O encarregado de proteção de dados e o conflito de interesses

A conformidade com as normas de proteção de dados, tais como a Lei Geral de Proteção de Dados (LGPD — Lei nº 13.709/18), inspirada no Regulamento Geral sobre a Proteção de Dados (Regulation nº 2016/679) da Europa, já se tornou relevante nas organizações.

O encarregado é a pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).

Em relação ao modelo de contratação desse profissional, as empresas podem atribuir a função para algum colaborador ou para um grupo interno de pessoas, ou terceirizar a função (DPO as a service — DPOaaS).

Atribuições e perfil do encarregado de proteção de dados
As principais atividades desempenhadas pelo encarregado de proteção de dados (DPO) numa organização, nos termos do artigo 41, §2º, da LGPD, são: 1) aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências; 2) receber comunicações da autoridade nacional e adotar providências; 3) orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e 4) executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

Entre as demais tarefas que podem ser executadas pelo DPO, destacam-se: construir e monitorar um programa de privacidade e proteção de dados, verificar os riscos existentes associados às operações de tratamento de dados pessoais, elaborar e aprovar documentos, bem como auxiliar no desenvolvimento da cultura de proteção de dados.

Em relação ao perfil do DPO, recomenda-se que ele possua domínio das normas e práticas de proteção de dados e conhecimento de temas relacionados à tecnologia e segurança da informação, atue na prevenção de conflitos e mitigação de riscos, além de ser um profissional proativo e independente perante a organização.

É recomendável que o encarregado acumule funções?
Até o momento, apesar existir a obrigação de nomear um DPO, 26% das empresas ainda não possuem tal figura, conforme pesquisa realizada pela IAPP e EY. Como é cediço, muitas empresas possuem um orçamento limitado e precisam alocar muitos temas, como o da privacidade e proteção de dados, em profissionais já existentes na empresa.

Contudo, apesar da LGPD não prever sobre a possibilidade do acúmulo das funções do DPO, isso pode representar um alto risco numa organização, principalmente por gerar conflitos de interesse, o que afeta a capacidade de agir com independência.

Nesse cenário, uma empresa belga foi multada porque houve a identificação do conflito de interesses na atuação do DPO, visto que a investigação realizada concluiu que a nomeação de DPO da organização não cumpriu os requisitos da legislação, uma vez que o indivíduo era responsável pelo processamento de dados pessoais nas áreas de conformidade, risco e auditoria e, portanto, não podia aconselhar de forma independente sobre tais questões.

Quando pode haver o conflito de interesses?
O conflito de interesses pode ser verificado quando questões diversas (profissionais, financeiras, familiares, políticas ou pessoais) podem interferir no julgamento das pessoas ao exercerem suas ações dentro das organizações — com base na Norma de Certificação de Sistemas de Gestão de Compliance Antissuborno (NBR ISO 37001:2016).

Por isso, quando há a nomeação de um DPO interno é necessário avaliar o grau de independência do profissional no exercício de suas funções e a possibilidade de reportar a alta administração sobre as questões de privacidade e proteção de dados, sem que isso importe algum prejuízo.

A título de exemplo, as seguintes funções são suscetíveis de dar origem a um conflito de interesses com a função de DPO: secretário-geral, gerente-geral de serviços, gerente-geral, gerente operacional, gerente financeiro, diretor médico, chefe do departamento de marketing, gerente de recursos humanos ou gerente de departamento de TI, mas também outras funções em um nível inferior da estrutura organizacional se essas funções ou funções envolverem a determinação dos propósitos e meios de tratamento.

Dessa forma, é aconselhável, como boa prática, que os responsáveis pelo tratamento de dados, quando da nomeação do encarregado:

— Identifiquem os cargos que se afigurariam incompatíveis com as funções de DPO;

— Incluam uma explicação mais geral sobre os conflitos de interesses;

— Declarem que os respetivos DPO não têm conflitos de interesses no que se refere às suas funções enquanto DPO, como forma de divulgação deste requisito;

— Incluam salvaguardas no regulamento interno da organização e assegurem que o anúncio de vaga para o lugar de DPO ou o contrato de prestação de serviços seja suficientemente preciso e pormenorizado, com vista a evitar conflitos de interesses.

Referências bibliográficas
MORAES, Henrique Fabretti. Sistemas de Compliance, Programas de privacidade e o DPO como o Compliance Officer de Privacidade. In: Data Protection Officer (Encarregado): teoria e prática de acordo com a LGPD e o GDPR. BLUM, Renato Opice, VAINZOF, Rony, MORAES, Henrique Fabretti (coordenadores). São Paulo: Thomson Reuters Brasil, 2020. E-book

IAPP-FTI Consulting Annual Privacy Governance Report 2021. Disponível em: https://iapp.org/resources/article/iapp-ey-annual-privacy-governance-report-2021/.

https://edpo.com/news/dpo-and-conflict-of-interest-50-000e-fine-by-the-belgian-dpa/.

Guidelines on Data Protection Officers. Disponível em: https://ec.europa.eu/newsroom/article29/items/612.