Opinião

Conflito de interesses na função de DPO, segundo a Resolução nº 18 da ANPD

Autores

  • é professora de MBA e pós graduação da FGV/Rio e dos MBAs de Gestão de Pessoas Empresarial e Comercial mestre em Direito pela USP. Doutoranda em Engenharia da Informação Inteligência Artificial pela UFABC doutora em Direito pela UBA membro do Instituto Nacional de Proteção de Dados e pesquisadora da USP de Lei Geral de Proteção de Dados.

    Ver todos os posts
  • é sócio-fundador da Datalege Consultoria Empresarial gestor de TI de grandes empresas e diretor de segurança da informação e DPO do INPD.

    Ver todos os posts

5 de novembro de 2024, 6h39

As atribuições do encarregado pelo tratamento de dados pessoais (DPO) são regidas pela Resolução CD/ANPD nº 18 da Autoridade Nacional de Proteção de Dados (ANPD) e o artigo 38 do Regulamento Geral de Proteção de Dados (GDPR). A resolução orienta sobre o papel do DPO no Brasil, alinhando-se às práticas europeias e enfatizando a importância de sua independência para prevenir conflitos de interesse.

Freepik

Um exemplo notável de conflito de interesses foi a multa de 50 mil euros imposta pela Autoridade Belga de Proteção de Dados (DPA) a uma empresa que nomeou como DPO o chefe de conformidade, auditoria e gestão de riscos em violação ao artigo 38(6) do GDPR. A sobreposição de funções impediu que o DPO atuasse de forma independente, comprometendo a imparcialidade necessária ao cargo (DPO Centre, 2024).

Outro caso resultou em uma multa de 75 mil a um banco, no qual o DPO acumulava responsabilidades em gestão de riscos e investigação, violando os artigos 38(3) e 38(6) do GDPR. A DPA destacou que o DPO deve ter acesso direto à alta administração e a participar de discussões estratégicas sem interferências, considerando a falta de salvaguardas à independência como uma grave falha de governança (Nauwelaerts, 2022).

Esses casos enfatizam a responsabilidade das empresas em assegurar que o DPO tenha autonomia para atuar imparcialmente, sem conflitos que prejudiquem a sua supervisão. A falta de conformidade pode resultar em multas significativas, refletindo a importância de uma governança rigorosa na proteção de dados pessoais (Hunton, 2024).

Atuação do Tribunal de Justiça da União Europeia

O Tribunal de Justiça da União Europeia (TJ-UE) também esclareceu critérios para conflitos de interesse no papel do DPO no caso X-FAB Dresden GmbH & Co. KG. O tribunal analisou a demissão de um DPO que também atuava como presidente do conselho de trabalhadores, comprometendo a sua independência funcional.

O TJ-UE destacou que, conforme o artigo 38 do GDPR, o DPO não deve exercer funções que influenciem a definição de finalidades e meios de tratamento de dados, pois isso comprometeria a sua objetividade na supervisão da conformidade. Essa decisão reforça a importância de preservar a independência do DPO em suas funções (TJ-UE, 2023).

Essas decisões demonstram que a autonomia do DPO é fundamental e que o TJ-UE continua a enfatizar que, mesmo com proteções adicionais contra demissões, o regulamento deve priorizar a imparcialidade do DPO, especialmente em contextos que apresentem conflitos de interesse.

De acordo com a Resolução CD/ANPD nº 18, a nomeação do DPO deve ser formal e documentada, garantindo sua independência e competência técnica. Além disso, o DPO atua como elo entre o controlador, os titulares de dados pessoais e a ANPD, sendo a sua autonomia e capacitação técnica essenciais para assegurar o respeito aos direitos dos titulares e a conformidade da organização com as normas de proteção de dados. Tanto a LGPD quanto as normas internacionais enfatizam que o DPO deve possuir independência e qualificação adequadas para desempenhar suas funções com eficácia.

Spacca

A Resolução CD/ANPD nº 18 exige que o DPO atue com independência e objetividade (artigo 18), evitando influências que comprometam sua imparcialidade, especialmente ao acumular outras funções na organização. O GDPR também permite que o DPO tenha outros cargos, desde que estes não afetem a sua supervisão independente (artigo 38(6)), garantindo que os dados sejam tratados conforme as normas de proteção de dados pessoais.

A Resolução CD/ANPD nº 18 reforça a necessidade de o DPO agir com ética e autonomia técnica (artigo 18), alinhando-se ao cenário europeu. Conforme ambas as normas o DPO deve estar desvinculado de responsabilidades que comprometam sua capacidade de decisão objetiva.

A Resolução CD/ANPD nº 18 exige que o DPO atue com ética e autonomia técnica (artigo 18), similarmente ao cenário europeu. O DPO deve relatar possíveis conflitos de interesse, e cabe à organização garantir que sua atuação seja independente. A ANPD pode impor sanções se essas funções interferirem na autonomia do encarregado.

Avaliação rigorosa para nomeação de DPO

A nomeação de diretores ou gerentes para a função de DPO requer uma avaliação rigorosa de suas atribuições, visando a evitar conflitos de interesse que comprometam a imparcialidade e independência do DPO, conforme exigido pela LGPD. Caso o diretor ou gerente esteja diretamente envolvido em decisões estratégicas ou operacionais sobre o tratamento de dados pessoais (incluindo coleta, armazenamento, uso ou compartilhamento de dados), ele não deve acumular a função de DPO, pois isso interfere em sua capacidade de monitoramento isento e supervisão adequada.

Entretanto, caso o diretor ou gerente exerça atividades estritamente operacionais, que não envolvam decisões sobre o tratamento de dados pessoais, a acumulação de funções pode ser viável. Por exemplo, um gerente administrativo cuja atuação se limita à gestão de ativos físicos (como imóveis, equipamentos e infraestrutura), sem qualquer envolvimento nas políticas de tratamento de dados pessoais, estaria apto a exercer a função de DPO. A ausência de influência direta sobre as operações de dados é indispensável para preservar a independência do DPO nesse contexto.

Uma situação clássica de conflito de interesses ocorre na designação de profissionais da área jurídica para a função de DPO, exigindo análise aprofundada, dado o risco acentuado existente. Profissionais jurídicos que representam a empresa em litígios ou processos administrativos sobre decisões de tratamento de dados pessoais enfrentam sobreposição de funções conflitantes, uma vez que o DPO, conforme a Resolução CD/ANPD nº 18 e a LGPD no Brasil, e o GDPR na União Europeia devem monitorar o cumprimento das normas de proteção de dados com total imparcialidade e independência.

A combinação entre as funções de DPO e representação jurídica compromete a neutralidade necessária ao encarregado, especialmente em contextos de defesa de decisões de tratamento de dados perante o Judiciário ou órgãos reguladores, o que limita a capacidade de análise objetiva dos riscos e a adoção de medidas corretivas adequadas. Para resguardar a integridade da função de DPO, é essencial que o encarregado não participe na defesa de questões envolvendo o tratamento de dados, preservando seu foco no monitoramento da conformidade e na proteção dos direitos dos titulares de dados, em alinhamento com os preceitos de independência e imparcialidade estabelecidos pelas normas de proteção de dados pessoais.

Multas, advertências e suspensão de atividades

A falta de observância dos princípios citados pode resultar em penalidades severas, incluindo multas, advertências e até suspensão de atividades de tratamento de dados. No Brasil, a Resolução nº 18 da ANPD prevê sanções específicas para situações de conflito de interesse, bem como diretrizes para garantir que o DPO disponha dos recursos necessários para atuar de forma independente. Além das sanções administrativas pela ANPD, a organização pode enfrentar ações judiciais por danos materiais ou morais aos titulares de dados, o que amplifica os riscos financeiros e de reputação.

A contratação de um DPO externo pode ser uma solução eficaz para assegurar a imparcialidade requerida. No entanto, a empresa deverá garantir a autonomia técnica e os recursos que ele necessita para atender plenamente às exigências da Resolução 18 da ANPD.

A Resolução CD/ANPD nº 18 alinha-se às melhores práticas internacionais, estabelecendo que o DPO deve exercer suas funções sem influências que comprometam sua imparcialidade. Casos como as multas aplicadas por autoridades estrangeiras mostram a importância de uma governança robusta em proteção de dados. As organizações brasileiras devem garantir a independência e autonomia do DPO para mitigar riscos e proteger os direitos dos titulares de dados pessoais.

Essas diretrizes reforçam que o não cumprimento dos princípios de imparcialidade pode acarretar sanções financeiras e impactos negativos na confiança dos titulares e na reputação das empresas. A adoção de práticas sólidas de governança é essencial para assegurar a conformidade e evitar penalidades.

_______________________________

Referências bibliográficas
Autoridade Nacional de Proteção de Dados (ANPD). Resolução CD/ANPD nº 18, de 16 de julho de 2024.
DPO Centre. Belgian DPA rules on DPO conflict of interest. Disponível em: https://www.dpocentre.com/news/dpo-conflict-of-interest/. Acesso em: 14 out. 2024.
NAUWELAERTS, Wim. Belgian Data Protection Authority fines bank for DPO’s conflicting roles. Alston & Bird Privacy, Cyber & Data Strategy Blog, 31 jan. 2022. Disponível em: Belgian Data Protection Authority Fines Bank for DPO’s Conflicting Roles | Alston & Bird Privacy, Cyber & Data Strategy Blog (alstonprivacy.com).Acesso em: 14 out. 2024.
Hunton, Alston & Bird. Belgian DPA Sanctions Company for Non-Compliance with the GDPR’s DPO Requirements. Hunton Privacy & Information Security Law Blog. Disponível em: https://www.huntonak.com/privacy-and-information-security-law/belgian-dpa-sanctions-company-for-non-compliance-with-the-gdprs-dpo-requirements. Acesso em: 14 out. 2024.
TJUE. Acórdão do Tribunal de Justiça (Sexta Secção) de 9 de fevereiro de 2023. Reenvio prejudicial- Proteção das pessoas singulares no tratamento de dados pessoais – Regulamento (UE) 2016/679 – Encarregado da proteção de dados – Proibição de destituição. Processo C-453/21, X-FAB Dresden GmbH & Co. KG v FC. Disponível em: https://eur-lex.europa.eu/legal-ontent/PT/TXT/HTML/?uri=CELEX:62021CA0453. Acesso em: 14 out. 2024.
Regulamento (UE) 2016/679, de 27 de abril de 2016. Regulamento Geral sobre a Proteção de Dados (GDPR).

Autores

  • é pós-doutora em Direito do Trabalho, doutora em Engenharia da Informação em Inteligência Artificial, doutora em Direito do Trabalho, mestre em Direito, professora autora das disciplinas Proteção de Dados, Compliance Trabalhista e Lei Geral de Proteção de Dados da Fundação Getúlio Vargas (FGV) e diretora do Instituto Nacional de Proteção de Dados (INPD).

  • é sócio-fundador da Datalege Consultoria Empresarial, gestor de TI de grandes empresas e diretor de segurança da informação e DPO do INPD.

Encontrou um erro? Avise nossa equipe!