Conflito de interesses na função de DPO segundo a Resolução nº 18 da ANPD

A Resolução define o papel do DPO no Brasil, alinhado às práticas europeias, destacando a importância de sua independência para evitar conflitos de in

Author Photo
6:30 pm - 06 de novembro de 2024
Imagem: Shutterstock

Este artigo examina as atribuições do Encarregado pelo Tratamento de Dados Pessoais (DPO) conforme a Resolução CD/ANPD nº 18 da Autoridade Nacional de Proteção de Dados (ANPD) e o artigo 38 do Regulamento Geral de Proteção de Dados (GDPR). A Resolução orienta sobre o papel do DPO no Brasil, alinhando-se às práticas europeias e enfatizando a importância de sua independência para prevenir conflitos de interesse.

Um exemplo notável de conflito de interesses foi a multa de €50.000 imposta pela Autoridade Belga de Proteção de Dados (DPA) a uma empresa que nomeou como DPO o chefe de conformidade, auditoria e gestão de riscos, em violação ao artigo 38(6) do GDPR. A sobreposição de funções impediu que o DPO atuasse de forma independente, comprometendo a imparcialidade necessária ao cargo (DPO Centre, 2024).

Outro caso resultou em uma multa de €75.000 a um banco, onde o DPO acumulava responsabilidades em Gestão de Riscos e Investigação, violando os artigos 38(3) e 38(6) do GDPR. A DPA destacou que o DPO deve ter acesso direto à alta administração e participar de discussões estratégicas sem interferências, considerando a falta de salvaguardas à independência como uma grave falha de governança (Nauwelaerts, 2022).

Esses casos enfatizam a responsabilidade das empresas em assegurar que o DPO tenha autonomia para atuar imparcialmente, sem conflitos que prejudiquem a sua supervisão. A falta de conformidade pode resultar em multas significativas, refletindo a importância de uma governança rigorosa na proteção de dados pessoais (Hunton, 2024).

Veja também: Liderança de TI: desafios do futuro digital

O Tribunal de Justiça da União Europeia (TJUE) também esclareceu critérios para conflitos de interesse no papel do DPO no caso X-FAB Dresden GmbH & Co. KG. O tribunal analisou a demissão de um DPO que também atuava como presidente do conselho de trabalhadores, comprometendo a sua independência funcional. O TJUE destacou que, conforme o art. 38 do GDPR, o DPO não deve exercer funções que influenciem a definição de finalidades e meios de tratamento de dados, pois isso comprometeria a sua objetividade na supervisão da conformidade. Essa decisão reforça a importância de preservar a independência do DPO em suas funções (TJUE, 2023). Essas decisões demonstram que a autonomia do DPO é fundamental e que o TJUE continua a enfatizar que, mesmo com proteções adicionais contra demissões, o regulamento deve priorizar a imparcialidade do DPO, especialmente em contextos que apresentem conflitos de interesse.

De acordo com a Resolução CD/ANPD nº 18, a nomeação do DPO deve ser formal e documentada, garantindo sua a independência e competência técnica. Além disso, o DPO atua como elo entre o controlador, os titulares de dados pessoais e a ANPD, sendo a sua autonomia e capacitação técnica essenciais para assegurar o respeito aos direitos dos titulares e a conformidade da organização com as normas de proteção de dados. Tanto a LGPD quanto as normas internacionais enfatizam que o DPO deve possuir independência e qualificação adequadas para desempenhar suas funções com eficácia.

A Resolução CD/ANPD nº 18 exige que o DPO atue com independência e objetividade (art. 18), evitando influências que comprometam sua imparcialidade, especialmente ao acumular outras funções na organização. O GDPR também permite que o DPO tenha outros cargos, desde que estes não afetem a sua supervisão independente (art. 38(6)), garantindo que os dados sejam tratados conforme as normas de proteção de dados pessoais.

A Resolução CD/ANPD nº 18 reforça a necessidade de o DPO agir com ética e autonomia técnica (art. 18), alinhando-se ao cenário europeu. Conforme ambas as normas o DPO deve estar desvinculado de responsabilidades que comprometam sua capacidade de decisão objetiva.

A Resolução CD/ANPD nº 18 exige que o DPO atue com ética e autonomia técnica (art. 18), similarmente ao cenário europeu. O DPO deve relatar possíveis conflitos de interesse, e cabe à organização garantir que sua atuação seja independente. A ANPD pode impor sanções se essas funções interferirem na autonomia do encarregado.

A nomeação de diretores ou gerentes para a função de DPO requer uma avaliação rigorosa de suas atribuições, visando a evitar conflitos de interesse que comprometam a imparcialidade e independência do DPO, conforme exigido pela LGPD. Caso o diretor ou gerente esteja diretamente envolvido em decisões estratégicas ou operacionais sobre o tratamento de dados pessoais (incluindo coleta, armazenamento, uso ou compartilhamento de dados), ele não deve acumular a função de DPO, pois isso interfere em sua capacidade de monitoramento isento e supervisão adequada.

Entretanto, caso o diretor ou gerente exerça atividades estritamente operacionais, que não envolvam decisões sobre o tratamento de dados pessoais, a acumulação de funções pode ser viável. Por exemplo, um gerente administrativo cuja atuação se limita à gestão de ativos físicos (como imóveis, equipamentos e infraestrutura), sem qualquer envolvimento nas políticas de tratamento de dados pessoais, estaria apto a exercer a função de DPO. A ausência de influência direta sobre as operações de dados é indispensável para preservar a independência do DPO nesse contexto.

Uma situação clássica de conflito de interesses ocorre na designação de profissionais da área jurídica para a função de DPO, exigindo análise aprofundada, dado o risco acentuado existente. Profissionais jurídicos que representam a empresa em litígios ou processos administrativos sobre decisões de tratamento de dados pessoais enfrentam sobreposição de funções conflitantes, uma vez que o DPO, conforme a Resolução CD/ANPD nº 18 e a LGPD no Brasil, e o GDPR na União Europeia, deve monitorar o cumprimento das normas de proteção de dados com total imparcialidade e independência.

A combinação entre as funções de DPO e representação jurídica compromete a neutralidade necessária ao encarregado, especialmente em contextos de defesa de decisões de tratamento de dados perante o Judiciário ou órgãos reguladores, o que limita a capacidade de análise objetiva dos riscos e a adoção de medidas corretivas adequadas. Para resguardar a integridade da função de DPO é essencial que o encarregado não participe na defesa de questões envolvendo o tratamento de dados, preservando seu foco no monitoramento da conformidade e na proteção dos direitos dos titulares de dados, em alinhamento com os preceitos de independência e imparcialidade estabelecidos pelas normas de proteção de dados pessoais.

A falta de observância dos princípios citados pode resultar em penalidades severas, incluindo multas, advertências e até suspensão de atividades de tratamento de dados. No Brasil, a Resolução nº 18 da ANPD prevê sanções específicas para situações de conflito de interesse, bem como diretrizes para garantir que o DPO disponha dos recursos necessários para atuar de forma independente. Além das sanções administrativas pela ANPD, a organização pode enfrentar ações judiciais por danos materiais ou morais aos titulares de dados, o que amplifica os riscos financeiros e de reputação.

A contratação de um DPO externo pode ser uma solução eficaz para assegurar a imparcialidade requerida; no entanto, a empresa deverá garantir a autonomia técnica e os recursos que ele necessita para atender plenamente às exigências da Resolução 18 da ANPD.

A Resolução CD/ANPD nº 18 alinha-se às melhores práticas internacionais, estabelecendo que o DPO deve exercer suas funções sem influências que comprometam sua imparcialidade. Casos como as multas aplicadas por autoridades estrangeiras mostram a importância de uma governança robusta em proteção de dados. As organizações brasileiras devem garantir a independência e autonomia do DPO para mitigar riscos e proteger os direitos dos titulares de dados pessoais.

Essas diretrizes reforçam que o não cumprimento dos princípios de imparcialidade pode acarretar sanções financeiras e impactos negativos na confiança dos titulares e na reputação das empresas. A adoção de práticas sólidas de governança é essencial para assegurar a conformidade e evitar penalidades.

Siga o IT Forum no LinkedIn e fique por dentro de todas as notícias!

Tags:
Author Photo
Selma Carloto e Mario Toews

Selma Carloto é pós-doutora e doutora em Direito do Trabalho, com formação em Inteligência Artificial pela Engenharia da Informação. Mestre em Direito e professora na FGV, leciona temas como Proteção de Dados, Compliance Trabalhista e LGPD. Atualmente, é diretora do Instituto Nacional de Proteção de Dados (INPD).

Mario Toews é sócio-fundador da Datalege Consultoria Empresarial, com experiência como gestor de TI em empresas como Renault e Britânia. Especialista em implementação de ERPs, Business Intelligence e infraestrutura, é também Diretor de Segurança da Informação e DPO do INPD.

Author Photo

Newsletter de tecnologia para você

Os melhores conteúdos do IT Forum na sua caixa de entrada.