Hoje daremos continuidade com respostas às perguntas feitas pela ANPD em sua “Tomada de subsídios sobre o DPO”.
Como você deve saber, já divulgamos nossa resposta à Pergunta 2 do Bloco 1. Caso você ainda não tenha lido, clique aqui.
Vamos ver então as Perguntas 3 e 4 e, em seguida, aquilo que penso sobre o conteúdo destas perguntas.
Bloco 1, Pergunta 3: O encarregado pode acumular funções? Em caso afirmativo, sob qual fundamento? E sob quais hipóteses?
Bloco 1, Pergunta 4: Em quais hipóteses pode se caracterizar conflito de interesses no desempenho da função de encarregado? Justifique.
Resposta: O Encarregado de Proteção de Dados (EPD) só pode acumular funções caso estas não gerem conflito de interesse com a sua função de EPD.
De maneira simples e direta, o EPD não poderá, em absoluto, exercer funções que impliquem em tomada de decisão sobre atividades de tratamento. Isto porque esta é uma prerrogativa do controlador e não do EPD. Neste contexto, o EPD não poderá sê-lo e, ao mesmo tempo, ser Diretor Jurídico, Diretor de TI, Diretor de Segurança da Informação, Diretor de RH, Diretor de Marketing etc.
Utilizando-se de um exemplo simples, imaginemos que o EPD seja um Diretor Jurídico ou Diretor de Segurança da Informação. Nesta função, pela manhã poder tomar decisões referentes a alguma atividade de tratamento atuando em nome da respectiva diretoria – um Diretor de Segurança da Informação poderá escolher fechar um contrato com a empresa “A” em vez de fazê-lo com a empresa “B” porque a empresa “A” oferece serviços com preços menores que sua concorrente. Porém, na parte da tarde o “ex-“ Diretor de Segurança da Informação – agora atuando como EPD – poderá chegar à conclusão de que a empresa “B” é mais protetiva em termos de proteção de dados, fazendo então a recomendação de fechar contrato com ela e não com a empresa “A”.
O conflito de interesses neste exemplo simples é claro, o que leva à ausência de liberdade que o EPD deve ter conforme já apresentado pela ANPD no ponto 72 do seu Guia Orientativo para a Definição dos Agentes de Tratamento e do Encarregado. Portanto, para que esta liberdade seja atingida o EPD não poderá, repita-se, exercer funções que impliquem na tomada de decisões – de quaisquer tipos – sobre as atividades de tratamento.
Isto, é claro, não impede que o EPD seja responsável, por exemplo, pelo preenchimento do registro de atividades de tratamento (RAT) ou pela manutenção e atualização de registros de incidentes de segurança. Isto porque a manutenção e atualização destes e de outros registros não apenas não implicam em decisões sobre atividades de tratamento, como também podem ser vistas como inerentes à função de garantia da conformidade do agente de tratamento em relação à LGPD, como também já foi indicado no ponto 67 do já citado Guia Orientativo para a Definição dos Agentes de Tratamento e do Encarregado.
O que a ANPD poderá fazer é estabelecer uma lista exemplificativo de quais funções típicas na estrutura de um agente de tratamento implicam em tomada de decisão sobre atividades de tratamento, recomendando aos agentes de tratamento que não nomeiem pessoas destas funções para a função de EPD – sendo a decisão, contudo, e em última instância, do próprio agente de tratamento, com base no princípio da “responsabilização e prestação de contas.
Você concorda ou discorda?
E você, o que pensa a respeito desta pergunta? Quais seriam as suas contribuições para esta pergunta da tomada de subsídios sobre o DPO? Quais são suas sugestões considerando-se os critérios para a designação de uma pessoa como encarregado? Deixe abaixo seus comentários e participe!
Bom dia.
Acha que o diretor de riscos pode ser também EPD?
Olá Cláudio! Então, a questão que mais me preocupa é efetivamente a de conflito de interesses, independentemente do nome da função exercida. Então se for um diretor de riscos que não tome decisões sobre atividades de tratamento, não vejo problema. Mas se este diretor de riscos tomar decisões sobre tratamentos de dados pessoais, aí vejo que “complica“. A questão será sempre deixar claro que o encarregado precisa agir com autonomia, aí essa minha “insistência” na questão de não existirem outras funções para o encarregado (de preferência). O que você acha disso?
Bom dia, prezado Matheus!
Grato pelo seu retorno!
Corroboro com sua visão, entretando, vejo como conflito o Diretor de Riscos se o EPD e diretor ao mesmo tempo, devido ao fato de umas atribuições do diretor de riscos é manter a organização em plena conformidade com as regulamentações e Lei, inclusive o setor jurídico da organização está dentro do organograma do diretor de riscos. Concluindo, em minha visão humilde, não posso cobrar e realizar ao mesmo, para evitar que eu execute da forma esperada, mantendo assim, a conformidade a qual irei cobrar posteriomente em uma auditoria interna por exemplo.
Na verdade, continuo com um questionamento particular.
O diretor de riscos pode ser EPD, uma vez que o papel dele é regulamentar?
Olá Matheus e demais. Penso que seja muito difícil encontrar uma função/posição/cargo nas Empresas que não envolvam responsabilidades (poder decisório) sobre tratamento de dados pessoais em alguma medida, o que nos leva então a dois caminhos: nomear o EPD exclusivamente para esta função ou nomear alguém onde o conflito seja mínimo (isso dentro de uma análise de risco adequada). Se pensarmos em empresas com políticas de governança muito bem estabelecidas e que possam suportar um EDP exclusivamente nesta função, isso roda muito bem. Mas isso é a realidade de poucas empresas do cenário brasileiro. Há uma infinidade de empresas que não estão dispensadas de nomear um EDP e que não possuem governança bem estabelecida e não possuem recursos para nomear um EDP exclusivo. Nestes casos talvez um caminho seja contratar um EDP externo, com custo mais baixo (talvez) e sem conflito de interesses (desde que não seja um escritório jurídico, p. ex., que prestes outros serviços, porque aí haveria possibilidade de conflito de interesses também). Ou seja, a ANPD vai ter que pensar muito bem sobre como irá regulamentar a atuação do EPD no Brasil!
Olá Claudio, bom dia.
Concordo com a parte em que você falou sobre a realidade das (pequenas) empresas brasileiras, que é a mesma realidade das (pequenas) empresas europeias. Mas aí é a questão do princípio da responsabilidade, e mesmo a efetivação da legislação: um EPD que exerça outras funções conseguirá atuar de maneira livre e independente? Eu pessoalmente acho isso pouco provável.
Vamos pensar em um cenário em que a maioria das empresas são micro, pequenas ou médias (achei algumas estatísticas que falam em mais de 90% das empresas brasileiras sendo deste porte). Na União Europeia 99% das empresas são PME (93,3% são micro, 5,7% são pequenas e 0,9% são médias, sendo que aqui considera-se como empresa média aquela que tem até 249 funcionários + determinado valor anual de receita).
Então pensando nisso, e olhando para o Brasil, a ANPD já flexibilizou a nomeação do EPD, de maneira que estas 90 e tantos porcento de PMEs não precisarão nomeá-lo (ainda que, como a própria ANPD indica, isto seria uma boa prática). De certa maneira, “sobram” então as grandes empresas, que terão a obrigatoriedade de nomear o EPD de qualquer forma. E se são grandes, provavelmente terão a estrutura necessária para garantir esta autonomia em relação à atividade do EPD. De toda forma, será mesmo um desafio para a ANPD, especialmente devido ao lobby atualmente existente em relação a este ponto (lobby tanto a favor quanto contra o EPD).
Um último ponto: eu não acho que um EPD externo seja garantia de ausência de conflito de interesses, mas vamos deixar pra debater isso em um outro post hehehe. Um abraço!
Exato! Temos um longo caminho pela frente! Em tempo, EDP externo pode mesmo ter conflito de interesses também, como falamos aqui no Brasil, “rapadura é doce mas não é mole não”, hahaha. Parabéns pelo conteúdo do blog! Abraço!
Eu que agradeço pela sua participação e vamos que vamos!