Com o aumento das exigências regulatórias pela ANPD sobre o tratamento de dados pessoais, a nomeação de um Encarregado de Dados e o seu suplente através de um ato formal tornou-se uma obrigação legal para muitas empresas.
O encarregado, além de atuar como intermediário na comunicação com a ANPD, deve também orientar os colaboradores e contratados do agente de tratamento sobre as medidas a serem adotadas para garantir a proteção dos dados pessoais.
O Guia Orientativo da Atuação do Encarregado de Dados Pessoais, publicado pela ANPD em dezembro de 2024, detalha as melhores práticas e as diretrizes para a nomeação e atuação do Encarregado de Dados, com o objetivo fornecer uma orientação clara para as empresas, tanto sobre as responsabilidades desse profissional quanto sobre as exigências da LGPD.
Observe alguns critérios que devem ser levados em consideração para a escolha adequada no momento da nomeação de um Encarregado de Dados:
- Conhecimento técnico e jurídico. O encarregado precisa entender as obrigações legais impostas pela LGPD, incluindo o ciclo de vida dos dados pessoais na empresa e os direitos dos titulares, como o direito de acesso, correção e eliminação dos dados.
- Não ser sócio(a) da empresa e não ocupar cargos de liderança, principalmente na área de Gestão de Pessoas. Para garantir a conformidade com a LGPD e atuar com transparência, o Encarregado de Dados deve gozar de uma certa independência dentro da estrutura organizacional. Ele deve ter autonomia para realizar avaliações e propor melhorias sem sofrer pressões externas que possam comprometer sua imparcialidade.
- Capacidade de comunicação. Este profissional deve ser capaz de comunicar claramente as obrigações de proteção de dados para todos os níveis da organização. Além disso, ele precisa ter habilidade para desenvolver programas de conscientização e treinamentos internos, garantindo que todos os colaboradores compreendam a importância do tratamento seguro de dados pessoais.
- Capacidade de gestão de riscos e processos. O Encarregado de Dados precisa ser capaz de identificar e gerenciar riscos relacionados ao tratamento de dados pessoais, além de implementar processos eficazes para mitigar tais riscos. Isso inclui a realização de auditorias periódicas, análises de impacto sobre a proteção de dados e o desenvolvimento de políticas internas que garantam a conformidade com as normas de proteção de dados.
As faltas, os impedimentos e a possível vacância do encarregado não poderão representar barreiras para o exercício dos direitos dos titulares de dados pessoais ou para o atendimento às comunicações da ANPD. Nessas situações, suas responsabilidades deverão ser assumidas por um substituto oficialmente indicado pelo agente de tratamento, devendo ser observado os mesmos procedimentos e requisitos seguidos quando da indicação do titular.
A identidade e as informações de contato do encarregado devem ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no sítio eletrônico do controlador.
