É notícia de maio de 2020 que a autoridade de proteção de dados belga multou uma operadora de telefonia em 50 mil euros por concentrar nas funções de DPO (Data Protection Officer) — equivalente ao encarregado de proteção de dados da Lei Geral de Proteção de Dados (LGPD) — as responsabilidades pelo compliance da companhia.
A notoriedade da sanção não reside no valor em si, mas no fato de ser a maior multa já aplicada por aquela autoridade, o que parece ter sido feito para chamar a atenção para a importância da função do DPO e da necessidade de assegurar que o seu desempenho se dê sem quaisquer embaraços.
Com isso, a autoridade de proteção de dados belga passou a mensagem de que não iria admitir o acúmulo de funções pelo DPO capaz de comprometer o seu agir independente ou de suscitar conflitos de interesse com outros setores da mesma companhia.
Pelo regulamento europeu de proteção de dados (GDPR), o DPO precisa desempenhar suas funções com independência, possuir um nível de conhecimento adequado, orientar a conformidade no seu ambiente de trabalho e reportar-se ao mais elevado nível gerencial da organização.
Desse modo, o DPO é fundamental para o sucesso da conformidade da empresa com o GDPR e tem uma colocação de alta governança dentro da organização, devendo servir como consultor da diretoria, embora seja dela independente. A sua autonomia dentro da empresa é importante para que não seja impedido de realizar a contento o seu papel.
O GDPR não veda completamente que o DPO exerça outra função, embora o conflito de interesse seja uma questão complexa. O mais importante nessa discussão é que ele não seja responsável pela supervisão das atividades do cargo que eventualmente acumulou, isto é, que não lhe caiba analisar criticamente se tais atividades estão sendo desempenhadas de modo a garantir a proteção dos dados objeto de tratamento pela companhia.
Por exemplo, o DPO necessita realizar uma análise isenta das orientações pensadas e das medidas implementadas pelo setor de TI, responsável por adquirir as ferramentas de tecnologia, bem assim como aquelas adotadas pelo setor da segurança da informação, no qual se realiza o controle do tratamento dos dados, de tal modo que será difícil exercer com imparcialidade essas funções se as acumular.
No exemplo citado acima, o ideal é que, enquanto um implementa ou controla a tecnologia (in casu, o setor de TI ou de segurança da informação, respectivamente) o outro audita e fiscaliza (neste caso, o DPO) como uma balança em equilíbrio.
Outras áreas espelham de forma ainda mais evidente o conflito de interesses com a função de DPO, é o caso das diretorias que não sejam exclusivas para a proteção de dados, recursos humanos, marketing, inovação, comercial/vendas etc.
Pois bem, para a autoridade belga, como as rotinas de compliance naquela companhia de telefonia em específico tratam um volume relevante e constante de dados pessoais, o DPO estaria inviabilizado de supervisionar de forma independente tais atividades.
Contudo, muitos profissionais da proteção de dados viram como excessiva a decisão. Na Europa, não é raro que o DPO, mesmo que não subordinado (em razão de sua independência), reporte-se à mesma diretoria responsável pelo compliance.
Se a decisão colocou em xeque algumas políticas de governança europeias, trouxe ainda mais dúvidas para as atribuições do cargo de encarregado aqui no Brasil.
Não obstante o GDPR ser referência para a LGPD, esta não previu as mesmas características do DPO para o encarregado. Na verdade, pouco falou a seu respeito, limitando-se a dispor no artigo 41, § 2º, que lhe cabe aceitar reclamações e orientar os titulares, receber comunicações da autoridade nacional, orientar os funcionários de onde desempenha sua função e executar as demais atribuições conferidas pelo controlador ou normas complementares.
Deixou para a ANPD (Autoridade Nacional de Proteção de Dados) o ônus quanto à definição e as atribuições do encarregado, assim como também a incumbiu de estabelecer as hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados.
Até um efetivo pronunciamento da ANPD (que sequer está definitivamente instituída), todas as empresas terão que nomear um encarregado de proteção de dados e, considerando que mais de 90% delas são micro ou pequenas empresas, sem organização e orçamento suficientes para prover o cargo, as maiores restrições ao acúmulo de função para o encarregado pode tornar impossível a sua própria existência.
Se por um lado se espera que a ANPD utilize muito das bases já definidas para o DPO na Europa, por outro, sabe-se também que parte da discussão sobre conflito de interesse será sanada apenas na análise casuística.
Nesse cenário, mais uma importante situação está à espera da criação da ANPD: compatibilizar os requisitos para o lugar do encarregado — inclusive no que concerne à sua independência com outras funções — com a realidade do setor econômico brasileiro, composto, em grande parte, por micro e pequenas empresas.
Nairane Farias Rabelo Leitão é sócia do escritório Serur Advogados, responsável pela área de privacidade e proteção de dados.