O Encarregado pelo tratamento de dados pessoais, também conhecido como DPO (Data Protection Officer) na legislação europeia, desempenha um papel crucial nas organizações dentro da proteção dos dados pessoais, da privacidade, e na conformidade com leis de proteção de dados no Brasil, como a mais conhecida Lei Geral de Proteção de Dados Pessoais (LGPD).

A nomeação desse Encarregado deve ser formalizada e deve seguir um processo estruturado para garantir clareza e conformidade com a LGPD. Aqui estão alguns passos recomendados para realizar essa nomeação:

1. Deverá ser indicado pelo Controlador dos dados pessoais.
2. A identidade e as informações de contato do Encarregado deverão ser divulgadas publicamente, de forma clara e objetiva em seu site eletrônico, ou, caso não tiver, em outros canais de comunicação.
3. Após decisão interna, a nomeação deve ser feita através de documento formal, como uma Carta de Nomeação ou um Memorando oficial, que preferencialmente deve conter uma descrição clara das responsabilidades e atribuições do Encarregado.
4. Independentemente de ser pessoa física ou jurídica, o Encarregado deve ter conhecimento suficiente sobre Proteção de Dados e Privacidade, e a organização deve garantir que o Encarregado tenha acesso às informações e recursos necessários para desempenhar suas funções de forma eficaz e independente.
5. Lembrando que o Encarregado deve cumprir com algumas exigências, tais como: possuir conhecimento sobre proteção de dados e privacidade para desempenhar as funções, considerando o volume e riscos das operações de tratamento realizadas, e ainda, ser capaz de se comunicar em língua portuguesa com os titulares de dados e com a ANPD.

Até então, não se falava ainda, formalmente, em um Encarregado substituto, apesar de já ser uma prática recomendada para garantir que as responsabilidades do Encarregado sejam contínuas, mesmo em sua ausência.

Em 16/07/2024 foi publicada a Resolução CD/ANPD – 18/2024, que aprovou o Regulamento sobre a atuação do Encarregado pelo tratamento de dados pessoais. Um dos principais pontos trazidos nesse Regulamento é justamente a exigência de indicação formal de um Encarregado substituto:

Art. 4º Nas ausências, impedimentos e vacâncias do encarregado, a função será exercida por substituto formalmente designado.

O Regulamento não especificou quem é o responsável por indicar formalmente o Encarregado substituto, então partindo do pressuposto que, pela LGPD, o Controlador deve indicar o Encarregado primário, ele também será o responsável pela indicação do Encarregado Substituto. Neste caso, se o Controlador já souber quem indicar, ambos os nomes e contatos podem constar na carta de nomeação formalmente designada.

Outro ponto importante que não foi detalhado pelo Regulamento, é o prazo para essa nomeação do Encarregado substituto. Portanto, nos casos de ausência do Encarregado primário, o Encarregado substituto deverá ser formalmente notificado e divulgado internamente com qual prazo de antecedência? Essa dúvida ainda não foi eaclarecida.

Melhores Práticas:

Planejamento Antecipado: Sempre que possível, tenha um plano de contingência para a nomeação de encarregado substituto, que inclua procedimentos claros para lidar com ausências inesperadas ou mudanças.

Documentação Formal: Certifique-se de que a nomeação do encarregado substituto seja formalizada e documentada, com um comunicado claro sobre o período de atuação e responsabilidades. Recomendamos que a indicação do Encarregado substituto seja feita no mesmo documento de nomeação do Encarregado primário.

Treinamento e Preparação: Garanta que o Encarregado substituto receba o treinamento necessário e esteja preparado para desempenhar suas funções de forma eficaz.

Embora não haja um prazo definido, a antecipação e a preparação são fundamentais para garantir a continuidade das funções de proteção de dados e a conformidade com a legislação. Após a nomeação do Encarregado substituto, é importante comunicar a todos sobre a mudança, especialmente se o substituto atuar por um período prolongado.

Gisele Truzzi

Advogada especialista em Direito Digital. Fundadora de “Gisele Truzzi Tech Legal Advisory”.

Flora Santiago

Advogada e DPO em “Gisele Truzzi Tech Legal Advisory”, especialista em Privacidade e Proteção de Dados.