No cenário atual da Lei Geral de Proteção de Dados (LGPD) no Brasil, um papel vital é desempenhado pelo Encarregado de Proteção de Dados (DPO). Recentemente, a Autoridade Nacional de Proteção de Dados (ANPD) publicou uma Minuta do Regulamento sobre a Atuação do Encarregado, que recebeu 1129 contribuições até seu encerramento em 07/12/2023, evidenciando a relevância do assunto.
Notavelmente, a Seção III da minuta é dedicada aos “Conflitos de Interesse”, refletindo a seriedade com que este tema é tratado. Os artigos 19 a 21 da Minuta da ANPD ressaltam a necessidade de o DPO declarar qualquer situação de conflito de interesse e a responsabilidade dos agentes de tratamento em garantir a independência do DPO. Isso alinha-se com tendências globais, particularmente na União Europeia, onde o conflito de interesses na função do DPO tem sido um tema de rigorosa supervisão e altas sanções, oferecendo assim, lições valiosas para o Brasil.
Na União Europeia, sob o rigoroso Regulamento Geral sobre a Proteção de Dados (GDPR), casos significativos de conflito de interesses resultaram em penalidades severas. Por exemplo, em 2020, na Bélgica, uma empresa foi multada em 50 mil euros devido ao conflito de interesses do DPO, que acumulava funções de diretor de auditoria, risco e conformidade. Esta situação ilustra claramente o potencial conflito entre a responsabilidade do DPO de supervisionar a conformidade com as leis de proteção de dados e suas outras funções dentro da empresa.
Outro caso notável ocorreu na Alemanha em 2022, onde uma multa ainda maior, de 525 mil euros, foi imposta devido a um conflito de interesses similar. Tais casos enfatizam que conflitos de interesse não são apenas uma questão de ética, mas têm consequências financeiras e legais tangíveis. Estes exemplos são alarmes para as organizações brasileiras sobre a seriedade do papel do DPO e a necessidade de uma atuação independente e desvinculada de outras funções corporativas.
Na LGPD brasileira, apesar de ser um marco na proteção de dados, há uma lacuna em relação à definição e prevenção de conflitos de interesse para o DPO. Esta omissão representa um desafio significativo, pois sem orientações claras, o risco de um DPO ser influenciado por outras funções corporativas aumenta, comprometendo sua capacidade de agir de maneira imparcial e eficaz.
Diante dessas questões, a consulta pública da ANPD serviu como uma ótima oportunidade para que as organizações participassem ativamente na formulação de um regulamento que fortaleça o papel do DPO, assegurando sua independência e eficácia.
Nesse sentido, é de vital importância para os empresários brasileiros compreenderem a importância de nomearem DPOs que estejam livres de qualquer conflito de interesse, garantindo a conformidade legal e a integridade ética em suas operações.
A norma internacional ISO 27001 pode servir como um guia, onde a separação clara entre o “Lead Implementer” e o “Lead Auditor” ajuda a prevenir julgamentos tendenciosos. As empresas brasileiras, portanto, devem ser proativas em garantir a independência do DPO, evitando conflitos de interesses que possam comprometer a integridade da proteção de dados.
Em suma, a experiência europeia com o GDPR serve como um aviso e um guia para o Brasil. Os casos de multas devido a conflitos de interesse na função do DPO mostram a necessidade de abordar este tema com seriedade e proatividade. A minuta da ANPD, ainda que preliminar, e as lições da União Europeia fornecem direções valiosas do caminho a seguir.
Diante desse cenário, as organizações brasileiras devem agir agora para assegurar que os DPOs operem com independência e eficiência, uma vez que a LGPD exige compromisso com a transparência, a ética e a responsabilidade. Somente assim, poderemos garantir um ambiente de negócios seguro e confiável e nosso país, protegendo os direitos dos titulares dos dados e a integridade das organizações.
*Alexander Coelho – sócio do Godke Advogados, advogado especializado em Direito Digital e Proteção de Dados. CIPM (Certified Information Privacy Manager) pela IAPP (International Association of Privacy Professionals). É membro da Comissão de Privacidade e Proteção de Dados e Inteligência Artificial (IA) da OAB/São Paulo. Pós-graduando em Digital Services pela Faculdade de Direito de Lisboa (Portugal).
Por Alexander Coelho
