O Conselho Diretor da Autoridade Nacional de Proteção de Dados (ANPD) publicou no Diário Oficial da União da última quarta-feira, 17 de julho, a Resolução CD/ANPD nº 18, que trata do regulamento sobre atuação do encarregado pelo tratamento de dados pessoais nas empresas e instituições. Veja aqui.
Em vigor já na data de publicação, o regulamento traz definições sobre os agentes de tratamento de dados e os controladores; o que é considerado conflito de interesses que possam comprometer o desempenho das atribuições do encarregado; o que são dados pessoais; quem é o encarregado pelo tratamento de dados; quem é o operador que realiza o tratamento de dados; que são os titulares dos dados pessoais; e como deve ser realizado o tratamento de dados pessoais.
“Na minha percepção, a norma não traz novidades e creio que também não trará impactos relevantes para as nossas entidades”, disse Antônio Carlos Bastos d’Almeida, gerente de riscos, ARGR e DPO da Forluz e coordenador da Comissão Técnica Regional Leste de Governança e Riscos da Abrapp, em entrevista ao Blog Abrapp em Foco.
Segundo ele, a norma é clara e objetiva e não exige esforços de interpretação. “Recomendo que cada entidade faça a sua lista de verificação e, diante daquilo que for uma não-conformidade, crie planos de ação”, destacou.
Ele ressaltou um ponto de atenção interessante na norma, que diz respeito ao §3º do artigo 3º, o qual aponta que agentes de tratamento de pequeno porte não são obrigados a designar um encarregado, mas devem disponibilizar um canal de comunicação com o titular de dados.
A classificação de agentes de tratamento de pequeno porte é estabelecida pela Resolução CD/ANPD nº 2, de 27 de janeiro de 2022, que os define como:
I – agentes de tratamento de pequeno porte: microempresas, empresas de pequeno porte, startups, pessoas jurídicas de direito privado, inclusive sem fins lucrativos, nos termos da legislação vigente, bem como pessoas naturais e entes privados despersonalizados que realizam tratamento de dados pessoais, assumindo obrigações típicas de controlador ou de operador;
II – microempresas e empresas de pequeno porte: sociedade empresária, sociedade simples, sociedade limitada unipessoal, nos termos do art. 41 da Lei nº 14.195, de 26 de agosto de 2021, e o empresário a que se refere o art. 966 da Lei nº 10.406, de 10 de janeiro de 2002 (Código Civil), incluído o microempreendedor individual, devidamente registrados no Registro de Empresas Mercantis ou no Registro Civil de Pessoas Jurídicas, que se enquadre nos termos do art. 3º e 18-A, §1º da Lei Complementar nº 123, de 14 de dezembro de 2006;
III – startups: organizações empresariais ou societárias, nascentes ou em operação recente, cuja atuação caracteriza-se pela inovação aplicada a modelo de negócios ou a produtos ou serviços ofertados, que atendam aos critérios previstos no Capítulo II da Lei Complementar nº 182, de 1º de junho de 2021; e
IV – zonas acessíveis ao público: espaços abertos ao público, como praças, centros comerciais, vias públicas, estações de ônibus, de metrô e de trem, aeroportos, portos, bibliotecas públicas, dentre outros.
“Assim, as próprias entidades devem verificar suas respectivas situações”, aconselhou Antônio Carlos sobre o enquadramento nessa classificação. Ele ainda faz uma sugestão de checagem que as Entidades Fechadas de Previdência Complementar (EFPC) podem realizar para detectar o nível de enquadramento na nova resolução.
Nesta checagem, são pontuados o cumprimento de exigências para a designação do encarregado pelo tratamento de dados pessoais (D.P.O.); a identificação e divulgação de informações de contato do D.P.O.; e as condições comprovadas para que o D.P.O. possa exercer suas atividades. Acesse aqui.
A advogada Patrícia Linhares Gaudenzi, Sócia-Fundadora do escritório Linhares e Advogados Associados, também destacou pontos de especial atenção a serem observados pelas EFPC em geral. São eles:
- Formalização da nomeação em ato jurídico da governança;
- Análise de conflitos de interesse especialmente nos casos em que o encarregado é também diretor com poderes de gestão ampla;
- Regularização da identificação do encarregado no site da entidade em local de fácil acesso, com seu nome e contato;
- Envolvimento do encarregado em projetos e ações que envolvam dados pessoais – especialmente visando ação preventiva de conformidade e “privacy by design”;
- Prover recursos financeiros, administrativos e humanos para o desempenho da função de encarregado.
Segundo ela, “o encarregado poderá acumular funções e exercer as suas atividades para mais de um controlador, desde que seja possível o pleno atendimento de suas atribuições relacionadas a cada agente de tratamento e inexista conflito de interesse internamente com outras funções ou na tomada de decisões”.
Linhares também pontuou que o exercício da atividade de encarregado não pressupõe inscrição em qualquer entidade nem qualquer certificação ou formação profissional específica, cabendo ao controlador estabelecer as qualificações profissionais que considere necessárias para o desempenho de suas atribuições.
“É preciso levar em conta os conhecimentos sobre a legislação de proteção de dados pessoais, bem como o contexto, o volume e o risco das operações de tratamento realizadas”, alertou.
