Recentemente, uma notícia que causou grande discussão entre aqueles que estudam Direito Digital foi a decisão da Autoridade de Proteção de Dados da Bélgica de condenar uma empresa belga pelo acúmulo ilegal das funções de Data Protection Officer (DPO) e o Compliance Officer. 

DPO x Compliance Officer

Primeiramente, sobre as funções:  

  • o Data Protection Officer (DPO), chamado de Encarregado de Dados aqui no Brasil, é a pessoa física ou jurídica (DPO as a serviceindicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).  
  • o Compliance Officer é, de forma bem resumida, o profissional responsável por garantir que todos os regulamentos internos e externos à empresa sejam cumpridos. 

O caso iniciou-se com um incidente de segurança, o que demandou uma investigação pela Autoridade de Proteção de Dados Belga a respeito das práticas de segurança de dados utilizadas pela empresa. 

No decorrer da investigação, a Autoridade concluiu pela impossibilidade de cumulação das funções de DPO e Compliance Officersob o argumento de que as rotinas de compliance dentro da empresa demandam tratamento relevante e constante de dados pessoaise, ao exercer cumulativamente a função de DPO, não haveria uma supervisão independente deste, configurando, assim, um conflito de interesses entre as funções mencionadas.   

Sob o fundamento da existência de um conflito de interesses entre as funções mencionadas, a Autoridade de Proteção de Dados Bega aplicou a maior sanção pecuniária de 50 mil euros, a maior sanção administrativa já registrada pela autoridade belga. 

A grande questão é saber se a decisão foi ou não mais rigorosa do que deveria considerando os atos normativos existentes, quais sejam: 

  • art. 38.6 do GDPR (Regulamento Geral de Proteção de Dados da União Europeia) diz que “o encarregado da proteção de dados pode exercer outras funções e atribuições. O responsável pelo tratamento ou o subcontratante assegura que essas funções e atribuições não resultam num conflito de interesses”. 
  • As Guidelines on Data Protection Officer do Grupo de Trabalho do Artigo 29, editada em 13.12.2016, em que pese orientar que a avaliação de conflito de interesse deve ser feita caso a caso, não trata especificamente sobre incompatibilidade de interesses entre DPO e Compliance Officer. 

Há de se registrar que muitas empresas na Europa — e algumas aqui no Brasil — já haviam nomeado como DPO a mesma pessoa encarregada pelo compliance na organização. Até porque, até esse momento, não havia entendimento ou legislação que implicasse nessa proibição. 

E aqui no Brasil? 

Lei Geral de Proteção de Dados (LGPD) também fala sobre o acúmulo de funções e conflito de interesses do DPO? Não, a LGPD é omissa quanto a essa questão, o que pode levar a conclusão de que tal cumulação de funções seria permitida. 

Contudo, muitos das dúvidas relacionadas às atividades do DPO devem ser dirimidas pela nossa Autoridade Nacional de Proteção de Dados (ANPD), que até este momento ainda não foi constituída.  

Mas, diga-se de passagem, que há uma forte influência do direito europeu aqui na nossa legislação de proteção de dados, de modo que a conclusão desse caso, pendente de recurso, deve reverberar aqui no Brasil. 

Como evitar que haja conflito de interesse na atividade do DPO? 

Primeiramente, é importante prezar pela independência do DPO na execução de suas funções, o que envolve um canal direto com as lideranças da empresa, deter de aparato material e humano para realizar de forma adequada e satisfatória suas funções, e que, visando uma análise técnica e mais isenta na supervisão de algumas atividades (RH, compliance, vendas, marketing, etc), ele não deve estar inerido em áreas estruturais. 

Aqui, independentemente do porte da empresa (até porque para empresas pequenas às vezes não é possível financeiramente uma área autônoma para o DPO), deve-se prezar por uma efetiva atividade do DPO, não apenas no papel, e, ao mesmo tempo, que sejam criadas ferramentas para dirimir os possíveis conflitos de interesses. 

 

Ficou com alguma dúvida sobre o assunto? Deixe seu comentário abaixo!

 

Veja mais: Instrução Normativa elenca requisitos para o exercício do cargo de Encarregado