RESOLUÇÃO CD/ANPD Nº 18/2024 – TUDO O QUE AGENTES DE TRATAMENTO E ENCARREGADOS PRECISAM SABER

RESOLUÇÃO CD/ANPD Nº 18/2024

TUDO O QUE AGENTES DE TRATAMENTO E ENCARREGADOS PRECISAM SABER

NOMEAÇÃO E ATRIBUIÇÕES DO ENCARREGADO (DPO)

 

 RESOLUÇÃO CD/ANPD Nº 18, DE 16 DE JULHO DE 2024

A Resolução do encarregado da Autoridade Nacional de Proteção de Dados – ANPD, publicada em 16 de julho de 2024, estabelece normas detalhadas sobre a indicação, atribuições e atuação do encarregado pelo tratamento de dados pessoais, conforme segue:

 

1 – Indicação do Encarregado

  • Obrigatoriedade: Todos os controladores devem nomear um encarregado, exceto os agentes de tratamento de pequeno porte que podem ser dispensados, desde que disponibilizem um canal de comunicação com os titulares de dados.

Essa obrigatoriedade está embasada no Art. 41 da LGPD, que prevê a indicação do encarregado como uma medida essencial para garantir a transparência e o respeito aos direitos dos titulares de dados pessoais. A Resolução da ANPD também reitera essa exigência, especificando que a nomeação deve ser formalizada por meio de um documento escrito, datado e assinado, conforme Art. 3º da Resolução da ANPD publicado em 16 de julho de 2024.

Controladores são responsáveis por decisões sobre o tratamento de dados pessoais e podem ser pessoas naturais ou jurídicas, de direito público ou privado. Exemplos de controladores e suas finalidades incluem:

  • Organizações de Comércio Eletrônico: Tratam dados para gerenciar contas de usuários, processar compras, oferecer suporte ao cliente e personalizar ofertas.
  • Instituições Financeiras: Processam dados para gerenciar contas bancárias, conceder empréstimos, realizar análises de crédito e detectar fraudes.
  • Hospitais e Clínicas Médicas: Utilizam dados para prestar cuidados de saúde, gerenciar históricos médicos, agendar consultas e realizar pesquisas clínicas.
  • Governo e Entidades Públicas: Tratam dados para emitir documentos oficiais, gerenciar programas sociais, coletar impostos e melhorar serviços públicos.
  • Organizações de Marketing: Utilizam dados para campanhas publicitárias, segmentação de mercado, pesquisas de satisfação e análise de comportamento do consumidor.

Fundamentação Legal Adicional:

Art. 41 da LGPD: Estabelece a necessidade de nomeação de um encarregado pelo tratamento de dados pessoais e define suas atribuições principais.

Art. 5º, VIII da LGPD: Define encarregado como a pessoa indicada pelo controlador para atuar como canal de comunicação entre o controlador, os titulares de dados e a ANPD.

Art. 3º da Resolução da ANPD: Especifica que a indicação do encarregado deve ser feita por meio de ato formal, com documento escrito, datado e assinado.

Art. 12 da Resolução da ANPD: Permite que o encarregado seja uma pessoa natural ou jurídica, ampliando as opções para organizações que possam contratar serviços especializados de proteção de dados

 

2 – Qualificações e Identidade

  • Qualificações: Embora não haja exigência de certificação ou formação profissional específica, o encarregado deve ser capaz de realizar suas atribuições de forma eficiente, o que implica possuir conhecimentos jurídicos, regulatórios e de tecnologia e segurança da informação.

Diante da complexidade das atribuições, é necessária atenção sobre o papel do DPO e habilidades necessárias para as responsabilidades que lhe são atribuídas no caso-a-caso.

Quando da análise das atribuições mínimas trazidas pelo Art. 41, §2º, da LGPD, é possível compreender que, para atender a essas atividades, algumas habilidades são necessárias e há alguns perfis de profissionais que podem ter mais sinergia com o cargo/função de DPO ou facilidade de adaptação. Por isso, muitos dos profissionais que têm sido nomeados como DPOs nas instituições, em geral, têm alguma experiência nas áreas: jurídica, compliance, cibersegurança, TI, Segurança da Informação, ouvidoria ou relacionamento com clientes (SAC) e outros.

Na prática, há diversos desafios no processo de adequação à LGPD e na continuidade da governança em privacidade, isso porque há complexidade de entendimento quanto aos processos internos, grande quantidade de dados (e, eventualmente, sensíveis), enquadramento de bases legais e princípios legais (finalidade, transparência e outros), gestão de riscos, implementação de medidas técnicas e organizacionais aos tratamentos realizados.

O DPO é a função responsável por pensar sobre a adequação, o compliance, à LGPD, considerando os titulares dos dados pessoais e o negócio, o contexto da organização, os requisitos legais, técnicos e organizacionais e reunindo as pessoas certas para realizar o trabalho no tocante à governança em privacidade.

De um modo geral, o DPO precisa conhecer o modelo de negócios da organização e conciliar com suas habilidades e conhecimentos (soft e hard skills) para propor soluções que integrem a eficiência da organização, o exercício dos direitos dos titulares de dados, acompanhamento da aderência à governança em privacidade, as tecnologias disponíveis para as soluções apresentadas e o atendimento à legislação.

A adequação à LGPD não pode ser contraditória à eficiência empresarial, inclusive porque um dos fundamentos que disciplina a proteção de dados pessoais é o desenvolvimento econômico e tecnológico e a inovação (Art. 2º, V, da LGPD).

Fundamentação Legal Adicional:

  • Art. 41 da LGPD: Estabelece as atividades do encarregado, que devem ser desempenhadas com a devida competência.
  • Art. 14 da Resolução da ANPD: O exercício da atividade de encarregado não pressupõe a inscrição em qualquer entidade nem qualquer certificação ou formação profissional específica, mas o encarregado deve ter conhecimentos sobre a legislação de proteção de dados pessoais e ser qualificado para realizar as atribuições definidas.

2.1 Treinamentos e Certificações

Embora não obrigatórios, treinamentos e certificações em proteção de dados e privacidade são altamente recomendados para encarregados, pois demonstram conhecimento especializado e comprometimento com a conformidade.

Os treinamentos ajudam o encarregado a estudar a legislação de proteção de dados (nacional e internacional), boas práticas de segurança da informação e debatem situações práticas que o encarregado pode enfrentar no dia a dia. Não basta apenas ler a LGPD; é crucial ter uma compreensão prática e aplicada das normas e desafios.

Uma das principais trilhas de certificação é a trilha DPO do EXIN, oferecida pela Portal do Treinamento: https://www.portaldotreinamento.com.br/dpo-data-protection-officer/

 

TRILHA DPO DO PORTAL DO TREINAMENTO E EXIN:

  • DPO – Data Protection Officer: Cargo responsável pela proteção de dados pessoais nas organizações e canal de comunicação com titulares de dados e órgãos reguladores.
  • Certificação EXIN: Reconhece o conhecimento sobre proteção de dados pessoais e segurança da informação.

Formação DPO (Data Protection Officer):

  1. ISFS – ISO 27001 Foundation Information Security Management – EXIN®: Conceitos e boas práticas de segurança da informação.
  2. PDPF – Privacy & Data Protection Foundation – EXIN®: Fundamentos sobre Privacidade e Proteção de Dados (baseados na LGPD e no GDPR).
  3. PDPP – EXIN Privacy & Data Protection Professional – EXIN®: Diretrizes de melhores práticas para privacidade e proteção de dados, incluindo atividade prática.

Ao final dos treinamentos e aprovação nos exames da EXIN, o profissional recebe Certificado Adicional pelo cumprimento da trilha de conhecimento para o Data Protection Officer.

 

3 – Indicação do Encarregado

É possível a atuação do Encarregado como:

  • Encarregado Interno:

Auxiliará a organização no projeto de adequação, constituição do grupo de trabalho e acompanhamento do programa de governança em privacidade. Também pode ser a pessoa responsável pelo tratamento de respostas às solicitações que virão da ANPD, de titulares e operadores.

  • Terceirizado ou DPO as a Service

É a terceirização do trabalho, sendo apontada uma pessoa externa para atuar como encarregado perante a ANPD e os titulares dos dados pessoais. A prestação desse serviço pode compreender atividades diversas dentro do programa de governança em privacidade, conforme previsto no Art. 50, I, da LGPD.

  • Responsável por parte do Trabalho, para Apoio ao Encarregado

Auxiliará o encarregado, atuando em complemento, seja para responder aos titulares, para emitir pareceres, apoiá-lo na implementação do programa de governança em privacidade.

Identidade e Contato: Devem ser divulgados publicamente no site do agente de tratamento, incluindo nome completo (para pessoa física) ou nome empresarial e responsável (para pessoa jurídica), bem como meios de comunicação para exercício dos direitos dos titulares e comunicações da ANPD. Isso é exigido pelo Art. 41, §1º da LGPD para assegurar a transparência e a facilidade de contato entre os titulares de dados e o encarregado.

Forma de Indicação: A nomeação deve ser formal, através de um documento escrito, datado e assinado, que especifique as formas de atuação e as atividades do encarregado. Esse documento deve ser apresentado à ANPD quando solicitado.

Substituto: Em caso de ausências ou impedimentos, deve ser designado formalmente um encarregado substituto.

Pessoa Jurídica como Encarregado:

A possibilidade de uma pessoa jurídica atuar como encarregado amplia as opções para organizações que podem contratar serviços especializados de proteção de dados e conformidade com a LGPD. Isso é especialmente útil para pequenas e médias organizações que podem não ter a capacidade de contratar um DPO interno. O Art. 12 da Resolução da ANPD reforça essa flexibilidade ao permitir que o encarregado seja uma pessoa jurídica.

Formalização da Nomeação

A nomeação do encarregado deve ser formalizada por meio de um documento escrito, datado e assinado, que especifique claramente as atribuições e responsabilidades. A formalização pode ser realizada de várias maneiras, garantindo que a nomeação seja oficial e reconhecida tanto internamente quanto por autoridades externas, como a ANPD. Abaixo, detalho os possíveis métodos de formalização e ofereço exemplos práticos.

Métodos de Formalização

  • Portaria Interna
    • Descrição: A portaria interna é um documento oficial emitido pela administração da organização que formaliza a nomeação do encarregado. Deve incluir detalhes específicos sobre as responsabilidades e poderes do encarregado.
    • Exemplo de Portaria:

Portaria nº 123/2024

A [Nome da Organização], inscrita no CNPJ sob nº [Número], nomeia [Nome do Encarregado], CPF nº XXX.XXX.XXX-XX, como Encarregado de Dados Pessoais, com todas as responsabilidades delineadas na Lei Geral de Proteção de Dados Pessoais (LGPD) e na Resolução da ANPD, a partir de [data].

Responsabilidades incluem: – Aceitar reclamações e comunicações dos titulares de dados. – Receber comunicações da ANPD e adotar as providências necessárias. – Orientar funcionários e contratados sobre práticas de proteção de dados. – Implementar e monitorar políticas internas de proteção de dados.

[Cidade], [Data] [Assinatura do Representante Legal]

  • Ata de Reunião da Diretoria
    • Descrição: A nomeação pode ser registrada em uma ata de reunião da diretoria, onde se discute e decide sobre a indicação do encarregado. A ata deve ser assinada pelos participantes da reunião.
    • Exemplo de Ata de Reunião:

Ata de Reunião da Diretoria nº [Número] Aos [dia] dias do mês de [mês] de [ano], reuniram-se os membros da diretoria da [Nome da Organização], situada à [Endereço], CNPJ nº [Número], para deliberar sobre a nomeação do Encarregado de Dados Pessoais. Após discussão, ficou decidido e aprovado por unanimidade a nomeação de [Nome do Encarregado], CPF nº XXX.XXX.XXX-XX, para exercer a função de Encarregado de Dados Pessoais, com as seguintes atribuições: – Aceitar reclamações e comunicações dos titulares de dados. – Receber comunicações da ANPD e adotar as providências necessárias. – Orientar funcionários e contratados sobre práticas de proteção de dados. – Implementar e monitorar políticas internas de proteção de dados. Nada mais havendo a tratar, foi lavrada a presente ata, que segue assinada pelos presentes. [Cidade], [Data] [Assinaturas dos Membros da Diretoria]

  • Atualização da Carteira de Trabalho (CTPS)
    • Descrição: Para empregados já contratados, a nomeação pode ser registrada na carteira de trabalho conforme a Classificação Brasileira de Ocupações (CBO) do Ministério do Trabalho e Emprego. A anotação deve incluir a descrição das novas responsabilidades. O código CBO para o Oficial de Proteção de Dados Pessoais (DPO) é 1421-35.
    • Exemplo de Atualização na CTPS:

Data: [Data] Nomeação para o cargo de Oficial de Proteção de Dados Pessoais (DPO), conforme Art. 41 da LGPD e CBO 1421-35. Responsabilidades incluem: – Aceitar reclamações e comunicações dos titulares de dados. – Receber comunicações da ANPD e adotar as providências necessárias. – Orientar funcionários e contratados sobre práticas de proteção de dados. – Implementar e monitorar políticas internas de proteção de dados.

  • Descrição nas Políticas de Privacidade da Organização
    • Descrição: A nomeação do encarregado pode ser mencionada nas políticas de privacidade da organização, publicadas no site institucional. Isso garante transparência e acessibilidade da informação para todos os interessados.
    • Exemplo de Descrição na Política de Privacidade:

Encarregado de Dados Pessoais (DPO) Em conformidade com a Lei nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais), a [Nome da Organização] nomeia [Nome do Encarregado], CPF nº XXX.XXX.XXX-XX, como Encarregado de Dados Pessoais. O Encarregado é responsável por: – Aceitar reclamações e comunicações dos titulares de dados. – Receber comunicações da ANPD e adotar as providências necessárias. – Orientar funcionários e contratados sobre práticas de proteção de dados. – Implementar e monitorar políticas internas de proteção de dados.

Para entrar em contato com o Encarregado, envie um e-mail para [endereço de e-mail] ou ligue para [telefone].

  • Sugestão de Texto para Nomeação Formal

Em conformidade com a Lei nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais) e a Resolução da ANPD, fica nomeado(a) [Nome Completo], portador(a) do CPF nº [Número], para exercer a função de Encarregado(a) pelo Tratamento de Dados Pessoais desta organização, com as seguintes atribuições e responsabilidades: – Aceitar reclamações e comunicações dos titulares de dados. – Receber comunicações da ANPD e adotar as providências necessárias. – Orientar funcionários e contratados sobre práticas de proteção de dados. – Implementar e monitorar políticas internas de proteção de dados.

[Nome da Organização] [Cidade], [Data] [Assinatura do Representante Legal]

  • Referência ao Exemplo da ANPD:

Para exemplificar a descrição nas políticas de privacidade ou no site da organização, podemos nos inspirar no conteúdo de nomeação do encarregado da própria ANPD conforme a Portaria nº 123, de 10 de agosto de 2023, publicada no Diário Oficial da União:

Encarregado de Dados Pessoais (DPO) Em conformidade com a Lei nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais) e a Portaria nº 123, de 10 de agosto de 2023, a Autoridade Nacional de Proteção de Dados (ANPD) nomeia os seguintes servidores como membros da equipe de Encarregados pelo Tratamento de Dados Pessoais: – [NOME], Encarregada titular; – [NOME], Encarregada substituta. Esses encarregados são responsáveis por: – Aceitar reclamações e comunicações dos titulares de dados. – Receber comunicações da ANPD e adotar as providências necessárias. – Orientar funcionários e contratados sobre práticas de proteção de dados. – Implementar e monitorar políticas internas de proteção de dados. Para entrar em contato com os encarregados, envie um e-mail para [endereço de e-mail], ligue para [telefone] ou envie correspondência ao [endereço].

Meios de Formalização:

  • Documento Físico: Assinado pelo representante legal e pelo encarregado, arquivado fisicamente.
  • Documento Digital: Assinado digitalmente usando certificados digitais (e.g., ICP-Brasil), armazenado em sistemas de gestão documental.

 

4 – Atribuições do Encarregado

O encarregado deve:

  1. Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências cabíveis conforme o Art. 41, §2º, I da LGPD e Art. 15, I da Resolução da ANPD.
  2. Receber comunicações da ANPD e adotar providências necessárias conforme o Art. 41, §2º, II da LGPD e Art. 15, II da Resolução da ANPD.
  3. Orientar os funcionários e contratados do agente de tratamento sobre as práticas de proteção de dados pessoais conforme o Art. 41, §2º, III da LGPD e Art. 15, III da Resolução da ANPD.
  4. Executar as atribuições determinadas pelo agente de tratamento ou estabelecidas em normas complementares conforme o Art. 41, §2º, IV da LGPD e Art. 15, IV da Resolução da ANPD.

### Outras Atividades do Encarregado

O Art. 16 da Resolução da ANPD prevê que o encarregado, além de suas atribuições principais, deve prestar assistência e orientação ao agente de tratamento na elaboração, definição e implementação de diversas medidas. Essas atividades adicionais incluem:

    1. – Registro e Comunicação de Incidentes de Segurança: Coordenar a resposta a incidentes de segurança envolvendo dados pessoais, incluindo a notificação à ANPD e aos titulares afetados.
    2.   – Registro das Operações de Tratamento de Dados Pessoais: Manter registros detalhados sobre as operações de tratamento de dados realizadas pela organização.
    3. – Relatório de Impacto à Proteção de Dados Pessoais: Elaborar relatórios de impacto à proteção de dados pessoais, avaliando os riscos associados ao tratamento de dados e propondo medidas para mitigá-los.
    4. – Mecanismos Internos de Supervisão e Mitigação de Riscos: Implementar e supervisionar mecanismos internos que identifiquem e mitiguem riscos relacionados ao tratamento de dados pessoais.
    5. – Medidas de Segurança, Técnicas e Administrativas: Adotar medidas de segurança aptas a proteger os dados pessoais contra acessos não autorizados, bem como situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
    6. – Processos e Políticas Internas de Conformidade: Desenvolver e implementar processos e políticas internas que assegurem o cumprimento da Lei nº 13.709/2018 (LGPD) e dos regulamentos e orientações da ANPD.
    7. – Instrumentos Contratuais: Estabelecer e revisar instrumentos contratuais que disciplinem questões relacionadas ao tratamento de dados pessoais.
    8. – Transferências Internacionais de Dados: Garantir que as transferências internacionais de dados estejam em conformidade com os requisitos legais.
    9. – Regras de Boas Práticas e Governança em Privacidade: Desenvolver e implementar regras de boas práticas e um programa de governança em privacidade, conforme o art. 50 da LGPD.
    10. – Produtos e Serviços com Padrões de Privacidade: Garantir que os produtos e serviços adotem padrões de design compatíveis com os princípios da LGPD, incluindo a privacidade por padrão e a limitação da coleta de dados pessoais ao mínimo necessário para a realização de suas finalidades.
    11. – Outras Atividades Estratégicas: Executar outras atividades e tomar decisões estratégicas relacionadas ao tratamento de dados pessoais.

Exemplo: Antes de lançar um novo serviço que envolve a coleta de dados pessoais, a equipe de desenvolvimento deve consultar o encarregado para assegurar que todas as práticas estejam em conformidade com a LGPD.

Atividades: O encarregado deve ser consultado durante a avaliação de impacto de privacidade (PIA) de novos projetos para garantir a conformidade com as normas de proteção de dados.

 

5 – Responsabilidades e Deveres

  • Autonomia Técnica

O agente de tratamento deve garantir que o encarregado tenha autonomia técnica para cumprir suas funções, livre de interferências indevidas, e acesso direto à alta administração conforme o Art. 10, III e V da Resolução da ANPD.

    • Exemplo: O encarregado deve ter acesso direto ao CEO e ao conselho de administração para discutir questões estratégicas relacionadas à privacidade.
    • Prática: O encarregado deve poder agir e tomar decisões independentemente de outras áreas, especialmente em questões de conformidade e resposta a incidentes.
  • Recursos

O agente de tratamento deve prover os recursos humanos, técnicos e administrativos necessários para o desempenho das atividades do encarregado conforme o Art. 10, I da Resolução da ANPD.

    • Exemplo: A organização deve disponibilizar um orçamento específico para a área de proteção de dados, incluindo ferramentas de segurança e softwares de gestão de privacidade.
    • Recursos Humanos: Contratar ou treinar pessoal qualificado para apoiar o encarregado.
    • Recursos Técnicos: Implementar sistemas de gestão de consentimento, ferramentas de criptografia e firewalls.
  • Conformidade

Embora o encarregado tenha diversas responsabilidades, ele não é pessoalmente responsável pela conformidade do agente de tratamento com a LGPD. A responsabilidade pela conformidade é do agente de tratamento conforme o Art. 17 da Resolução da ANPD.

 

6 – Conflito de Interesses

  • Definição e Prevenção: O encarregado deve atuar com ética e integridade, evitando situações de conflito de interesses. O agente de tratamento deve implementar medidas para evitar tais conflitos e, se identificados, substituir o encarregado conforme o Art. 18 e 21 da Resolução da ANPD.
    • Acúmulo de Funções:
      • Exemplo: Um CFO que também é nomeado encarregado pode ter conflitos ao equilibrar a redução de custos com a necessidade de investimentos em proteção de dados.
    • Tomada de Decisões Estratégicas:
      • Exemplo: Um gerente de marketing que define estratégias de coleta e uso de dados pessoais não deve ser encarregado, pois pode priorizar objetivos de negócio sobre a conformidade com a privacidade.
    • Representação em Processos Judiciais:
      • Exemplo: Um advogado interno que atua como encarregado e, ao mesmo tempo, representa a organização em processos envolvendo proteção de dados pode ter um conflito entre defender a organização e garantir a conformidade com a LGPD.

 

FONTES CONSULTADAS:

Brasil. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Brasília, DF

LIMA, Adrianne. ALVES, Davis (2021). Encarregados – Data Protection Officer – DPOs exigidos pela LGPD – Lei Geral de Proteção de Dados. São Paulo, São Paulo, Brasil: Haikai Editora. ISBN: 978-65-86334-88-3. https://haikaieditora.com.br/produto/encarregados-data-protection-officer-dpo/ . Acesso em: 17 de julho de 2024.

Resolução CD/ANPD Nº 18, de 16 de julho de 2024. Diário Oficial da União. Publicado em: 17/07/2024, Edição: 136, Seção: 1, Página: 42. Órgão: Ministério da Justiça e Segurança Pública/Autoridade Nacional de Proteção de Dados/Conselho Diretor. Aprova o Regulamento sobre a atuação do encarregado pelo tratamento de dados pessoais.

LIMA, Adrianne; PINHEIRO, Patricia Peck; ALCASSA, Flávia; TUFAILE, Cinthia; CORREIA, Umberto; CRISOSTOMO, Juliana. Advogados – encarregados (DPO interno e DPO as a service) nos programas de governança em privacidade (LGPD). Disponível em: [https://www.migalhas.com.br/depeso/345714/advogados–encarregados-dpo-interno-e-dpo-as-a-service](https://www.migalhas.com.br/depeso/345714/advogados–encarregados-dpo-interno-e-dpo-as-a-service). Acesso em: 17 de julho de 2024.

 

Artigo gentilmente cedido por Adrianne Lima – Advogada | Segurança da Informação | DPO | Professora universitária | Mestre Advogada e instrutora oficial em treinamentos para a trilha DPO EXIN na escola Portal do Treinamento