No dia 06/11/2023, foi submetida à consulta pública a Resolução da Autoridade Nacional de Proteção da Dados – ANPD, sobre a atuação do Encarregado de Proteção de Dados.
Embora seu texto ainda não seja definitivo, a Resolução traz novos pontos e positiva muitos dos que já eram pacificados como boas práticas, entre eles a possibilidade de indicação de um encarregado de proteção de dados externo.
Destacamos a seguir 5 pontos sobre essas novidades trazidas pela Resolução, como afetam o estabelecimento das estruturas para o trabalho do Encarregado e como a nomeação de um Encarregado Externo ganha relevância neste cenário.
1 – Indicação de Encarregado de Dados Externo
Não há nenhum impedimento à contratação de Encarregado de Proteção de dados externo na LGPD, prática já amplamente utilizada no Brasil. A nova Resolução da ANPD veio positivar esse costume e legitimar ainda mais a indicação do Encarregado, determinando que poderá ser agente externo à empresa.
As responsabilidades do Encarregado externo são as mesmas do encarregado interno, e a comprovação do vínculo entre a empresa e o encarregado externo se dá por meio de um imprescindível contrato de prestação de serviços simples.
Além do contrato de prestação de serviços, a resolução também positiva a necessidade de que a indicação de encarregado interno ou externo se dê por ato formal.
Não fica claro se a mera publicização da condição de encarregado, aliado ao contrato de prestação de serviços supriria esta demanda, mas recomendamos a firma de um termo simples de nomeação de encarregado, por segurança.
Assim, além da expertise necessária, a nomeação de um Encarregado Externo depende também da capacidade do contratado cumprir corretamente com os requisitos formais.
2 – Identificação do Encarregado
A necessidade de identificação do encarregado já constava na LGPD como obrigação de que a identidade e as informações de contato do encarregado sejam divulgadas publicamente.
O objetivo dessa obrigação é que titulares e autoridades saibam a quem se dirigir para questões relativas à Lei. Não ficava claro, no entanto, como esta identificação deveria se dar, principalmente no que se refere ao Encarregado Externo.
Neste sentido, a Resolução vem complementar o que está na lei, obrigando a identificação, no caso de Encarregado Externo, do nome empresarial ou título do estabelecimento e informações de contato, com a publicação dos dados de comunicação que viabilizem o exercício dos direitos e das comunicações da ANPD.
Com a resolução, fica claro que basta a identificação básica do Encarregado Externo, ao mesmo tempo em que, caso acertado em contrato, não há nenhum impedimento a que o próprio Encarregado Externo faça a gestão dos meios de contato (e-mail, portal, telefone) eleitos pelo controlador.
3 – Responsabilidade
As responsabilidades principais do Encarregado permanecem inalteradas na Resolução. Foram trazidas responsabilidades complementares, contendo boas práticas em Proteção de Dados e explicitando obrigações diretamente relacionadas à confecção e manutenção de documentos.
Essas obrigações são:
- Comunicação de incidente de segurança,
- Elaboração do registro das operações de tratamento,
- Elaboração do Relatório de Impacto à Proteção de Dados Pessoais,
- Identificação e análise de risco,
- Definição de medidas de segurança para proteger os dados pessoais,
- Implementação da LGPD,
- Análise de cláusulas contratuais,
- Formulação e implementação de regras de boas práticas e de governança
Esse posicionamento da ANPD, enquanto por um lado facilita a descrição de cargo e aferição das competências de um encarregado, por outro, afasta sobremaneira a posição de qualquer caráter amadorístico ou provisório: Para cumprir o disposto na resolução o Encarregado deve estar dotado dos conhecimentos e da técnica necessários.
4 – Formação Multidisciplinar
Na prática diária percebemos que uma das maiores necessidades de um Encarregado é o conhecimento multidisciplinar: O Encarregado deve ser capaz de transitar livremente entre o mundo jurídico, compliance, tecnologia e segurança da informação, etc.
Ao ressaltar os conhecimentos necessários para as atribuições complementares previstas, o regulamento claramente exige formação multidisciplinar, pois tais atribuições englobam, além da familiaridade com os documentos, conceitos próprios de análise de risco, medidas de segurança em TI/SI, análise contratual, práticas de governança, entre outros.
É importante perceber que formação ou contratação de um profissional ou equipe interna no mercado torna-se ainda mais difícil e dispendiosa às empresas, ainda mais quando sopesadas a demanda real em proteção de dados e a obrigatoriedade de manutenção do quadro. Isto pode fazer pesar a balança em favor da contratação de um encarregado externo, já dotado de todas as características necessárias e pago on-demand.
5 – Conflito de interesses
Por fim, a Resolução traz disposições sobre o conflito de interesses entre o Encarregado e a empresa.
A disposição vai de encontro à prática comum de nomear internamente como Encarregado o CEO, Executivo, Diretor, Gerente ou outra figura de alto nível dentro da empresa, que não tenha, necessariamente, conexão direta com Proteção de Dados, mas que tenha alçada para tomar decisões quanto às atividades de tratamento.
Nesta situação, a Resolução vem evitar o conflito entre os anseios do profissional, decorrentes de suas atividades originárias, com a correta Proteção dos Dados Pessoais.
Embora o destacamento do Encarregado Interno de outras funções seja uma medida possivelmente efetiva, a nomeação de um Encarregado Externo elimina totalmente qualquer possibilidade de conflito de interesses na relação.
Portanto, a Resolução mostra que contar com a assessoria especializada de um Encarregado de Proteção de Dados externo, para cumprir com requisitos específicos e ter uma atuação multidisciplinar é uma alternativa viável, segura e econômica, que deve ser considerada por todos aqueles que desejem cumprir com os requisitos da LGPD.
Por Thiago Bento dos Santos
Advogado especialista em Direito Digital pela Lopes & Castelo Sociedade de Advogados