O documento estabelece diretrizes não-vinculantes aos agentes de tratamento e explica quem pode exercer a função do controlador, do operador e do encarregado. Confira.
Na última semana, a ANPD – Autoridade Nacional de Proteção de Dados publicou o “Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado”.
O documento, primeiro do tipo publicado pela Autoridade, busca estabelecer diretrizes não-vinculantes aos agentes de tratamento e explicar quem pode exercer a função do controlador, do operador e do encarregado; as definições legais; os respectivos regimes de responsabilidade; casos concretos que exemplificam as explicações da ANPD e as perguntas frequentes sobre o assunto.
A especialista em proteção de dados Cecilia Choeri (Chediak, Lopes da Costa, Cristofaro, Simões Advogados) listou as principais definições constantes da LGPD sobre o tema e orientações adicionais trazidas pelo guia.
Todo agente de tratamento (controlador ou operador, organização pública ou privada) deve indicar “encarregado” pelo tratamento de dados pessoais. Entretanto, normativas futuras da ANPD poderão trazer hipóteses de dispensa da necessidade de indicação do encarregado, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados.
Por agir como um ponto de contato com os titulares de dados e com a ANPD, a identidade e as informações de contato do encarregado de dados devem ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no sítio eletrônico do agente de tratamento.
São atividades do encarregado: aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências; receber comunicações da autoridade nacional e adotar providências; orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
O encarregado poderá ser tanto um funcionário da instituição quanto um agente externo, pessoa física ou jurídica, idealmente indicado por um ato formal, como um contrato de prestação de serviços ou um ato administrativo.
O encarregado deve ter liberdade e recursos adequados para realizar suas atividades, como tempo, recursos financeiros, infraestrutura e recursos humanos. Não há vedação a que o encarregado seja apoiado por uma equipe de proteção de dados.
As qualificações profissionais do encarregado devem ser definidas pelo agente de tratamento que o indica, considerando conhecimentos de proteção de dados e segurança da informação em nível que atenda às necessidades da operação da organização.
Não há vedação a que um mesmo encarregado atue em nome de diferentes organizações, contanto que seja capaz de realizar suas atribuições com eficiência, o que deve ser avaliado pelo agente de tratamento no caso concreto.
Não há necessidade de comunicação ou de registro da identidade e das informações de contato do encarregado perante a ANPD.
A especialista informa que, embora o guia informe que o encarregado é o indivíduo responsável por garantir a conformidade da organização à LGPD, há a ressalva de que a responsabilidade pelas atividades de tratamento de dados pessoais continua sendo do agente de tratamento, conforme estabelece o artigo 42 da LGPD.
Leia a íntegra do guia, clique aqui.
Fonte: Migalhas