprometidas por conflitos que possam macular a postura íntegra e isenta que é esperada. Assim, a resolução permite que o encarregado acumule funções e atue para mais de um agente de tratamento, desde que consiga atender plenamente às suas atribuições sem incorrer em conflitos. No mais, a identificação de conflitos de interesse pode ocorrer tanto internamente, em um único agente de tratamento, quanto entre agentes distintos, especialmente se o encarregado tiver influência sobre decisões estratégicas de tratamento de dados.

Para garantir a transparência e a imparcialidade, o encarregado deve declarar qualquer situação que possa configurar conflito de interesse. A resolução também descreve o múnus assumido pelo agente de tratamento no sentido de evitar que o encarregado desempenhe funções que possam resultar em conflitos, exigindo que medidas sejam adotadas para mitigar esses riscos, como não designar a pessoa, implementar medidas de mitigação ou substituir o encarregado. Em último caso, na hipótese de um conflito de interesse ser verificado, o agente de tratamento pode enfrentar sanções conforme o artigo 52 da LGPD, enfatizando a importância de uma gestão cuidadosa e ética no tratamento de dados pessoais.

Em conclusão, a Resolução CD/ANPD nº 18 de 16 de julho de 2024 é um avanço importante para a proteção de dados pessoais no Brasil, pois detalha a atuação de uma das mais importantes figuras relacionadas às atividades de tratamento de dados pessoais. A implementação dessas diretrizes é essencial para fortalecer a cultura de proteção de dados no país e garantir que os direitos dos titulares sejam respeitados, protegidos e efetivados.

________________

1 BRASIL. Autoridade Nacional de Proteção de Dados. Resolução CD/ANPD nº 18, de 16 de julho de 2024. Aprova o Regulamento sobre a atuação do encarregado pelo tratamento de dados pessoais. Diário Oficial da União: seção 1, Brasília, DF, 17 jul. 2024. Disponível em: https://www.in.gov.br/en/web/dou/-/resolucao-cd/anpd-n-18-de-16-de-julho-de-2024-572632074 Acesso em: 18 jul. 2024.