RESOLUÇÃO CD/ANPD Nº 18, DE 16 DE JULHO DE 2024
Aprova o Regulamento sobre a atuação do encarregado pelo tratamento de dados pessoais.
O CONSELHO DIRETOR DA AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS (ANPD), no uso de suas atribuições legais, considerando o disposto nos arts. 41, § 3º e 55-J, inciso XIII, da Lei nº 13.709, de 14 de agosto de 2018, bem como a deliberação tomada nos autos do processo nº 00261.000226/2022-53, resolve:
Art. 1º Fica aprovado o Regulamento sobre a atuação do encarregado pelo tratamento de dados pessoais, na forma do Anexo desta Resolução.
Art. 2º Esta Resolução entra em vigor na data de sua publicação.
WALDEMAR GONÇALVES ORTUNHO JUNIOR
Diretor-Presidente
ANEXO
REGULAMENTO SOBRE A ATUAÇÃO DO ENCARREGADO PELO TRATAMENTO DE DADOS PESSOAIS
CAPÍTULO I
DISPOSIÇÕES PRELIMINARES
Art. 1º Este Regulamento estabelece normas complementares sobre a indicação, a definição, as atribuições e a atuação do encarregado, de que trata a Lei nº 13.709, de 14 de agosto de 2018.
Art. 2º Para fins deste Regulamento adotam-se as seguintes definições:
I - agentes de tratamento: o controlador e o operador;
II - conflito de interesse: a situação que possa comprometer, influenciar ou afetar, de maneira imprópria, a objetividade e o julgamento técnico no desempenho das atribuições do encarregado;
III - controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
IV - dado pessoal: informação relacionada a pessoa natural identificada ou identificável;
V - encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);
VI - operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
VII - titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento; e
VIII - tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
CAPÍTULO II
DOS AGENTES DE TRATAMENTO
Seção I
Da Indicação do Encarregado
Art. 3º A indicação do encarregado deve ser realizada por ato formal do agente de tratamento, do qual constem as formas de atuação e as atividades a serem desempenhadas.
§ 1º Entende-se por ato formal o documento escrito, datado e assinado, que, de maneira clara e inequívoca, demonstre a intenção do agente de tratamento em designar como encarregado uma pessoa natural ou uma pessoa jurídica.
§ 2º O documento referido no caput deverá ser apresentado à ANPD, quando solicitado.
§ 3º Os Agentes de Tratamento de Pequeno Porte dispensados de indicar encarregado devem disponibilizar um canal de comunicação com o titular de dados, nos termos do art. 11 do Regulamento de aplicação da LGPD para Agentes de Tratamento de Pequeno Porte, aprovado pela Resolução CD/ANPD nº 2, de 27 de janeiro de 2022.
Art. 4º Nas ausências, impedimentos e vacâncias do encarregado, a função será exercida por substituto formalmente designado.
Parágrafo único. As situações referidas no caput não poderão consistir em obstáculos para o exercício dos direitos dos titulares ou para o atendimento às comunicações da ANPD.
Art. 5º As pessoas jurídicas de direito público referidas no art. 1º, parágrafo único, da Lei nº 12.527, de 18 de novembro de 2011, deverão indicar encarregado quando realizarem operações de tratamento de dados pessoais, recaindo a indicação, preferencialmente, sobre servidores ou empregados públicos detentores de reputação ilibada.
§ 1º A indicação deverá ser publicada em Diário Oficial da União, do Estado, do Distrito Federal ou do Município, a depender da esfera de atuação do agente de tratamento.
§ 2º Entes despersonalizados da Administração Pública que detenham obrigações típicas de controlador poderão indicar encarregado próprio, considerando o contexto e o volume dos tratamentos de dados pessoais realizados e a necessidade de desconcentração administrativa, observadas as obrigações previstas neste Regulamento.
§ 3º A indicação de encarregado nos termos do § 2º faz presumir sua competência sobre toda a estrutura organizacional subordinada ao órgão, exceto em caso de ressalva expressa no ato de indicação.
Art. 6º A indicação de encarregado por operadores é facultativa e será considerada política de boas práticas de governança para fins do disposto no art. 52, § 1º, inciso IX, da Lei nº 13.709, de 14 de agosto de 2018, e no art. 13, inciso II, do anexo da Resolução CD/ANPD nº 4, de 24 de fevereiro de 2023, desde que observadas as normas deste Regulamento.
Art. 7º Cabe ao agente de tratamento estabelecer as qualificações profissionais necessárias para o desempenho das atribuições do encarregado, considerando seus conhecimentos sobre a legislação de proteção de dados pessoais, bem como o contexto, o volume e o risco das operações de tratamento realizadas.
Seção II
Da Identidade e das Informações de Contato do Encarregado
Art. 8º O agente de tratamento deverá divulgar e manter atualizadas a identidade e as informações de contato do encarregado.
Art. 9º A identidade e as informações de contato do encarregado deverão ser divulgadas publicamente, de forma clara e objetiva, em local de destaque e de fácil acesso, no sítio eletrônico do agente de tratamento, ressalvada a hipótese do § 3º deste artigo.
§ 1º A divulgação da identidade do encarregado abrangerá, no mínimo:
I - o nome completo, se for pessoa natural; ou
II - o nome empresarial ou o título do estabelecimento, bem como o nome completo da pessoa natural responsável, se pessoa jurídica.
§ 2º A divulgação das informações de contato do encarregado abrangerá, no mínimo, os dados referentes aos meios de comunicação que viabilizem o exercício dos direitos dos titulares junto ao controlador e possibilitem o recebimento de comunicações da ANPD.
§ 3º O agente de tratamento que não possuir sítio eletrônico poderá realizar a divulgação da identidade e das informações de contato do encarregado por quaisquer outros meios de comunicação disponíveis, especialmente aqueles usualmente utilizados para contato com os titulares.
Seção III
Dos Deveres dos Agentes de Tratamento
Art. 10. O agente de tratamento deverá
I - prover os meios necessários para o exercício das atribuições do encarregado, neles compreendidos, entre outros, recursos humanos, técnicos e administrativos;
II - solicitar assistência e orientação do encarregado quando da realização de atividades e tomada de decisões estratégicas referentes ao tratamento de dados pessoais;
III - garantir ao encarregado a autonomia técnica necessária para cumprir suas atividades, livre de interferências indevidas, especialmente na orientação a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;
IV - assegurar aos titulares meios céleres, eficazes e adequados para viabilizar a comunicação com o encarregado e o exercício de direitos;
V - garantir ao encarregado acesso direto às pessoas de maior nível hierárquico dentro da organização, aos responsáveis pela tomada de decisões estratégicas que afetem ou envolvam o tratamento de dados pessoais, bem como às demais áreas da organização.
Art. 11. O agente de tratamento é o responsável pela conformidade do tratamento dos dados pessoais, nos termos da Lei nº 13.709, de 14 de agosto de 2018.
CAPÍTULO III
DO ENCARREGADO
Seção I
Das Características
Art. 12. O encarregado poderá ser:
I - uma pessoa natural, integrante do quadro organizacional do agente de tratamento ou externo a esse; ou
II - uma pessoa jurídica.
Art. 13. O encarregado deverá ser capaz de comunicar-se com os titulares e com a ANPD, de forma clara e precisa e em língua portuguesa.
Art. 14. O exercício da atividade de encarregado não pressupõe a inscrição em qualquer entidade nem qualquer certificação ou formação profissional específica.
Seção II
Das Atividades e das Atribuições
Art. 15. As atividades do encarregado consistem em:
I - aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências cabíveis;
II - receber comunicações da ANPD e adotar providências;
III - orientar os funcionários e os contratados do agente de tratamento a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
IV - executar as demais atribuições determinadas pelo agente de tratamento ou estabelecidas em normas complementares.
Parágrafo único. Ao receber comunicações da ANPD, o encarregado deverá adotar as medidas necessárias para o atendimento da solicitação e para o fornecimento das informações pertinentes, adotando, entre outras, as seguintes providências:
I - encaminhar internamente a demanda para as unidades competentes;
II - fornecer a orientação e a assistência necessárias ao agente de tratamento; e
III - indicar expressamente o representante do agente de tratamento perante a ANPD para fins de atuação em processos administrativos, quando esta função não for exercida pelo próprio encarregado.
Art. 16. Cabe, ainda, ao encarregado, nos termos do art. 10, inciso II, deste Regulamento, prestar assistência e orientação ao agente de tratamento na elaboração, definição e implementação, conforme o caso, de:
I - registro e comunicação de incidente de segurança;
II - registro das operações de tratamento de dados pessoais;
III - relatório de impacto à proteção de dados pessoais;
IV - mecanismos internos de supervisão e de mitigação de riscos relativos ao tratamento de dados pessoais;
V - medidas de segurança, técnicas e administrativas, aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito;
VI - processos e políticas internas que assegurem o cumprimento da Lei nº 13.709, de 14 de agosto de 2018, e dos regulamentos e orientações da ANPD;
VII - instrumentos contratuais que disciplinem questões relacionadas ao tratamento de dados pessoais;
VIII - transferências internacionais de dados;
IX - regras de boas práticas e de governança e de programa de governança em privacidade, nos termos do art. 50 da Lei nº 13.709, de 14 de agosto de 2018;
X - produtos e serviços que adotem padrões de design compatíveis com os princípios previstos na LGPD, incluindo a privacidade por padrão e a limitação da coleta de dados pessoais ao mínimo necessário para a realização de suas finalidades; e
XI - outras atividades e tomada de decisões estratégicas referentes ao tratamento de dados pessoais.
Art. 17. O desempenho das atividades e das atribuições dispostas nos arts. 15 e 16 não confere ao encarregado a responsabilidade, perante a ANPD, pela conformidade do tratamento dos dados pessoais realizado pelo controlador.
Seção III
Do Conflito de Interesse
Art. 18. O encarregado deverá atuar com ética, integridade e autonomia técnica, evitando situações que possam configurar conflito de interesse.
Art. 19. O encarregado poderá acumular funções e exercer as suas atividades para mais de um agente de tratamento, desde que seja possível o pleno atendimento de suas atribuições relacionadas a cada agente de tratamento e inexista conflito de interesse.
§ 1º O conflito de interesse pode se configurar:
I - entre as atribuições exercidas internamente em um agente de tratamento ou no exercício da atividade de encarregado em agentes de tratamento distintos; ou
II - com o acúmulo das atividades de encarregado com outras que envolvam a tomada de decisões estratégicas sobre o tratamento de dados pessoais pelo controlador, ressalvadas as operações com dados pessoais inerentes às atribuições do encarregado.
§ 2º A existência de conflito de interesse será objeto de verificação no caso concreto e poderá ensejar a aplicação de sanção ao agente de tratamento nos termos do art. 52 da Lei nº 13.709, de 14 de agosto de 2018.
Art. 20. O encarregado deverá declarar ao agente de tratamento qualquer situação que possa configurar conflito de interesse, responsabilizando-se pela veracidade das informações prestadas.
Art. 21. O agente de tratamento deve atentar para que o encarregado não exerça atribuições que acarretem conflito de interesse.
Parágrafo único. Uma vez constatada a possibilidade de conflito de interesse, o agente de tratamento deverá adotar as seguintes providências, conforme o caso:
I - não indicar a pessoa para exercer a função de encarregado;
II - implementar medidas para afastar o risco de conflito de interesse; ou
III - substituir a pessoa designada para exercer a função de encarregado.