Em 17 de julho de 2024, a Autoridade Nacional de Proteção de Dados (ANPD) publicou a Resolução CD/ANPD nº 18, que regulamenta a atuação do encarregado pelo tratamento de dados pessoais. Esta resolução traz mudanças significativas em relação à minuta de novembro de 2023, detalhando novas regras que alinham a Lei Geral de Proteção de Dados (LGPD) com práticas internacionais de proteção de dados, como as previstas no GDPR (Regulamento Geral de Proteção de Dados) da União Europeia.
Principais Aspectos da Nova Resolução
- Conflito de Interesses: A resolução destaca a importância da ética e independência do encarregado, que deve evitar conflitos de interesse. Este profissional pode acumular funções e atuar para mais de um agente de tratamento, desde que não haja conflito de interesse, garantindo que suas decisões sejam sempre imparciais e focadas na proteção dos dados pessoais.
- Nomeação e Publicização do Encarregado: A indicação do encarregado deve ser formalizada através de um ato escrito, assinado e datado. As informações de identidade e contato do encarregado devem ser divulgadas publicamente e mantidas atualizadas no site do agente de tratamento ou por outros meios de comunicação disponíveis, proporcionando transparência e acessibilidade.
- Recursos Necessários: Os agentes de tratamento são obrigados a prover os meios necessários para o exercício das atribuições do encarregado, incluindo recursos humanos, técnicos e administrativos. Além disso, deve-se garantir ao encarregado autonomia técnica e acesso às áreas da organização para executar suas funções de forma eficaz.
- Conhecimentos Mínimos e Capacitação: O encarregado deve possuir conhecimentos mínimos necessários para a função e deve receber capacitação contínua em práticas de proteção de dados pessoais, assegurando que esteja sempre atualizado com as melhores práticas e mudanças na legislação.
- Atividades e Atribuições do Encarregado: Entre as principais atividades do encarregado estão aceitar reclamações e comunicações dos titulares de dados, prestar esclarecimentos, adotar providências cabíveis, orientar funcionários e contratados, além de auxiliar na elaboração de registros de operações de tratamento e relatórios de impacto.
Comparativo com o GDPR
A nova resolução da ANPD aproxima ainda mais a LGPD do GDPR, o regulamento europeu que é referência global em proteção de dados. Algumas similaridades e diferenças notáveis incluem:
- Conflito de Interesses: Tanto o GDPR quanto a LGPD enfatizam a importância de evitar conflitos de interesse na atuação do encarregado. No GDPR, o Data Protection Officer (DPO) também deve ser independente e não receber instruções sobre o desempenho de suas funções.
- Nomeação e Publicização: O GDPR exige que a nomeação do DPO seja comunicada à autoridade supervisora e que suas informações de contato sejam divulgadas publicamente. A nova resolução da ANPD segue esta linha, exigindo formalização e divulgação pública das informações do encarregado.
- Recursos Necessários: Ambas as legislações exigem que as organizações forneçam os recursos necessários para que o DPO/encarregado desempenhe suas funções de maneira eficaz, incluindo apoio técnico e acesso às áreas da organização.
- Conhecimentos Mínimos e Capacitação: O GDPR exige que o DPO tenha conhecimentos especializados em legislação e práticas de proteção de dados. A nova resolução da ANPD também exige conhecimentos mínimos e capacitação contínua, promovendo a profissionalização da função.
- Atividades e Atribuições: As funções do DPO no GDPR incluem monitorar a conformidade com o regulamento, fornecer aconselhamento sobre a avaliação de impacto de proteção de dados e cooperar com a autoridade supervisora. A nova resolução da ANPD detalha atividades similares para o encarregado, garantindo que ele atue de forma abrangente na proteção dos dados pessoais.
Impacto para Pequenas Empresas
A resolução também traz um alívio regulatório para pequenas empresas, dispensando-as da obrigatoriedade de nomear um encarregado, desde que disponibilizem um canal de comunicação com os titulares de dados. Esta medida visa reduzir os custos regulatórios e tornar a conformidade mais acessível para negócios de menor porte, sem comprometer a segurança dos dados tratados.
Pontos Críticos e Melhorias Futuras
Apesar dos avanços significativos, há áreas que podem ser aprimoradas na regulamentação da ANPD:
- Clareza nas Diretrizes: A resolução poderia fornecer diretrizes mais detalhadas e exemplos práticos para ajudar empresas a entenderem e implementarem as novas exigências. A falta de clareza pode levar a interpretações diversas e, eventualmente, a não conformidades inadvertidas.
- Capacitação e Recursos para Pequenas Empresas: Embora a dispensa de nomeação do encarregado para pequenas empresas seja um alívio, é crucial que haja programas de capacitação e suporte acessíveis para garantir que essas empresas compreendam e implementem corretamente as práticas de proteção de dados.
- Comunicação Eficiente com a ANPD: O estabelecimento de canais mais eficientes para a comunicação entre empresas e a ANPD pode melhorar a resposta a incidentes e dúvidas regulatórias, garantindo que as empresas possam agir rapidamente em conformidade com as exigências legais.
A Resolução CD/ANPD nº 18 representa um avanço significativo na regulamentação da proteção de dados no Brasil, alinhando-se com as melhores práticas internacionais e promovendo uma cultura de conformidade. No entanto, melhorias nas diretrizes, capacitação e comunicação podem aumentar ainda mais a eficácia da regulamentação e facilitar a adoção pelas empresas brasileiras.