Seis anos após a publicação da LGPD, finalmente as organizações no Brasil tiveram clareza quanto ao papel do DPO - Encarregado de Proteção de Dados Pessoais.
Em junho de 2024, a ANPD - Autoridade Nacional de Proteção de Dados publicou a resolução 18 que definiu papéis e responsabilidades dessa nova função. E, como cereja do bolo, reprovou a nomeação de quem possar ter conflitos de interesse com outras funções acumulando com a cadeira de DPO, obrigatória às empresas desde setembro de 2020, quando a LGPD entrou em vigor.
Sim, a função de DPO – Encarregado de Proteção de Dados – tornou-se obrigatória para todas as pessoas jurídicas em atividade no Brasil, nacionais ou estrangeiras, de todos os portes e segmentos da economia, tendo ou não finalidade de lucro.
Obrigação posta, empresários se viram cheios de dúvidas: como cumprir essa obrigação, quem nomear, quais competências priorizar, qual preparo exigir da pessoa, se seria dedicação exclusiva à função ou possibilidade de acumular com outras demandas, ou, ainda, a possibilidade de terceirizar para um especialista externo.
Diante das dúvidas, bebemos da fonte do Regulamento Geral de Proteção de Dados europeu, a GDPR, das guidelines do European Data Protection Board e das decisões das ANPD.
Por lá, o DPO poderia ser pessoa física, empregada ou terceirizada, ou pessoa jurídica prestando o serviço terceirizado como DPO as a Service. Dos ensinamentos europeus, também importamos os requisitos de preparo: conhecimento prévio em regulatório e também em segurança da informação, preferencialmente.
Na timeline brasileira, tivemos que esperar de 2020 até janeiro de 2022 quando a ANPD publicou a resolução 2 que - regulamentando sobre a aplicação da LGPD para pequenos negócios - flexibilizou a exigibilidade da nomeação de DPO para agentes de tratamento de pequeno porte.
Para a ANPD, agentes de tratamento de pequeno porte podem ser: “Microempresas, empresas de pequeno porte, startups, pessoas jurídicas de direito privado, inclusive sem fins lucrativos, nos termos da legislação vigente, bem como pessoas naturais e entes privados despersonalizados” desde que nesses negócios não seja executado:
- tratamento de dados pessoais em larga escala; ou
- tratamento de dados pessoais que possa afetar significativamente interesses e direitos fundamentais dos titulares;
- uso de tecnologias emergentes ou inovadoras;
- vigilância ou controle de zonas acessíveis ao público;
- decisões tomadas unicamente com base em tratamento automatizado de dados pessoais, inclusive aquelas destinadas a definir o perfil pessoal, profissional, de saúde, de consumo e de crédito ou os aspectos da personalidade do titular; ou
- utilização de dados pessoais sensíveis ou de dados pessoais de crianças, de adolescentes e de idosos.
Assim, tivemos o primeiro pronunciamento da ANPD sobre a função de DPO, sob a ótica de quem estaria dispensado a nomear alguém para essa função. Ainda assim, faltava sabermos o definitivo pronunciamento da ANPD sobre detalhes dessa nova função obrigatória por lei no organograma das organizações.
Somente agora, em 17/06/24, tivemos a publicação da resolução CD/ANPD 18, detalhando a função do encarregado, papel, atribuições, responsabilidade, requisitos para a nomeação e o que, em minha ótica, o ponto alto da manifestação desse órgão regulador: O enfretamento com a questão de conflitos de interesse.
Em linhas gerais, quem aponta o risco não é que assume o risco, regra lógica da governança e gestão de riscos.
Para a ANPD, o DPO nomeado não precisa ser uma função de dedicação exclusiva, pode acumular com outro ou outros papéis desde que essas outras atribuições não entreguem a esse profissional o dever de decidir sobre a tomada de riscos.
Compete ao DPO, portanto, o apontamento do risco – e com essa lente dos dados pessoais – o risco de violação de privacidade ou atuação discriminatória com uso de dados pessoais por meio da atividade empresarial. À outra cadeira da organização caberá a decisão de seguir ou não com a atividade “violadora”, ou aplicar as medidas de segurança ou mitigadoras.
O conflito de interesse pode ser verificado se o Agente nomear um empregado que já esteja em outra função. Nessas hipóteses, funções como presidentes, diretores, gerentes decisores, pessoas que têm autonomia – ainda que em conjunto – para deliberar sobre ações e assunções de riscos se nomeados também DPO estaremos diante de um conflito de interesse.
Na dinâmica do DPOaaS, o conflito pode se dar na hipótese de o DPO funcionar para agentes de tratamentos distintos que se relacionem entre si, em operações de tratamento correlacionadas como controlador-operador ou co-controladoria com existência de prejuízo de sua orientação para um ou para outro. Dentro da advocacia, esse cenário já é conhecido e viola a ética profissional. Nada diferente do que o mercado já está acostumado.
A responsabilidade funcional do DPO (orgânico ou aaS) será, então, de cunho técnico pautada na sua orientação/recomendação. Como já sinalizávamos, a responsabilidade perante os titulares, perante parceiros e perante a ANPD é sempre do agente de tratamento de dados, a quem cabe buscar, via direito de regresso, recuperação de danos causados pela falha técnica orientativa do DPO, em especial, se terceirizado (art. 17 da resolução e art. 11).
Para além da preocupação com o eventual conflito de interesse, a resolução cuidou bem de expressar a responsabilidade do DPO como um orientador, ao passo em que registrou as obrigações para as organizações viabilizarem os meios necessários para o exercício das atribuições, o que, em nossa prática como DPOaaS, se mostra mais desafiador: o compartilhamento de informações sobre nossas atividades com dados pessoais para análise de conformidade para recomendações.
De ordem prática, a resolução obriga às organizações a publicizarem o nome do seu DPO (em caso de ser empresa terceirizada que expresse também o nome da pessoa física responsável). Tal medida embora possa soar estranha segue a mesma lógica da contratação de escritórios jurídicos e de escritórios de contabilidade em que a sociedade é contratada e perante o órgão (Poder Judiciário ou Receita Federal) a vinculação é em nome dos profissionais na física.
Em nossa opinião, mais uma vez a ANPD trabalhou certo em sua resolução didática, clara, completa e enfrentando um tema não tão comum que é o conflito de interesse.