Nesta quarta-feira, 17, a ANPD (Autoridade Nacional de Proteção de Dados) publicou a norma de atuação do encarregado do tratamento de dados pessoais no Diário Oficial da União. A notícia também foi comentada pelo diretor-presidente da entidade, Waldemar Gonçalves, durante sua participação no evento CPDP Latam 2024 (Computer Privacy and Data Protection para América Latina), que acontece nesta quarta-feira, 17 e segue até quinta-feira, 18, na Fundação Getúlio Vargas, no Rio de Janeiro, e que trata sobre o tema Governança de Dados: da América Latina ao G20.
A função do profissional é fazer a ponte entre o titular de dados, o agente de tratamento e a ANPD. Cabe ao encarregado orientar a empresa para qual trabalha em relação às melhores práticas no tratamento de dados.
Para redigir a norma, a autoridade ouviu mais de 200 pessoas, o que resultou em um total de 1,4 mil sugestões.
O encarregado de dados pode ser pessoa física (na lei, pessoa natural) ou pessoa jurídica. A empresa deve identificar de maneira clara as informações de contato deste profissional, com: nome completo (da pessoa ou da empresa jurídica encarregada); e “informações de contato”, que não foram especificados, porém, de acordo com a norma, deverá abranger, “no mínimo, os dados referentes aos meios de comunicação que viabilizem o exercício dos direitos dos titulares junto ao controlador e possibilitem o recebimento de comunicações da ANPD.”
Entre suas funções, o encarregado deverá:
I – receber reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências cabíveis;
II – receber comunicações da Autoridade Nacional de Proteção de Dados e adotar providências;
III – orientar os funcionários e os contratados do agente de tratamento (empresa para a qual trabalha) a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
IV – executar as demais atribuições determinadas pelo agente de tratamento ou estabelecidas em normas complementares.”
Orientações
A norma também orienta como o profissional deve agir caso a autoridade envie uma comunicação à empresa e como o profissional deve orientar a companhia para a qual trabalha caso haja incidente de segurança, como mitigar os riscos relativos aos tratamentos de dados pessoais, realizar relatório de impacto à proteção de dados, orientar sobre transferência internacional de dados, estabelecer boas práticas e de governança, estabelecer que produtos e serviços tenham padrões como privacidade por padrão e limitação de coleta de dados pessoais ao mínimo necessário, entre outras atividades.
“Depois da dosimetria, esta é a norma que nós tivemos o maior número de contribuições da sociedade de uma forma geral – foram mais de 1,4 mil. A quantidade gerou um certo atraso porque tivemos que considerar todas as contribuições, mas publicamos hoje essa norma importantíssima e esperada por todos. A figura do encarregado é muito importante para o sistema de proteção de dados. É a pessoa que tem acesso a todos os operadores de dados, aos diretores da empresa, fala com o titular do dado e conversa com a ANPD”, resumiu Gonçalves durante sua fala no CPDP Latam 2024, evento que aconteceu no departamento de Direito da FGV-Rio (confira aqui entrevista com o representante do órgão regulador).