Atuação do Encarregado e a emissão de selos de conformidade com a LGPD
Camila Cruz
Na Lei geral de proteção de dados pessoais brasileira, o encarregado de dados é definido como a “pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares de dados e a Autoridade Nacional de Proteção de Dados (ANPD).
O assunto tem gerado dúvidas e controvérsias, quanto as competências, atribuições, registros e demais formalidades necessárias. A legislação prevê a obrigatoriedade de nomeação do encarregado pelo tratamento de dados pessoais, o que deve ser feito pelo controlador, ressalvados os casos em que a própria ANPD – Autoridade Nacional de Proteção de Dados estabeleça dispensa, como é o caso do agente de tratamento de dados de pequeno porte.
Assim dispõe a legislação:
Art. 41: “o controlador deverá indicar encarregado pelo tratamento de dados pessoais.
§ 1º A identidade e as informações de contato do encarregado deverão ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no sítio eletrônico do controlador.
§ 2º As atividades do encarregado consistem em:
I – Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
II – Receber comunicações da autoridade nacional e adotar providências;
III – orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
IV – Executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
§ 3º A autoridade nacional poderá estabelecer normas complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados.
Recentemente a ANPD se pronunciou no sentido de que as competências do encarregado estão descritas nos incisos I a IV do § 2º do art. 41 da LGPD, cabendo exclusivamente à ANPD, segundo o § 3º do mesmo artigo, “estabelecer normas complementares sobre a definição e as atribuições do encarregado”.
A ANPD ainda não estabeleceu normas complementares sobre as atribuições do encarregado, tema que será objeto de regulamentação futura, conforme previsto na Agenda Regulatória para o biênio 2023-2024.Importante destacar que até o presente momento, não existe qualquer exigência legal de registro, perante a ANPD ou perante associações privadas, de profissionais de proteção de dados ou de encarregados como condição para o exercício da profissão ou como requisito para sua contratação. Tampouco há reconhecimento oficial da ANPD quanto a eventuais mecanismos de registro privado desses profissionais.
Ademais, a ANPD também não credencia ou reconhece entidades ou empresas para a emissão de selos que possam atestar a adequação à LGPD, e tampouco para a homologação de softwares ou aplicativos em conformidade com a lei.
Por fim, a Autoridade se manifestou no sentido de que para fins de cumprimento da LGPD, também não há exigência legal de selos de conformidade à LGPD ou de homologações de software ou aplicativos. Tais instrumentos, se oferecidos por entidades privadas, não constituem garantia oficial de conformidade à legislação de proteção de dados pessoais.
Adequar-se à LGPD envolve uma série de medidas, que variam de acordo com as especificidades e particularidades de cada empresa e forma de tratamento de dados, cabendo ao agente de tratamento de dados garantir a segurança e proteção dos dados pessoais durante todas as fases e etapas do tratamento de dados.
Compartilhe
