A Autoridade Nacional de Proteção de Dados (ANPD) enfrenta um desafio crucial: tratar da questão do conflito de interesses na atuação do Encarregado de Proteção de Dados (DPO). O papel do DPO é o de orientar os agentes de tratamento para que estes atuem de acordo com as leis de proteção de dados, além de interagir com os titulares dos dados e com a ANPD. O DPO exerce, portanto, uma função fundamental no atual cenário de proteção de dados. É por isso que o tema dos DPOs, Conflitos de Interesses e LGPD é fundamental para o bom desenvolvimento da proteção de dados no Brasil.
Essa questão tem sido objeto de análise na Europa, região com uma longa história de proteção de dados e cujas experiências podem trazer aprendizados significativos para o Brasil. Na Bélgica, por exemplo, uma multa de 50 mil euros foi aplicada em abril de 2020 a uma empresa devido ao conflito de interesses de seu DPO, que também era diretor de auditoria, risco e conformidade. Na Alemanha, uma multa ainda mais elevada, de 525 mil euros, foi aplicada em setembro de 2022, também devido a um conflito de interesses do DPO. Essas multas representam não só perdas financeiras significativas para as empresas envolvidas, como também servem como alerta para todas as organizações sobre a importância de prevenir conflitos de interesses na função do DPO.
O processo C‑453/21 do Tribunal de Justiça da União Europeia, também abordou essa questão, concluindo que pode haver um conflito de interesses quando o DPO exerce outras funções ou atribuições que o levam a determinar as finalidades e os meios de tratamento de dados pessoais. Esse veredito reforça a necessidade de separar a função de controlador de dados da função de DPO para evitar conflitos de interesses.
A norma internacional ISO 27001, que define os sistemas de gestão de segurança da informação, pode oferecer diretrizes valiosas para entender melhor como evitar conflitos de interesses na função do DPO. Existe o “Lead Implementer” e o “Lead Auditor” da ISO 27001, sendo o primeiro responsável pela implementação e manutenção do sistema de segurança da informação, e o segundo responsável por avaliar a eficácia e conformidade do sistema. Estas funções devem ser exercidas por pessoas diferentes, visando prevenir um julgamento tendencioso.
A Lei Geral de Proteção de Dados (LGPD) no Brasil, embora seja um marco importante na proteção de dados, infelizmente, não proíbe explicitamente conflitos de interesses para o DPO. Este vazio legal pode gerar um ambiente propício para possíveis conflitos de interesses, criando uma situação delicada tanto para as organizações quanto para os próprios DPOs. Este é um aspecto que precisa ser abordado para proporcionar uma maior clareza legal e orientação para os DPOs e para as organizações que lidam com dados pessoais.
Foi com o objetivo de auxiliar aqueles que desejam se aprofundar no assunto e se tornarem profissionais preparados para lidar com os desafios da proteção de dados no Brasil que foi criado o curso “DPO na Prática”, atualmente em sua quarta edição. O curso se fundamenta em Quatro Pilares – Técnico, Prático, Habilidades e Mercado – e baseia-se na ideia de que não pode haver conflito de interesses entre a atuação do DPO e as vontades do agente de tratamento. Você pode ter acesso a uma explicação geral da atuação do DPO pelo evento “O que faz um DPO na Prática”, disponível gratuitamente na Plataforma DataUX.
Ao falarmos sobre DPOs, conflitos de interesses e LGPD, fica claro que a questão do conflito de interesses na atuação do DPO é um tema que precisa ser tratado com a urgência necessária pela ANPD. As experiências na União Europeia e as normas como a ISO 27001 nos oferecem um ponto de partida sólido para abordar essa questão. Precisamos avançar no fortalecimento do papel do DPO, garantindo sua independência e evitando possíveis conflitos de interesses. Só assim, poderemos assegurar uma proteção efetiva dos dados pessoais no Brasil.