Regulamento sobre a atuação do Encarregado
Órgão: Autoridade Nacional de Proteção de Dados
Setor: ANPD - Coordenação-Geral de Normatização
Status: Encerrada
Publicação no DOU: 07/11/2023 Acessar publicação
Abertura: 07/11/2023
Encerramento: 07/12/2023
Contribuições recebidas: 1129
Responsável pela consulta: Coordenação-Geral de Normatização
Contato: normatizacao@anpd.gov.br
Resumo
Tendo em vista a competência da Autoridade Nacional de Proteção de Dados (ANPD) nos termos do art. 55-J, XIII, da Lei nº 13.709, de 14 de agosto de 2018 - Lei Geral de Proteção de Dados (LGPD) - de editar regulamentos e procedimentos sobre proteção de dados pessoais, submete-se à Consulta Pública a presente proposta de Regulamento sobre a atuação do Encarregado, que tem por objetivo a regulamentação do art. 41, §3º, da LGPD.
Além disso, a minuta dispõe sobre a indicação, as características e as formas de atuação dos encarregados, bem como sobre os deveres dos agentes de tratamento para com eles.
O referido tema encontra-se previsto no Item 6 da Agenda Regulatória da ANPD para o biênio 2023/2024, aprovada pela Portaria ANPD nº 35, de 4 de novembro de 2022.
*ATENÇÃO* As contribuições devem ser encaminhadas exclusivamente por meio da Plataforma Participa + Brasil.
Conteúdo
- Clique no balão ou no parágrafo que deseja contribuir -
RESOLUÇÃO CD/ANPD Nº X, DE XX DE MMMM DE 2023
Aprova o Regulamento sobre a atuação do Encarregado.
O CONSELHO DIRETOR DA AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS (ANPD), no uso das competências que lhe foram conferidas pelos arts. 41, §3º e 55-J, XIII, da Lei nº 13.709, de 14 de agosto de 2018 - Lei Geral de Proteção de Dados Pessoais (LGPD), e pelo art. 5º, I, do Regimento Interno da Autoridade Nacional de Proteção de Dados, aprovado pela Portaria ANPD nº 1, de 08 de março de 2021, tendo em vista o que consta nos autos do Processo nº 00261.000226/2022-53, e a deliberação tomada no Circuito Deliberativo nº X/2023, resolve:
Art. 1º Este Regulamento estabelece normas complementares sobre a atuação do Encarregado, na forma do Anexo a esta Resolução.
Art. 2º Esta Resolução entra em vigor no dia 1º de xxxxxxxxx de 2023.
WALDEMAR GONÇALVES ORTUNHO JUNIOR
Diretor-Presidente
ANEXO
REGULAMENTO SOBRE A ATUAÇÃO DO ENCARREGADO
CAPÍTULO I
DISPOSIÇÕES PRELIMINARES
Art. 1º Este Regulamento tem por objetivo estabelecer normas complementares sobre a indicação, a definição, as atribuições e a atuação do encarregado, de que trata a Lei nº 13.709, de 14 de agosto de 2018 -Lei Geral de Proteção de Dados Pessoais (LGPD).
Art. 2º Para fins deste Regulamento, considera-se:
I - conflito de interesses: situação gerada pelo confronto de interesses do agente de tratamento com os do encarregado no exercício de sua função, que possa influenciar, de maneira imprópria, o desempenho das atribuições do encarregado.
II - encarregado: pessoa natural ou jurídica indicada pelo controlador ou pelo operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD), nos termos do inciso VIII do art. 5º da Lei nº 13.709, de 2018;
III - identidade do encarregado: nome completo, se for pessoa natural, ou nome empresarial ou título do estabelecimento, se pessoa jurídica; e
IV - informações de contato do encarregado: dados referentes a meios de comunicação que viabilizem o exercício dos direitos dos titulares junto ao controlador e possibilitem o recebimento de comunicações da ANPD.
CAPÍTULO II
DOS AGENTES DE TRATAMENTO
Seção I
Da Indicação do Encarregado
Art. 3º O controlador deverá indicar encarregado por meio de ato formal.
§1º Os Agentes de Tratamento de Pequeno Porte dispensados de indicar encarregado devem disponibilizar um canal de comunicação com o titular de dados e com a ANPD, nos termos do art. 11 do Regulamento de aplicação da LGPD para Agentes de Tratamento de Pequeno Porte, aprovado pela Resolução CD/ANPD nº 2, de 27 de janeiro de 2022.
§ 2º As pessoas jurídicas de direito público referidas no parágrafo único do art. 1º da Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação), devem indicar encarregado quando realizarem operações de tratamento de dados pessoais, observado o seguinte:
I - a indicação do encarregado por pessoas jurídicas de direito público deverá recair, preferencialmente, sobre servidores estáveis, devendo estes ser detentores de reputação ilibada; e
II - os órgãos públicos que desempenhem funções típicas de controlador de dados pessoais devem indicar encarregado.
§3º Considerando o contexto do tratamento de dados pessoais realizado, o volume e os tipos de dados tratados, o controlador pode indicar mais de um encarregado, desde que atendida a obrigação prevista no art. 13 deste Regulamento.
§ 4º A indicação deve ser publicada em veículo de comunicação oficial.
Art. 4º A indicação de encarregado por operadores é facultativa e será considerada política de boa prática de governança para fins do disposto no art. 52, §1º, IX da Lei nº 13.709, de 2018, e do art. 13, II, do Regulamento de Dosimetria e Aplicação de Sanções Administrativas, aprovado pela Resolução CD/ANPD nº 4, de 24 de fevereiro de 2023, desde que observadas as normas deste Regulamento.
Art. 5º Cabe ao agente de tratamento estabelecer, considerando o contexto, o volume e o risco das operações de tratamento realizadas, as qualificações profissionais para o desempenho das atribuições do encarregado, a fim de atender às exigências da Lei nº 13.709, de 2018.
Parágrafo único. A indicação do encarregado deverá observar as suas qualidades profissionais, e, principalmente, seus conhecimentos relativos à disciplina de privacidade e proteção de dados, bem como aqueles necessários para o desempenho das atribuições previstas neste Regulamento.
Art. 6º A identidade e as informações de contato do encarregado devem ser mantidas atualizadas e ser divulgadas no sítio eletrônico do agente de tratamento.
§ 1º Para fins do disposto no caput, as informações disponibilizadas no sítio eletrônico deverão ser apresentadas de forma clara, precisa e em local de destaque e de fácil acesso.
§ 2º O agente de tratamento que não dispuser de sítio eletrônico próprio poderá realizar a divulgação de que trata o caput por quaisquer outros meios de comunicação disponíveis, inclusive aqueles usualmente utilizados para contato com os titulares, observado o disposto no § 1º deste artigo.
Seção II
Dos Agentes de Tratamento
Art.
7º Em relação ao encarregado, o agente de tratamento deve:
I - prover os meios necessários para o exercício das atribuições do encarregado, neles compreendidos recursos humanos, técnicos e administrativos;
II - proporcionar ao encarregado autonomia técnica e acesso à alta administração da organização, para o melhor desempenho de suas atividades; e
III - prover meios de atendimento humanizados do encarregado com o titular de dados e com a ANPD.
Art. 8º O controlador é o responsável pela conformidade do tratamento dos dados pessoais, nos termos da Lei nº 13.709, de 2018.
CAPÍTULO III
DO ENCARREGADO
Seção I
Das Características e Formas de Atuação
Art. 9º O encarregado poderá ser integrante do quadro organizacional do agente de tratamento ou externo a este, atuando a partir de um contrato de prestação de serviços.
Art. 10. Nas ausências, impedimentos e vacâncias do encarregado, a função será exercida por substituto formalmente designado.
Parágrafo único. As situações de afastamento do encarregado referidas no caput não poderão consistir em obstáculos para o exercício dos direitos dos titulares ou para o atendimento às comunicações da ANPD.
Art. 11. O encarregado deverá ser capaz de comunicar-se com os titulares de dados e com a ANPD, de forma clara e precisa e em língua portuguesa.
Art. 12. O exercício da atividade de encarregado não pressupõe a inscrição em qualquer entidade nem a detenção de qualquer certificação ou formação profissional específica.
Art. 13. O encarregado poderá acumular funções e exercer as suas atividades para mais de um agente de tratamento, desde que seja possível o pleno atendimento de suas atribuições relacionadas a cada agente de tratamento e inexista conflito de interesses.
Art. 14. As atividades do encarregado referentes ao contato com a ANPD não poderão ser realizadas exclusivamente por meio de processos automatizados.
Seção II
Das Atividades e das Atribuições
Art. 15. As atividades do encarregado consistem em:
I - aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
II - receber comunicações da ANPD e adotar providências;
III - orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
IV - executar as demais atribuições determinadas pelo agente de tratamento ou estabelecidas em normas complementares.
Art. 16. São atribuições complementares do encarregado, sem prejuízo das que poderão ser estabelecidas pelo agente de tratamento nos termos do inciso IV do art. 15 deste Regulamento, orientar o agente de tratamento nas seguintes atividades:
I - elaboração da comunicação de incidente de segurança com dados pessoais;
II - elaboração do registro das operações de tratamento de dados pessoais;
III - elaboração do Relatório de Impacto à Proteção de Dados Pessoais;
IV - identificação e análise de risco relativo ao tratamento de dados pessoais;
V - definição de medidas de segurança, técnicas e administrativas, aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitasde destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito;
VI - implementação da Lei nº 13.709, de 2018, dos regulamentos da ANPD e na adoção de melhores práticas para proteção de dados pessoais;
VII - análise de cláusulas contratuais com terceiros que versem sobre proteção de dados pessoais;
VIII - transferências internacionais de dados, realizadas nos termos do art. 33, da Lei nº 13.709, de 2018; e
IX - formulação e implementação de regras de boas práticas e de governança e de programa de governança em privacidade, nos termos do art. 50 da Lei nº 13.709, de 2018.
Art. 17. O encarregado deverá manter sigilo sobre as informações protegidas por lei e, quando couber, sobre os dados pessoais que tomar conhecimento em decorrência do exercício de suas atividades e atribuições.
Parágrafo único. O sigilo previsto no caput não prejudica o dever de observar o princípio da publicidade administrativa, quando aplicável, e de expor os fatos conforme a verdade e prestar as informações que lhe forem solicitadas pela ANPD ou por qualquer autoridade administrativa ou judicial competente, colaborando para o esclarecimento dos fatos.
Art. 18. O desempenho das atividades e das atribuições dispostas nos arts. 15 e 16 não confere ao encarregado a responsabilidade pela conformidade do tratamento dos dados pessoais.
Seção III
Dos Conflitos de Interesse
Art. 19. O encarregado deverá declarar ao agente de tratamento qualquer situação que possa configurar conflito de interesse, responsabilizando-se pela veracidade das informações prestadas.
Art. 20. Presume-se conflito de interesses o acúmulo da função de encarregado com aquela em que haja competência para decisões referentes ao tratamento de dados pessoais, em nome do agente de tratamento.
Art. 21. O agente de tratamento, ao indicar o encarregado, deve atentar para que este não esteja ocupando ou não passe a ocupar posição que acarrete conflito de interesses.
Parágrafo único. Uma vez constatada a possibilidade de conflito de interesses, o controlador não deverá prosseguir com a indicação ou deverá proceder a sua substituição.
Contribuições Recebidas
1129 contribuições recebidas
Para ver o teor das contribuições deve estar logado no portal