Por Selma Carloto e Mario Toews *
Este artigo examina as atribuições do Encarregado pelo Tratamento de Dados Pessoais (DPO) conforme a Resolução CD/ANPD nº 18 da Autoridade Nacional de Proteção de Dados (ANPD) e o artigo 38 do Regulamento Geral de Proteção de Dados (GDPR). A Resolução orienta sobre o papel do DPO no Brasil, alinhando-se às práticas europeias e enfatizando a importância de sua independência para prevenir conflitos de interesse.
Um exemplo notável de conflito de interesses foi a multa de €50.000 imposta pela Autoridade Belga de Proteção de Dados (DPA) a uma empresa que nomeou como DPO o chefe de conformidade, auditoria e gestão de riscos, em violação ao artigo 38(6) do GDPR. A sobreposição de funções impediu que o DPO atuasse de forma independente, comprometendo a imparcialidade necessária ao cargo (DPO Centre, 2024).
Outro caso resultou em uma multa de €75.000 a um banco, onde o DPO acumulava responsabilidades em Gestão de Riscos e Investigação, violando os artigos 38(3) e 38(6) do GDPR. A DPA destacou que o DPO deve ter acesso direto à alta administração e participar de discussões estratégicas sem interferências, considerando a falta de salvaguardas à independência como uma grave falha de governança (Nauwelaerts, 2022).
Esses casos enfatizam a responsabilidade das empresas em assegurar que o DPO tenha autonomia para atuar imparcialmente, sem conflitos que prejudiquem a sua supervisão. A falta de conformidade pode resultar em multas significativas, refletindo a importância de uma governança rigorosa na proteção de dados pessoais (Hunton, 2024).
O Tribunal de Justiça da União Europeia (TJUE) também esclareceu critérios para conflitos de interesse no papel do DPO no caso X-FAB Dresden GmbH & Co. KG. O tribunal analisou a demissão de um DPO que também atuava como presidente do conselho de trabalhadores, comprometendo a sua independência funcional. O TJUE destacou que, conforme o art. 38 do GDPR, o DPO não deve exercer funções que influenciem a definição de finalidades e meios de tratamento de dados, pois isso comprometeria a sua objetividade na supervisão da conformidade.
Essa decisão reforça a importância de preservar a independência do DPO em suas funções (TJUE, 2023). Essas decisões demonstram que a autonomia do DPO é fundamental e que o TJUE continua a enfatizar que, mesmo com proteções adicionais contra demissões, o regulamento deve priorizar a imparcialidade do DPO, especialmente em contextos que apresentem conflitos de interesse.
De acordo com a Resolução CD/ANPD nº 18, a nomeação do DPO deve ser formal e documentada, garantindo sua a independência e competência técnica. Além disso, o DPO atua como elo entre o controlador, os titulares de dados pessoais e a ANPD, sendo a sua autonomia e capacitação técnica essenciais para assegurar o respeito aos direitos dos titulares e a conformidade da organização com as normas de proteção de dados. Tanto a LGPD quanto as normas internacionais enfatizam que o DPO deve possuir independência e qualificação adequadas para desempenhar suas funções com eficácia.
A Resolução CD/ANPD nº 18 exige que o DPO atue com independência e objetividade (art. 18), evitando influências que comprometam sua imparcialidade, especialmente ao acumular outras funções na organização. O GDPR também permite que o DPO tenha outros cargos, desde que estes não afetem a sua supervisão independente (art. 38(6)), garantindo que os dados sejam tratados conforme as normas de proteção de dados pessoais.
A Resolução CD/ANPD nº 18 reforça a necessidade de o DPO agir com ética e autonomia técnica (art. 18), alinhando-se ao cenário europeu. Conforme ambas as normas o DPO deve estar desvinculado de responsabilidades que comprometam sua capacidade de decisão objetiva.
A Resolução CD/ANPD nº 18 exige que o DPO atue com ética e autonomia técnica (art. 18), similarmente ao cenário europeu. O DPO deve relatar possíveis conflitos de interesse, e cabe à organização garantir que sua atuação seja independente. A ANPD pode impor sanções se essas funções interferirem na autonomia do encarregado.
A nomeação de diretores ou gerentes para a função de DPO requer uma avaliação rigorosa de suas atribuições, visando a evitar conflitos de interesse que comprometam a imparcialidade e independência do DPO, conforme exigido pela LGPD. Caso o diretor ou gerente esteja diretamente envolvido em decisões estratégicas ou operacionais sobre o tratamento de dados pessoais (incluindo coleta, armazenamento, uso ou compartilhamento de dados), ele não deve acumular a função de DPO, pois isso interfere em sua capacidade de monitoramento isento e supervisão adequada.
Entretanto, caso o diretor ou gerente exerça atividades estritamente operacionais, que não envolvam decisões sobre o tratamento de dados pessoais, a acumulação de funções pode ser viável. Por exemplo, um gerente administrativo cuja atuação se limita à gestão de ativos físicos (como imóveis, equipamentos e infraestrutura), sem qualquer envolvimento nas políticas de tratamento de dados pessoais, estaria apto a exercer a função de DPO. A ausência de influência direta sobre as operações de dados é indispensável para preservar a independência do DPO nesse contexto.
Uma situação clássica de conflito de interesses ocorre na designação de profissionais da área jurídica para a função de DPO, exigindo análise aprofundada, dado o risco acentuado existente. Profissionais jurídicos que representam a empresa em litígios ou processos administrativos sobre decisões de tratamento de dados pessoais enfrentam sobreposição de funções conflitantes, uma vez que o DPO, conforme a Resolução CD/ANPD nº 18 e a LGPD no Brasil, e o GDPR na União Europeia, deve monitorar o cumprimento das normas de proteção de dados com total imparcialidade e independência.
A combinação entre as funções de DPO e representação jurídica compromete a neutralidade necessária ao encarregado, especialmente em contextos de defesa de decisões de tratamento de dados perante o Judiciário ou órgãos reguladores, o que limita a capacidade de análise objetiva dos riscos e a adoção de medidas corretivas adequadas. Para resguardar a integridade da função de DPO é essencial que o encarregado não participe na defesa de questões envolvendo o tratamento de dados, preservando seu foco no monitoramento da conformidade e na proteção dos direitos dos titulares de dados, em alinhamento com os preceitos de independência e imparcialidade estabelecidos pelas normas de proteção de dados pessoais.
A falta de observância dos princípios citados pode resultar em penalidades severas, incluindo multas, advertências e até suspensão de atividades de tratamento de dados. No Brasil, a Resolução nº 18 da ANPD prevê sanções específicas para situações de conflito de interesse, bem como diretrizes para garantir que o DPO disponha dos recursos necessários para atuar de forma independente. Além das sanções administrativas pela ANPD, a organização pode enfrentar ações judiciais por danos materiais ou morais aos titulares de dados, o que amplifica os riscos financeiros e de reputação.
A contratação de um DPO externo pode ser uma solução eficaz para assegurar a imparcialidade requerida; no entanto, a empresa deverá garantir a autonomia técnica e os recursos que ele necessita para atender plenamente às exigências da Resolução 18 da ANPD.
A Resolução CD/ANPD nº 18 alinha-se às melhores práticas internacionais, estabelecendo que o DPO deve exercer suas funções sem influências que comprometam sua imparcialidade. Casos como as multas aplicadas por autoridades estrangeiras mostram a importância de uma governança robusta em proteção de dados. As organizações brasileiras devem garantir a independência e autonomia do DPO para mitigar riscos e proteger os direitos dos titulares de dados pessoais.
Essas diretrizes reforçam que o não cumprimento dos princípios de imparcialidade pode acarretar sanções financeiras e impactos negativos na confiança dos titulares e na reputação das empresas. A adoção de práticas sólidas de governança é essencial para assegurar a conformidade e evitar penalidades.
* Selma Carloto, Pós- doutora em Direito do Trabalho, Doutora em Engenharia da Informação em Inteligência Artificial, com Doutorado em Direito do Trabalho, Mestre em Direito, Professora autora das disciplinas Proteção de Dados; Compliance Trabalhista e Lei Geral de Proteção de Dados da Fundação Getúlio Vargas (FGV) e Diretora do Instituto Nacional de Proteção de Dados (INPD)
* Mario Toews, Sócio fundador da Datalege Consultoria Empresarial; gestor de TI de grandes empresas como Renault do Brasil e Renault Argentina, Arauco, Martini Meat e Britânia; coordenou diversos projetos de implementação de Sistemas, ERPs, Business Intelligence e Infraestrutura; Diretor de Segurança da Informação e DPO do INPD.
Referências Bibliográficas
Autoridade Nacional de Proteção de Dados (ANPD). Resolução CD/ANPD nº 18, de 16 de julho de 2024.
DPO Centre. Belgian DPA rules on DPO conflict of interest. Disponível em: https://www.dpocentre.com/news/dpo-conflict-of-interest/. Acesso em: 14 out. 2024.
NAUWELAERTS, Wim. Belgian Data Protection Authority fines bank for DPO’s conflicting roles. Alston & Bird Privacy, Cyber & Data Strategy Blog, 31 jan. 2022. Disponível em: Belgian Data Protection Authority Fines Bank for DPO’s Conflicting Roles | Alston & Bird Privacy, Cyber & Data Strategy Blog (alstonprivacy.com).Acesso em: 14 out. 2024.
Hunton, Alston & Bird. Belgian DPA Sanctions Company for Non-Compliance with the GDPR’s DPO Requirements. Hunton Privacy & Information Security Law Blog. Disponível em: https://www.huntonak.com/privacy-and-information-security-law/belgian-dpa-sanctions-company-for-non-compliance-with-the-gdprs-dpo-requirements. Acesso em: 14 out. 2024.
TJUE. Acórdão do Tribunal de Justiça (Sexta Secção) de 9 de fevereiro de 2023. Reenvio prejudicial- Proteção das pessoas singulares no tratamento de dados pessoais – Regulamento (UE) 2016/679 – Encarregado da proteção de dados – Proibição de destituição. Processo C-453/21, X-FAB Dresden GmbH & Co. KG v FC. Disponível em: https://eur-lex.europa.eu/legal-ontent/PT/TXT/HTML/?uri=CELEX:62021CA0453. Acesso em: 14 out. 2024.
Regulamento (UE) 2016/679, de 27 de abril de 2016. Regulamento Geral sobre a Proteção de Dados (GDPR).
