Novidade quentinha sobre a LGPD! Dia 16 de julho, foi publicado e já está em vigor, o regulamento sobre a atuação do encarregado pelo tratamento de dados pessoais, através da Resolução CD/ANPD nº 18.
É certo que o encarregado, apesar de não ser ponto equidistante entre titulares, agentes de tratamento e órgãos reguladores (como pode parecer na imagem), tem papel essencial de conexão e ponto no relacionamento entre esses três atores, em volta dos quais gira o ecossistema de proteção de dados pessoais.
Quanto ao regulamento, o texto, claro e objetivo, estabelece normas complementares sobre a indicação, a definição, as atribuições e a atuação do encarregado e esclarece algumas questões que eram debatidas entre os especialistas. A seguir, destaco os pontos que mais me chamaram atenção, mas adianto que achei o último um dos mais relevantes para o avanço no debate do tema (e, para não desincentivar a leitura em razão da extensão do texto, ficará para outro post). Há reflexões interessantes para órgãos públicos, mas que ficarão de fora nesse momento.
Inicialmente, aparece a necessidade de indicação do encarregado via ato formal do agente de tratamento, constando as formas de atuação e atividades a serem desempenhadas, sendo ato formal o documento escrito, datado e assinado, que indique intenção inequívoca de designar o encarregado (art. 3º).
Um ponto importante é a indicação, no art. 4º, da necessidade do substituto do encarregado também ser formalmente designado, pois, como diz o parágrafo único, a ausência do encarregado não pode ser “obstáculo para o exercício dos direitos dos titulares ou para o atendimento às comunicações da ANPD”.
A divulgação da identidade do encarregado também foi objeto de debate, se seria necessário colocar seu nome ou mais informações, ou se apenas o canal de contato bastaria (como e-mail, por exemplo, pensando no próprio princípio da necessidade).
Os arts. 8º e 9º eliminam essa dúvida ao indicar que a divulgação da identidade abrangerá, no mínimo, seu nome completo, se pessoa física, e, se pessoa jurídica, nome empresarial ou o título do estabelecimento, bem como o nome completo da pessoa natural responsável. E, claro, além do nome, deve haver divulgação das informações de contato mínimas para viabilizar o contato dos titulares e o recebimento de comunicações da ANPD.
Seguindo, temos dois pontos já pacificados, mas que foram reforçados: o fato de que os agentes de tratamento de pequeno porte, mesmo que dispensados de indicar encarregado, devem disponibilizar um canal de comunicação com o titular de dados (art. 3º, §) e que a indicação de encarregado por operadores é facultativa (art. 6º), reforçando que, caso haja indicação, será considerada política de boas práticas e governança para fins do disposto no art. 52, §1º, IX.
Quanto à responsabilidade sobre a adequação das organizações à LGPD, o regulamento reforça em vários momentos que essa recai sobre o agente de tratamento, e não sobre o encarregado (arts. 11 e 17). O art. 10, inclusive, destaca deveres do agente de tratamento em prover os meios necessários para que o encarregado exerça suas atribuições, em que destaco a garantia da autonomia técnica necessária, livre de interferências, além de garantir o acesso desse profissional às pessoas de maior nível hierárquico na organização, responsáveis pela tomada de decisões estratégicas que afetem ou envolvam o tratamento de dados pessoais. Em outras palavras, a organização precisa fazer o possível para que o encarregado tenha liberdade, autonomia e recursos para realizar suas atribuições.
E falando nas atribuições do encarregado, além das já previstas no art. 41 da LGPD, repetidas no art. 15 do regulamento, seu parágrafo único traz mais algumas (óbvias) quando do recebimento, pelo agente de tratamento, de comunicações da ANPD, como encaminhar internamente a demanda para as unidades competentes.
O art. 16, por sua vez, detalha mais algumas atribuições do encarregado de assistência e orientação ao agente de tratamento na elaboração, definição e implementação de, basicamente, tudo que se refere a um Programa de Privacidade e que toque em tratamento de dados na organização.
Contudo, apesar da necessidade implícita do encarregado possuir conhecimento aprofundado nos termos da LGPD e em proteção de dados, o regulamento deixa a cargo do agente de tratamento o estabelecimento das qualificações profissionais necessárias (art. 7º), considerando, além do conhecimento sobre a LGPD, o contexto, o volume e o risco das operações de tratamento realizadas. O art. 14 reforça que o exercício da função de encarregado não pressupõe inscrição em qualquer entidade nem qualquer certificação ou formação profissional específica, deixando livre a escolha pelo agente de tratamento.
Finalmente, o ponto que achei mais relevante no regulamento é o conteúdo da seção III, do conflito de interesse, questão que devemos sempre observar ao cuidar de assuntos de governança e que pode ser um calcanhar de Aquiles, especialmente para empresas de estrutura mais enxuta. Meus apontamentos mais detalhados sobre esse último ponto estarão em outra publicação :).