Quem eu (não) devo nomear como DPO da minha empresa?
30 de setembro de 2024, 19h37
A Lei Geral de Proteção de Dados apresentou ao Brasil uma nova posição corporativa: o encarregado pelo tratamento de dados pessoais. Figura já conhecida internacionalmente como DPO, o encarregado tem como suas principais atribuições o acompanhamento da conformidade da organização, e a centralização da comunicação entre empresa, autoridades e titulares de dados pessoais.
A nomeação formal de um encarregado (DPO), quando não derivada de expressa obrigação legal, é considerada como medida indicativa de boas práticas de governança e nível de conformidade. Logo, seja por obrigatoriedade ou por ação voluntária, a indicação de um encarregado é realidade para boa parte das médias e grandes empresas operantes no mercado nacional.
Por se tratar de uma posição estratégica, que demanda rápido acesso à alta administração e sólido conhecimento sobre o negócio da empresa, ao mesmo tempo que pressupõe um certo grau de autonomia, o movimento quase intuitivo é buscar alguém do corpo diretivo, chefes de setores críticos, ou até mesmo sócios, para cumular funções e assumir, também, a posição de encarregado pelo tratamento de dados pessoais.
Afinal, em uma análise prévia, nada mais racional sob o ponto de vista econômico e gerencial. Contudo, ao buscarmos referências em mercados onde este assunto encontra maior maturidade, e em diretrizes do sistema de governança corporativa, esta pode não ser a decisão mais acertada.
Risco de conflito de interesse
Sobre este ponto, recentemente, foi publicada a Resolução CN/ANPD nº 18/2024, que regulamenta as atribuições e responsabilidades inerentes à posição de encarregado. No texto, a Autoridade Nacional trouxe à tona um importante aspecto de debate: a previsão expressa do conflito de interesse como hipótese de aplicação de sanções.
No cenário europeu, onde já há uma cultura mais assentada sobre o tema, as autoridades já identificaram situações de conflito de interesse e incompatibilidade entre as funções de DPO e diretores de compliance, chefes de TI, diretores de operações, integrantes do conselho de administração, entre outros. A armadilha está na dosagem certa entre conhecimento técnico e de negócio e garantia de independência.
Portanto, aquele movimento que pode se apresentar como o mais eficiente, encontra, do outro lado da balança, um risco real de criação de conflito de interesse. O cenário fica ainda menos animador caso a empresa não disponha de ferramentas de governança capazes de mitigar esse risco. Ou seja, na tentativa de demonstrar um bom nível de conformidade, a empresa pode gerar para si um passivo quase invisível. Um passivo culposo.
DPO não é fonte de decisões
Lembre-se: o DPO é fonte de consulta, não de decisões. Um conflito de interesse é muito mais evidente quando a mesma pessoa emite opiniões legais e participa da decisão sobre uma operação de tratamento de dados.
Ainda assim, o risco permanece em situações onde o encarregado também possa influenciar nos meios, finalidades ou nos limites de um tratamento de dados feito pela empresa. Caso a estrutura da empresa seja enxuta, recomenda-se a prévia formalização de critérios para tomadas de decisão que impactem o tratamento de dados feito pela empresa, além de instrumentos capazes de atestar a realização de uma análise imparcial pelo encarregado.
Se, por outro lado, a empresa optar por um caminho de terceirização desta posição, o dever de cuidado permanece, mas sob um novo aspecto: é preciso assegurar, por exemplo, que o encarregado não atue simultaneamente para controladores e operadores envolvidos em uma mesma operação de tratamento, ou que não haja uma circunstância externa ou dever legal capaz de colocar em cheque a absoluta autonomia necessária para exercício da função.
Cabe ressaltar que o acúmulo de funções não é proibido. Pelo contrário: veio expressamente previsto como uma possibilidade na Resolução CD/ANPD nº 18/2024. Ainda assim, a linha é tênue e será verificada em cada caso concreto.
É por isso que não se pode cair na armadilha de que basta nomear alguém da organização que apresente aptidão técnica e conhecimento sobre proteção de dados, especialmente para empresas que executam tratamento de alto risco. Nessa linha, regras bem delineadas e protocolos internos que atestem a transparência na tomada de decisão têm se apresentado como medidas eficazes de governança.
Capacitação técnica e ambientação a uma figura inédita no corporativo brasileiro são fatores que podem ser construídos e aprimorados ao longo do tempo; autonomia e independência, não.
Encontrou um erro? Avise nossa equipe!