A Agência Nacional de Proteção de Dados (ANPD) noticiou no dia 13 de dezembro de 2024[1] que iniciou processo de fiscalização envolvendo a indicação do Encarregado pelo tratamento de dados pessoais e a disponibilização de canal de comunicação adequado para atender aos titulares de dados.
A iniciativa integra o Ciclo de Monitoramento 2024-2025 e visa a garantia dos direitos dos titulares. Segundo a ANPD, neste primeiro momento serão fiscalizadas 20 empresas de grande porte.
As empresas estão indicadas no site da ANPD e atuam em diferentes setores, incluindo, mas não se limitando a: tecnologia, varejo, alimentação, saúde, cuidados pessoais, transporte, telefonia, serviços, redes sociais, imobiliário, educação e eventos.
A fiscalização é em razão de não indicarem o contato do Encarregado pelo tratamento de dados pessoais conforme exigido pelo art. 41 da LGPD e por não disponibilizarem um canal de comunicação adequado ou oferecerem canais que não são efetivos:
“Art. 41. O controlador deverá indicar encarregado pelo tratamento de dados pessoais.”
Nesse sentido, vale reforçar a atenção para uma das etapas necessárias para a implementação das diretrizes trazidas pela LGPD, a escolha de quem será o Encarregado pelo Tratamento de Dados Pessoais.
Reconhecendo a criticidade e a atualidade do tema, elaboramos este breve informativo, a fim de auxiliar nesta etapa e na adequação com as exigências da ANPD:
- Todos precisam nomear um Encarregado?
Em que pese as disposições a respeito do tema na LGPD sejam genéricas, sugerindo que todos os agentes de tratamento precisam nomear o seu Encarregado, e que a nomeação seja considerada uma boa prática, a Resolução CD/ANPD nº 2 relativiza essa obrigação para agentes de pequeno porte.
Esses agentes excepcionados são: microempresas, empresas de pequeno porte, startups. Contudo, apesar dessa previsão, não poderão se beneficiar deste tratamento diferenciado os agentes de pequeno porte que:
– Realizarem tratamento de alto risco;
– Auferirem receita bruta superior R$ 360.000,00 ou, no caso de startups, R$ 16.000.000,00; ou
– Pertençam a grupo econômico de fato ou de direito, cuja receita global ultrapasse os limites de receita bruta referidos.
- Quem pode ser este Encarregado?
A LGPD não distingue ou define quem poderá ser o Encarregado indicado. Desta forma, considerando as boas práticas internacionais, o Encarregado poderá ser tanto um funcionário da instituição quanto um agente externo, podendo ser uma pessoa física ou uma pessoa jurídica.
- Qual a função do Encarregado?
O § 2º do art. 41 da LGPD define que o Encarregado possui as seguintes atribuições:
– Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
– Receber comunicações da autoridade nacional e adotar providências;
– Orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
– Executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
- Forma de indicação do Encarregado?
A ANPD em seu Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado recomenda que o Encarregado seja indicado por um ato formal, como um contrato de prestação de serviços ou um ato administrativo.
Além disso, destaca o §1º do art. 41 da LGPD, conforme:
“§ 1º A identidade e as informações de contato do encarregado deverão ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no sítio eletrônico do controlador.”
Vale atentarmos para a identificação do Encarregado que é interpretada de forma majoritária como sendo o nome e/ou razão social deste, acompanhado do cargo ou da função e do contato, que pode ser uma ferramenta específica, serviço de mensageria, e-mail, telefone e/ou outros canais de comunicação.
A título exemplificativo, a ANPD publiciza a identificação dos seus encarregados da seguinte forma:
Dito isso, em razão das atribuições exercidas, da mesma forma que um responsável por questões de compliance, é importante que o Encarregado, seja dotado de isenção e de independência para que possa atuar com a autonomia compatível com o exercício de suas funções.
Ademais, em que pese não haja uma qualificação especificada na lei ou na regulação, ao nomear um Encarregado, é recomendado considerar os conhecimentos de proteção de dados e de segurança da informação, de forma a atender às necessidades da operação da organização, bem como a sua capacidade de comunicação interna e externa e o seu conhecimento sobre os fluxos e as rotinas da empresa.
Ainda nesse sentido, ressalta-se a importância do contato do Encarregado ser de fácil acesso, por ser esse o canal adequado, a fim de garantir os direitos dos titulares. A ausência de informações de contato adequados poderão ser interpretadas como dificultar o exercício de direitos como acesso, correção e exclusão de dados pessoais
Enfim, a nomeação e a correta identificação do Encarregado pelo tratamento de dados pessoais e a disponibilização do contato deste, na forma de um canal de comunicação acessível, garantem maior segurança para os agentes de tratamento e para os titulares dos dados.
Sobretudo, considerando que a ANPD manifestou que as organizações que não se adequarem poderão ser alvo de processos administrativos sancionadores, que incluem a aplicação de penalidades previstas no Artigo 52 da LGPD, como advertências e multas.
Sendo estas as nossas considerações, estamos à disposição para esclarecer eventuais dúvidas.
Zavagna Gralha Advogados
[1] https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-fiscaliza-20-empresas-por-falta-de-encarregado-e-canal-de-comunicacao
