Temos sido frequentemente procurados por clientes que buscam esclarecer dúvidas sobre a questão do conflito de interesses do Encarregado (o DPO - Data Protection Officer). Diante da relevância do tema, elaboramos este artigo com o objetivo de elucidar os principais pontos relacionados ao conflito de interesses, abordando o que pode caracterizá-lo, quais cuidados devem ser tomados e as medidas que podem ser implementadas para afastar ou minimizar esse conflito.
A Lei Geral de Proteção de Dados (LGPD) e a Resolução nº 18 da Autoridade Nacional de Proteção de Dados (ANPD) estabelecem a importância da independência e da ausência de conflitos de interesses para o adequado desempenho da função do DPO. No entanto, a identificação precisa do que configura um conflito de interesses e as melhores práticas para evitá-lo ainda geram muitas dúvidas.
Neste artigo, exploraremos os principais cargos e funções que podem gerar conflitos de interesses para o DPO, e apresentaremos algumas medidas que as organizações podem adotar para demonstrar a independência e a efetividade do DPO, promovendo a conformidade com a LGPD e a proteção dos dados pessoais cujo tratamento lhe foram confiados.
A Independência do DPO
O papel do DPO está previsto nos artigos 5º, inciso VIII, e 41 da LGPD e foi regulado pela Resolução nº 18 (Regulamento) da ANPD. Dentre as diversas atividades e atribuições do DPO previstas no Regulamento, cabe a este o papel de aconselhar e informar sua organização sobre a legislação e práticas aplicáveis a privacidade e proteção de dados, assessorar sobre avaliações de risco e de impacto à proteção de dados pessoais, orientar sobre a implementação de mecanismos internos de supervisão e de mitigação e riscos e sobre medidas de segurança, técnicas e administrativas, aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito, e ainda, atuar como ponto de contato entre a organização e a ANPD e os titulares de dados.
Para exercer este papel, a independência e a ausência de conflitos de interesses são elementos fundamentais, conforme estabelecido no artigo 18 do regulamento, que afirma que o encarregado deverá atuar com ética, integridade e autonomia técnica, evitando situações que possam configurar conflito de interesse.
Nos termos do Regulamento, as atribuições do DPO devem estar formal e expressamente definidas em um contrato de serviço (DPO externo) ou em carta de nomeação formal com a descrição de cargo (DPO interno), devendo ser comunicado internamente para a organização.
Na estrutura de governança da organização, o DPO deve ser reconhecido como independente pela alta administração e receber apoio para realizar todas as suas atribuições, desde verificações de conformidade até investigações pós-violação ou de fiscalização, sem receber quaisquer instruções que possam impedir ou influenciar o processo ou o resultado de tais tarefas.
Ademais, a organização deve proporcionar um nível apropriado de recursos, que sejam adequados para que o DPO possa atender as demandas da organização.
Acúmulo de cargos que podem caracterizar Conflito de Interesses
Embora seja considerado aceitável que a pessoa nomeada como DPO tenha outras tarefas e deveres além do papel de DPO, essas funções não devem gerar conflitos de interesses.
Um cargo de alta gerência, por exemplo, implica na tomada de decisões sobre as finalidades e os meios do tratamento de dados pessoais. Os cargos de gestão devem sempre considerar os interesses econômicos como prioridade e buscar o controle de custos, o que pode, por vezes, impactar negativamente os titulares dos dados.
Um cargo em um nível inferior na organização ainda pode enfrentar conflitos de papéis, pois pode ter que autofiscalizar suas próprias atividades e seu nível de conformidade. Gestores de TI ou de marketing, por exemplo, tomam decisões importantes sobre o uso de sistemas ou práticas de marketing que impactam como os dados pessoais serão tratados ou protegidos. Caso tais gestores acumulem a função de DPO, cuja função é orientar e verificar os mecanismos e práticas que visem a proteção dos dados dos titulares, se muito difícil defender que as decisões, quaisquer que sejam elas, foram tomadas de forma isenta e independente.
A partir dessa premissa, podemos elencar uma série de funções que poderiam caracterizar conflito de interesses para o DPO. Exemplos de funções adicionais conflitantes:
● CIO, ou Chief Information Officer, responsável por toda a área de TI de uma empresa. É a pessoa que define a estratégia de TI, onde os dados residem, quem os acessa e como, e qual infraestrutura usar;
● CISO, ou Chief Information Security Officer. É a pessoa que cuida da cibersegurança de uma empresa, tendo como foco principal proteger informações e dados;
● CLO, Chief Legal Officer, ou Gerente do Departamento Jurídico, que é quem equilibra os interesses de sua organização com o que é permitido e/ou possível sob a lei aplicável.
● Gerentes de Departamentos, incluindo Compliance, que são os que determinam como os dados pessoais são usados dentro de suas áreas e equipes para atingir seus objetivos de negócios.
Como Evitar a Criação de um Conflito de Interesses
Um DPO pode ser um colaborador da empresa ou um prestador de serviços terceirizado, um consultor externo. Independentemente que desempenhará a função de DPO, a empresa deverá:
● Identificar os cargos dentro da organização que seriam incompatíveis com a função de DPO;
● Elaborar regras internas para evitar conflitos de interesses do DPO, bem como mecanismos de validação das decisões relacionas a assuntos mais sensíveis, caso haja acúmulo de funções;
● Garantir que, em caso de vacância da função de DPO, a vaga seja preenchida por um DPO substituto preparado, sendo este um requisito formal previsto no Regulamento da ANPD;
● Disponibilizar ao DPO recursos financeiros e autonomia para contratar sua própria assessoria jurídica, caso seja necessária uma opinião alternativa à da organização;
● Garantir que o DPO tenha acesso e reporte direto à alta administração (incluindo o conselho de administração).
O DPO externo, que desempenha a função com base em um contrato de serviço como consultor, também pode se ver em situações que caracterizem conflito de interesses, principalmente nos relacionamentos com outros clientes e contrapartes. Também não é aconselhável que o DPO externo represente judicialmente a organização em casos relacionados a questões de proteção de dados, quando os fatos relacionados na ação estejam diretamente ligados às suas funções como DPO. É importante que tais ressalvas e questões sejam abordadas no contrato de prestação de serviços firmado com a organização.
Tiago Silveira Camargo é responsável pelas áreas de direito digital, privacidade e proteção de dados, contratos empresariais, imobiliário e legal design do IW Melcheds Advogados e possui especial expertise no campo contratual e atendendo companhias do setor de franquias. Possui LLM em Direito Contratual pelo Insper e é pós-graduado em Direito Digital, Design de Contratos e Proteção de Dados pela GV-Law. Foi membro da Comissão de Informática Legal do Conselho Federal da OAB, do comitê jurídico da Associação Brasileira de Franquias (ABF) e Conselheiro Vice-Presidente da Câmara Brasileira de Comércio Eletrônico (Camara-e.net). É reconhecido pelo ranking Análise Advocacia com destaque em contratos empresariais, digital, e nos setores de alimentos e bebidas, eletroeletrônico, máquinas e equipamentos e saúde.
Os artigos e reportagens assinadas não refletem necessariamente a opinião da editora, sendo de responsabilidade exclusiva dos respectivos autores.