Em julho de 2024, a Autoridade Nacional de Proteção de Dados (ANPD) publicou a RESOLUÇÃO CD/ANPD Nº 18/2024 que “aprova o Regulamento sobre a atuação do encarregado pelo tratamento de dados pessoais”, carinhosamente chamado de Regulamento do Encarregado (DPO).
O documento esclarece alguns pontos pendentes na LGPD, embora, ao meu ver, não traga nada de muito novo, sobretudo se considerarmos a inspiração da ANPD nas autoridades europeias.
Em um quadro de constante e gradual (para não dizer lento) amadurecimento em relação ao tema, empresas brasileiras se encontram em cenários bastante diversos:
Há aquelas que sequer sabem da obrigação legal de nomeação de um DPO (ou da sua dispensa, se consideradas agentes de pequeno porte);
Aquelas que nomearam um DPO para fins meramente formais e de cumprimento legal (“para inglês ver”); e
Aquelas que nomearam um DPO que de fato cumpre - ou tenta cumprir - as funções determinadas pela LGPD e pela empresa (agente de tratamento).
Nos dois últimos casos, no entanto, tem sido bastante comum a nomeação de um sócio como DPO. Ou, ainda, um funcionário, originalmente contratado para outro cargo, acumulando a função original com essa nova responsabilidade.
Ocorre que a Resolução da ANPD, mencionada acima, reforçou uma questão bastante relevante em relação à figura do Encarregado. Além de conhecimento da legislação e autonomia técnica na sua atuação, deve ser garantida a ausência de conflito de interesse.
“Art. 18. O encarregado deverá atuar com ética, integridade e autonomia técnica, evitando situações que possam configurar conflito de interesse.”
Risco trabalhista?
Uma breve consideração: no caso de funcionários nomeados, não podemos ignorar o risco trabalhista, caso o profissional não tenha sido contratado especificamente para essa função.
É importante lembrar que, em 2022, a função de Encarregado foi reconhecida pelo Ministério do Trabalho como uma ocupação inscrita na Classificação Brasileira de Ocupações, recebendo o CBO n° 142135 (Oficial de proteção de dados pessoais - dpo).
Dessa forma, a nomeação de funcionário poderá configurar acúmulo ou desvio de função, sujeita à rescisão indireta do contrato e indenização devida ao colaborador.
Resultado semelhante poderá ocorrer em relação aos contratados na modalidade PJ (prestação de serviços), caso não haja previsão do desempenho dessas atividades no objeto do contrato.
Afinal, o que é conflito de interesse neste caso?
Voltando ao tema inicial, a Resolução da ANPD prevê que poderá haver conflito de interesse, no caso de acúmulo das funções de Encarregado com outras responsabilidades, quando as demais atividades desempenhadas pelo profissional envolverem “a tomada de decisões estratégicas sobre o tratamento de dados pessoais” pela empresa (Agente de tratamento - Controlador de dados).
Por tomada de decisões temos a definição dos objetivos e as formas de tratamento de dados pessoais, por exemplo, além de outros elementos essenciais.
Gosto de uma metáfora sobre essa questão que li em um artigo certa vez. Imagine uma situação onde a mesma pessoa fosse o técnico de um time de futebol e o árbitro da partida.
Um cenário bastante questionável, para não se dizer impossível, não é?
Agora imagine um sócio monitorando as práticas relacionadas ao tratamento de dados da própria empresa. Ou um funcionário auditando o próprio setor pelo qual é responsável.
Pois é.
Lembrando que a função do Encarregado não é defender a empresa, mas sim, em poucas palavras, defender os pilares de privacidade e proteção de dados, incluindo os interesses dos titulares de dados pessoais, servindo como uma ponte entre a empresa e titulares e a empresa e autoridades (ANPD, principalmente).
“De certo modo, o DPO é uma extensão da autoridade fiscalizadora criando assim a necessidade de um alto grau de integridade e ética no cumprimento desta função.
Se você ainda não foi convencido, pensemos em mais um cenário: um incidente de segurança resulta no vazamento de dados pessoais de milhares de clientes da empresa. O DPO tem de avaliar o risco do incidente aos titulares de dados impactados para fins de notificação do incidente para a ANPD, incluindo seu parecer se deve ou não ser notificado. Por outro lado, o funcionário também é responsável pela área de Compliance e Risco, ou pelo Departamento Financeiro, e identificou que a publicização do incidente resultaria em um impacto financeiro altíssimo. Qual decisão tomar? Nesse caso temos um cenário claro de “one person, two hats”, onde uma só pessoa tem a função de tomar decisões conflitantes entre si.
Ainda que o funcionário não seja o responsável pela decisão final, que sempre será da empresa, é complicado acreditarmos que ambas as análises seriam feitas na mesma intensidade, mesmo que de forma não intencional.
Isso não significa que um funcionário nunca poderá ser nomeado Encarregado da empresa, mas é necessário ficar atento aos requisitos existentes antes da sua nomeação.
Como identificar
Como mencionei no início deste texto e já destaquei em mais de uma oportunidade, é fato que a autoridade brasileira se inspira em decisões e entendimentos pacificados por autoridades estrangeiras, sobretudo europeias, inclusive fazendo uso de materiais por elas disponibilizados como base bibliográfica para seus guias e manifestações.
Na Europa, o Comitê Europeu de Proteção de Dados (European Data Protection Board - EDPB) estabeleceu diretrizes para identificação de conflito de interesses no documento “Orientações sobre os encarregados da proteção de dados (EPD)”.
Para o board europeu, posições conflitantes na empresa incluem cargos de alta administração e chefia em geral como, por exemplo:
Diretor Executivo;
Diretor de Operações;
Diretor Financeiro;
Diretor de Segurança da Informação;
Cargos de Diretoria em geral;
Head de Marketing;
Head de Recursos Humanos;
Head de Tecnologia da Informação;
Head de Compliance, Risco e Auditoria Interna;
Jurídico.
O documento ainda apresenta algumas orientações para evitar a configuração de conflito de interesse. São elas:
O DPO não deve ser o responsável pelas atividades de tratamento de dados (tal qual previsto no Regulamento brasileiro).
O DPO não deve ser um funcionário com contrato curto ou com prazo fixado.
O DPO não deve se reportar a um superior imediato que não seja o mais alto escalão da empresa (maior nível hierárquico dentro da organização), em relação à função de DPO.
O DPO deve ser responsável por administrar os seus próprios recursos (incluindo orçamento).
Para garantia da sua autonomia e independência, deve ser garantido que o DPO não receba instruções sobre o exercício das suas tarefas e atividades, ainda que seja um colaborador da empresa.
Soluções para nomear um Encarregado (DPO)
Identificado o problema, existem algumas soluções para evitar a ocorrência de conflito de interesse.
A primeira, mais óbvia, mas nem sempre possível, é escolher um funcionário que não possua conflito de interesse com base nos critérios apresentados neste artigo e nos vários documentos e guias de autoridades disponíveis.
Neste caso, superada a questão de conflito, ainda deverá ser garantido que o profissional tenha tempo disponível e conhecimento técnico adequado para a função ou seja devidamente capacitado pela empresa (não esqueça de verificar as questões contratuais e trabalhistas já mencionadas).
A segunda alternativa é a contratação de um funcionário específico para desempenhar a função de Encarregado. Nesta opção, é necessário buscar alguém com experiência na área e pode ser uma solução adequada para empresas de maior porte, que tendem a optar pela criação de setores específicos e de dedicação exclusiva. No entanto, além do desafio de encontrar um candidato com bom perfil e especializado, há de se considerar o custo para sua contratação (processo seletivo, tempo necessário, salário, etc.).
A terceira e última opção é a contratação de um Encarregado terceirizado (ou DPO As a Service), o que é permitido pela LGPD e é mencionado expressamente no art. 12 do Regulamento. Esta alternativa tende a alinhar a garantia de especialidade e capacidade técnica com um bom custo-benefício. Por outro lado, há de se ter cuidado para que haja um fluxo adequado de repasse de informações para controle e supervisão das atividades de tratamento pelo DPO, tendo em vista não se tratar de uma dedicação exclusiva, o que dependerá tanto da empresa quanto do Encarregado.
A melhor saída para a empresa? Só os responsáveis saberão dizer. A alternativa escolhida poderá depender da capacidade de investimento disponível, estrutura organizacional e eventuais necessidades específicas identificadas.
Independentemente da escolha, o importante é garantir que o Encarregado seja nomeado para de fato desempenhar seu papel internamente, com capacidade, autonomia e sem qualquer conflito de interesse.
Comments