A Agência Nacional de Proteção de Dados (ANPD) estabelece a necessidade de os controladores designarem um Encarregado pelo Tratamento de Dados Pessoais (DPO), conforme mencionado no artigo 41. No entanto, um desafio significativo que será enfrentado pela Agência é a questão do conflito de interesses relacionado à função do DPO.
Em sua agenda regulatória 2023-2024, é esperado da ANPD a definição em relação a esse tema. Link nos comentários.
A atuação do DPO deve ser pautada pela imparcialidade e independência, garantindo a proteção dos direitos dos indivíduos cujos dados estão sendo processados. No entanto, pode haver situações em que o DPO se depara com conflitos de interesses, o que compromete sua capacidade de atuar de forma imparcial.
Ao abordar essa questão, a ANPD deve considerar a importância de garantir a confiança do público e a efetividade da proteção de dados pessoais. A criação de mecanismos de verificação e auditoria também pode ser uma estratégia eficaz para identificar e resolver possíveis conflitos de interesses na atuação do DPO.
Se buscarmos o que a GDPR trata sobre esse tema, já podemos prever algo muito similar que ocorrerá aqui no Brasil. Vejam só:
- Artigo 38.º, n.º 3 o DPO não pode ser demitido nem penalizado pelo responsável pelo tratamento ou pelo subcontratante pelo desempenho da sua função; e
- Artigo 38.º, n.º 6 O responsável pelo tratamento ou subcontratante deve garantir que tais tarefas e deveres não resultam num conflito de interesses .
O Papel do DPO e o Potencial para Conflitos de Interesses
O DPO é responsável por orientar os agentes de tratamento para agirem de acordo com as leis de proteção de dados, além de interagir com os titulares dos dados e a ANPD. Sendo assim, a função do DPO é de extrema importância no atual cenário de proteção de dados.
A função do DPO pode entrar em conflito com outras atividades dentro de uma organização. Por exemplo, se um DPO é também responsável por atividades que envolvem a determinação das finalidades e meios de tratamento de dados pessoais, pode haver um conflito de interesses. Isso ocorre porque a função de controle do DPO precisa ser exercida de forma independente
Exemplos de Conflitos de Interesses na Função do DPO
Há casos documentados em que ocorreram conflitos de interesses na função do DPO. Por exemplo, na Bélgica, uma empresa foi multada em 50 mil euros devido ao conflito de interesses do seu DPO, que também era diretor de auditoria, risco e conformidade. Link nos comentários.
Na Alemanha, uma multa ainda mais alta, de 525 mil euros, foi aplicada devido a um conflito de interesses do DPO. Esses casos servem como um alerta para todas as organizações sobre a importância de prevenir conflitos de interesses na função do DPO.
Orientações para Evitar Conflitos de Interesses na Função do DPO
A norma internacional ISO 27001, que define os sistemas de gestão de segurança da informação, oferece diretrizes valiosas para entender melhor como evitar conflitos de interesses na função do DPO.
Por exemplo, existem duas funções diferentes: o “Lead Implementer” e o “Lead Auditor”. O primeiro é responsável pela implementação e manutenção do sistema de segurança da informação, enquanto o segundo é responsável por avaliar a eficácia e conformidade do sistema. Essas funções devem ser desempenhadas por pessoas diferentes para evitar um julgamento tendencioso.
A LGPD e a Questão do Conflito de Interesses
A LGPD é um marco importante na proteção de dados no Brasil. No entanto, ela não proíbe explicitamente conflitos de interesses para o DPO.
Este vazio legal pode gerar um ambiente propício para possíveis conflitos de interesses, criando uma situação delicada tanto para as organizações quanto para os próprios DPOs. Este é um aspecto que precisa ser tratado para proporcionar uma maior clareza legal e orientação para os DPOs e para as organizações que lidam com dados pessoais.
A questão abordada neste texto envolve a necessidade de urgência por parte da ANPD em tratar desse tema. Já é possível observar em alguns clientes a ocorrência de conflitos de interesse, onde a tomada de decisão é influenciada pela função original do funcionário, seja ele da área de Tecnologia ou do Jurídico.
As experiências na União Europeia e as normas como a ISO 27001 nos oferecem um ponto de partida sólido para abordar essa questão. Precisamos avançar no fortalecimento do papel do DPO, garantindo sua independência e evitando possíveis conflitos de interesses. Só assim, poderemos assegurar uma proteção efetiva dos dados pessoais no Brasil.
A ANPD deve enfrentar o desafio do conflito de interesses na atuação do DPO, estabelecendo diretrizes claras, promovendo transparência e implementando mecanismos de verificação para garantir a imparcialidade e a efetividade da proteção de dados pessoais. A superação desse desafio é fundamental para fortalecer a confiança na proteção de dados e garantir o cumprimento das normas estabelecidas pela ANPD.
