Resumo:
A Resolução CD/ANPD nº 18/2024, publicada em 17/07/2024, aprova o Regulamento sobre a atuação do encarregado de proteção de dados pessoais. A norma detalha a indicação, atribuições e responsabilidades do encarregado conforme a Lei Geral de Proteção de Dados (LGPD). Empresas precisam ajustar suas práticas de governança e proteção de dados para se adequarem à nova regulamentação. A seguir, explicamos os principais pontos e seus impactos.
A Resolução CD/ANPD nº 18/2024, publicada no Diário Oficial da União (DOU) em 17 de julho de 2024, aprova o regulamento sobre a atuação do encarregado de proteção de dados pessoais, detalhando como as empresas devem indicar, definir e supervisionar esse profissional, conforme previsto na Lei Geral de Proteção de Dados (LGPD), Lei nº 13.709/2018.
Principais Pontos do Regulamento
1. Indicação do Encarregado
As empresas, denominadas agentes de tratamento, devem formalmente indicar um encarregado de proteção de dados que pode ser um funcionário da empresa ou um terceiro contratado, como uma pessoa jurídica. Isso dá mais flexibilidade na escolha do profissional responsável. Além disso:
- A indicação do encarregado deve ser documentada formalmente, estabelecendo suas funções e atividades.
- Em caso de ausências, a empresa deve designar um substituto formal para garantir a continuidade das responsabilidades.
- As qualificações do encarregado devem ser compatíveis com o contexto, volume e riscos das operações de tratamento de dados da empresa.
O encarregado deve atuar com ética e autonomia técnica, evitando conflitos de interesse. Ele pode acumular funções e trabalhar para mais de uma empresa, desde que não haja conflito de interesse e seja possível desempenhar suas responsabilidades adequadamente para cada agente de tratamento.
2. Dispensa para Pequenas Empresas
Empresas de pequeno porte, como microempresas e startups, estão dispensadas da obrigatoriedade de indicar um encarregado de proteção de dados. No entanto, essas empresas ainda precisam manter um canal de comunicação disponível para que os titulares de dados possam exercer seus direitos previstos pela LGPD.
3. Conformidade com a LGPD
Para garantir a conformidade com a LGPD, o regulamento destaca que as empresas devem adotar boas práticas de governança no tratamento de dados pessoais. Algumas recomendações são:
- Mapeamento detalhado dos processos de tratamento de dados, identificando possíveis riscos e implementando medidas de segurança.
- Capacitação dos colaboradores sobre a importância da proteção de dados e suas responsabilidades.
- Criação de políticas internas claras que definam o tratamento dos dados pessoais, com um programa de governança em privacidade que implemente supervisão, mitigação de riscos e controle de compliance.
4. Outras Obrigações
A empresa, como agente de tratamento, é responsável pela conformidade com a LGPD. Isso inclui a obrigação de fornecer informações claras aos titulares sobre o uso dos dados, além de garantir que o tratamento de dados seja feito de maneira ética e dentro dos parâmetros estabelecidos pela legislação.
