Valorizamos a sua privacidade

A LF Consultoria utiliza cookies e outras tecnologias semelhantes para melhorar a sua experiência, de acordo com o nosso Aviso de Privacidade de Dados Pessoais e, ao continuar navegando, você concorda com estas condições. Aviso de Privacidade de Dados Pessoais

Valorizamos a sua privacidade

A LF Consultoria utiliza cookies e outras tecnologias semelhantes para melhorar a sua experiência, de acordo com a nossa Política de Privacidade e, ao continuar navegando, você concorda com estas condições.

Necessary cookies are required to enable the basic features of this site, such as providing secure log-in or adjusting your consent preferences. These cookies do not store any personally identifiable data.

Functional cookies help perform certain functionalities like sharing the content of the website on social media platforms, collecting feedback, and other third-party features.

Analytical cookies are used to understand how visitors interact with the website. These cookies help provide information on metrics such as the number of visitors, bounce rate, traffic source, etc.

Performance cookies are used to understand and analyze the key performance indexes of the website which helps in delivering a better user experience for the visitors.

Advertisement cookies are used to provide visitors with customized advertisements based on the pages you visited previously and to analyze the effectiveness of the ad campaigns.

Powered by Cookieyes logo

Conflito de interesses na função de DPO segundo a resolução 18 da ANPD

29/11/2024

Este artigo examina as atribuições do DPO – Encarregado pelo Tratamento de Dados Pessoais conforme a resolução CD/ANPD 18 da ANPD – Autoridade Nacional de Proteção de Dados e o art. 38 do GDPR – Regulamento Geral de Proteção de Dados. A resolução orienta sobre o papel do DPO no Brasil, alinhando-se às práticas europeias e enfatizando a importância de sua independência para prevenir conflitos de interesse.

Um exemplo notável de conflito de interesses foi a multa de ?50.000 imposta pela DPA – Autoridade Belga de Proteção de Dados a uma empresa que nomeou como DPO o chefe de conformidade, auditoria e gestão de riscos, em violação ao art. 38(6) do GDPR. A sobreposição de funções impediu que o DPO atuasse de forma independente, comprometendo a imparcialidade necessária ao cargo (DPO Centre, 2024).

Outro caso resultou em uma multa de ?75.000 a um banco, onde o DPO acumulava responsabilidades em gestão de riscos e Investigação, violando os arts. 38(3) e 38(6) do GDPR. A DPA destacou que o DPO deve ter acesso direto à alta administração e participar de discussões estratégicas sem interferências, considerando a falta de salvaguardas à independência como uma grave falha de governança (Nauwelaerts, 2022).

Esses casos enfatizam a responsabilidade das empresas em assegurar que o DPO tenha autonomia para atuar imparcialmente, sem conflitos que prejudiquem sua supervisão. A falta de conformidade pode resultar em multas significativas, refletindo a importância de uma governança rigorosa na proteção de dados pessoais (Hunton, 2024).

O TJUE – Tribunal de Justiça da União Europeia também esclareceu critérios para conflitos de interesse no papel do DPO no caso X-FAB Dresden GmbH & Co. KG. O tribunal analisou a demissão de um DPO que também atuava como presidente do conselho de trabalhadores, comprometendo sua independência funcional. O TJUE destacou que, conforme o art. 38 do GDPR, o DPO não deve exercer funções que influenciem a definição de finalidades e meios de tratamento de dados, pois isso comprometeria sua objetividade na supervisão da conformidade. Essa decisão reforça a importância de preservar a independência do DPO em suas funções (TJUE, 2023). Essas decisões demonstram que a independência do DPO é fundamental e que o TJUE continua a enfatizar que, mesmo com proteções adicionais contra demissões, o regulamento deve priorizar a imparcialidade do DPO, especialmente em contextos que apresentem conflitos de interesse.

De acordo com a resolução CD/ANPD 18, a nomeação do DPO deve ser formal e documentada, garantindo sua independência e competência técnica. Além disso, o DPO atua como elo entre o controlador, os titulares de dados pessoais e a ANPD, sendo sua autonomia e capacitação técnica essenciais para assegurar o respeito aos direitos dos titulares e a conformidade da organização com as normas de proteção de dados. Tanto a LGPD quanto as normas internacionais enfatizam que o DPO deve possuir independência e qualificação adequadas para desempenhar suas funções com eficácia.

A resolução CD/ANPD 18 exige que o DPO atue com independência e objetividade (art. 18), evitando influências que comprometam sua imparcialidade, especialmente ao acumular outras funções na organização. O GDPR também permite que o DPO tenha outros cargos, desde que estes não afetem sua supervisão independente (art. 38(6)), garantindo que os dados sejam tratados conforme as normas de proteção de dados pessoais.

A resolução CD/ANPD 18 exige que o DPO atue com ética e autonomia técnica (art. 18), similarmente ao cenário europeu. O DPO deve relatar possíveis conflitos de interesse, e cabe à organização garantir que sua atuação seja independente. A ANPD pode impor sanções se essas funções interferirem na autonomia do encarregado.

A nomeação de diretores ou gerentes para a função de DPO requer uma avaliação rigorosa de suas atribuições, visando a evitar conflitos de interesse que comprometam a imparcialidade e independência do DPO, conforme exigido pela LGPD. Caso o diretor ou gerente esteja diretamente envolvido em decisões estratégicas ou operacionais sobre o tratamento de dados pessoais (incluindo coleta, armazenamento, uso ou compartilhamento de dados), ele não deve acumular a função de DPO, pois isso interfere em sua capacidade de monitoramento isento e supervisão adequada.

Entretanto, caso o diretor ou gerente exerça atividades estritamente operacionais, que não envolvam decisões sobre o tratamento de dados pessoais, a acumulação de funções pode ser viável. Por exemplo, um gerente administrativo cuja atuação se limita à gestão de ativos físicos (como imóveis, equipamentos e infraestrutura), sem qualquer envolvimento nas políticas de tratamento de dados pessoais, estaria apto a exercer a função de DPO. A ausência de influência direta sobre as operações de dados é indispensável para preservar a independência do DPO nesse contexto.

Uma situação clássica de conflito de interesses ocorre na designação de profissionais da área jurídica para a função de DPO, exigindo análise aprofundada, dado o risco acentuado de conflito. Profissionais jurídicos que representam a empresa em litígios ou processos administrativos sobre decisões de tratamento de dados pessoais enfrentam sobreposição de funções conflitantes, uma vez que o DPO, conforme a resolução CD/ANPD 18 e a LGPD no Brasil e o GDPR na União Europeia, deve monitorar o cumprimento das normas de proteção de dados com total imparcialidade e independência.

A combinação entre as funções de DPO e representação jurídica compromete a neutralidade necessária ao encarregado, especialmente em contextos de defesa de decisões de tratamento de dados perante o Judiciário ou órgãos reguladores, o que limita a capacidade de análise objetiva dos riscos e a adoção de medidas corretivas adequadas. Para resguardar a integridade da função de DPO, é essencial que o encarregado não participe na defesa de questões envolvendo o tratamento de dados, preservando seu foco no monitoramento da conformidade e na proteção dos direitos dos titulares de dados, em alinhamento com os preceitos de independência e imparcialidade estabelecidos pelas normas de proteção de dados pessoais.

A falta de observância dos princípios de independência do DPO pode resultar em penalidades severas, incluindo multas, advertências e até suspensão de atividades de tratamento de dados. No Brasil, a resolução 18 da ANPD prevê sanções específicas para situações de conflito de interesse, bem como diretrizes para garantir que o DPO disponha dos recursos necessários para atuar de forma independente. Além das sanções administrativas pela ANPD, a organização pode enfrentar ações judiciais por danos materiais ou morais aos titulares de dados, o que amplifica os riscos financeiros e de reputação.

A contratação de um DPO externo pode ser uma solução eficaz para assegurar a imparcialidade requerida; no entanto, a empresa deverá garantir a autonomia técnica e os recursos que ele necessita para atender plenamente às exigências da resolução 18 da ANPD.

A resolução CD/ANPD 18 alinha-se às melhores práticas internacionais, estabelecendo que o DPO deve exercer suas funções sem influências que comprometam sua imparcialidade. Casos como as multas aplicadas por autoridades estrangeiras mostram a importância de uma governança robusta em proteção de dados. As organizações brasileiras devem garantir a independência e autonomia do DPO para mitigar riscos e proteger os direitos dos titulares de dados pessoais.

Essas diretrizes reforçam que o não cumprimento dos princípios de imparcialidade pode acarretar sanções financeiras e impactos negativos na confiança dos titulares e na reputação das empresas. A adoção de práticas sólidas de governança é essencial para assegurar a conformidade e evitar penalidades.

Fonte: Migalhas

Categorias: Artigos,LGPD,

Voltar
LinkedInPin
Footer sem selo