Este artigo examina atribuições do Encarregado pelo Tratamento DPO conforme Resolução CD/ANPD nº 18 da ANPD e o artigo 38 do Regulamento GDPR
Por Selma Carloto e Mario Toews
Este artigo examina as atribuições do Encarregado pelo Tratamento de Dados Pessoais (DPO) conforme a Resolução CD/ANPD nº 18 da Autoridade Nacional de Proteção de Dados (ANPD) e o artigo 38 do Regulamento Geral de Proteção de Dados (GDPR).
A Resolução orienta sobre o papel do DPO no Brasil, alinhando-se às práticas europeias e enfatizando a importância de sua independência para prevenir conflitos de interesse.
Um exemplo notável de conflito de interesses foi a multa de €50.000 imposta pela Autoridade Belga de Proteção de Dados (DPA) a uma empresa que nomeou como DPO o chefe de conformidade, auditoria e gestão de riscos, em violação ao artigo 38(6) do GDPR.
A sobreposição de funções impediu que o DPO atuasse de forma independente, comprometendo a imparcialidade necessária ao cargo (DPO Centre, 2024).
Outro caso resultou em uma multa de €75.000 a um banco, onde o DPO acumulava responsabilidades em Gestão de Riscos e Investigação, violando os artigos 38(3) e 38(6) do GDPR. A DPA destacou que o DPO deve ter acesso direto à alta administração e participar de discussões estratégicas sem interferências, considerando a falta de salvaguardas à independência como uma grave falha de governança (Nauwelaerts, 2022).
Esses casos enfatizam a responsabilidade das empresas em assegurar que o DPO tenha autonomia para atuar imparcialmente, sem conflitos que prejudiquem a sua supervisão. A falta de conformidade pode resultar em multas significativas, refletindo a importância de uma governança rigorosa na proteção de dados pessoais (Hunton, 2024).
O Tribunal de Justiça da União Europeia (TJUE) também esclareceu critérios para conflitos de interesse no papel do DPO no caso X-FAB Dresden GmbH & Co. KG. O tribunal analisou a demissão de um DPO que também atuava como presidente do conselho de trabalhadores, comprometendo a sua independência funcional.
O TJUE destacou que, conforme o art. 38 do GDPR, o DPO não deve exercer funções que influenciem a definição de finalidades e meios de tratamento de dados, pois isso comprometeria a sua objetividade na supervisão da conformidade. Essa decisão reforça a importância de preservar a independência do DPO em suas funções (TJUE, 2023).
Essas decisões demonstram que a autonomia do DPO é fundamental e que o TJUE continua a enfatizar que, mesmo com proteções adicionais contra demissões, o regulamento deve priorizar a imparcialidade do DPO, especialmente em contextos que apresentem conflitos de interesse.
De acordo com a Resolução CD/ANPD nº 18, a nomeação do DPO deve ser formal e documentada, garantindo sua a independência e competência técnica.
Além disso, o DPO atua como elo entre o controlador, os titulares de dados pessoais e a ANPD, sendo a sua autonomia e capacitação técnica essenciais para assegurar o respeito aos direitos dos titulares e a conformidade da organização com as normas de proteção de dados.
Tanto a LGPD quanto as normas internacionais enfatizam que o DPO deve possuir independência e qualificação adequadas para desempenhar suas funções com eficácia.
A Resolução CD/ANPD nº 18 exige que o DPO atue com independência e objetividade (art. 18), evitando influências que comprometam sua imparcialidade, especialmente ao acumular outras funções na organização.
O GDPR também permite que o DPO tenha outros cargos, desde que estes não afetem a sua supervisão independente (art. 38(6)), garantindo que os dados sejam tratados conforme as normas de proteção de dados pessoais.
A Resolução CD/ANPD nº 18 reforça a necessidade de o DPO agir com ética e autonomia técnica (art. 18), alinhando-se ao cenário europeu. Conforme ambas as normas o DPO deve estar desvinculado de responsabilidades que comprometam sua capacidade de decisão objetiva.
A Resolução CD/ANPD nº 18 exige que o DPO atue com ética e autonomia técnica (art. 18), similarmente ao cenário europeu. O DPO deve relatar possíveis conflitos de interesse, e cabe à organização garantir que sua atuação seja independente. A ANPD pode impor sanções se essas funções interferirem na autonomia do encarregado.
A nomeação de diretores ou gerentes para a função de DPO requer uma avaliação rigorosa de suas atribuições, visando a evitar conflitos de interesse que comprometam a imparcialidade e independência do DPO, conforme exigido pela LGPD.
Caso o diretor ou gerente esteja diretamente envolvido em decisões estratégicas ou operacionais sobre o tratamento de dados pessoais (incluindo coleta, armazenamento, uso ou compartilhamento de dados), ele não deve acumular a função de DPO, pois isso interfere em sua capacidade de monitoramento isento e supervisão adequada.
Entretanto, caso o diretor ou gerente exerça atividades estritamente operacionais, que não envolvam decisões sobre o tratamento de dados pessoais, a acumulação de funções pode ser viável.
Por exemplo, um gerente administrativo cuja atuação se limita à gestão de ativos físicos (como imóveis, equipamentos e infraestrutura), sem qualquer envolvimento nas políticas de tratamento de dados pessoais, estaria apto a exercer a função de DPO.
A ausência de influência direta sobre as operações de dados é indispensável para preservar a independência do DPO nesse contexto.
Uma situação clássica de conflito de interesses ocorre na designação de profissionais da área jurídica para a função de DPO, exigindo análise aprofundada, dado o risco acentuado existente.
Profissionais jurídicos que representam a empresa em litígios ou processos administrativos sobre decisões de tratamento de dados pessoais enfrentam sobreposição de funções conflitantes, uma vez que o DPO, conforme a Resolução CD/ANPD nº 18 e a LGPD no Brasil, e o GDPR na União Europeia, deve monitorar o cumprimento das normas de proteção de dados com total imparcialidade e independência.
A combinação entre as funções de DPO e representação jurídica compromete a neutralidade necessária ao encarregado, especialmente em contextos de defesa de decisões de tratamento de dados perante o Judiciário ou órgãos reguladores, o que limita a capacidade de análise objetiva dos riscos e a adoção de medidas corretivas adequadas.
Para resguardar a integridade da função de DPO é essencial que o encarregado não participe na defesa de questões envolvendo o tratamento de dados, preservando seu foco no monitoramento da conformidade e na proteção dos direitos dos titulares de dados, em alinhamento com os preceitos de independência e imparcialidade estabelecidos pelas normas de proteção de dados pessoais.
A falta de observância dos princípios citados pode resultar em penalidades severas, incluindo multas, advertências e até suspensão de atividades de tratamento de dados.
No Brasil, a Resolução nº 18 da ANPD prevê sanções específicas para situações de conflito de interesse, bem como diretrizes para garantir que o DPO disponha dos recursos necessários para atuar de forma independente.
Além das sanções administrativas pela ANPD, a organização pode enfrentar ações judiciais por danos materiais ou morais aos titulares de dados, o que amplifica os riscos financeiros e de reputação.
A contratação de um DPO externo pode ser uma solução eficaz para assegurar a imparcialidade requerida; no entanto, a empresa deverá garantir a autonomia técnica e os recursos que ele necessita para atender plenamente às exigências da Resolução 18 da ANPD.
A Resolução CD/ANPD nº 18 alinha-se às melhores práticas internacionais, estabelecendo que o DPO deve exercer suas funções sem influências que comprometam sua imparcialidade.
Casos como as multas aplicadas por autoridades estrangeiras mostram a importância de uma governança robusta em proteção de dados.
As organizações brasileiras devem garantir a independência e autonomia do DPO para mitigar riscos e proteger os direitos dos titulares de dados pessoais.
Essas diretrizes reforçam que o não cumprimento dos princípios de imparcialidade pode acarretar sanções financeiras e impactos negativos na confiança dos titulares e na reputação das empresas. A adoção de práticas sólidas de governança é essencial para assegurar a conformidade e evitar penalidades.
A influência da LGPD no Setembro Amarelo
Como garantir uma gestão jurídica inteligente utilizando Legal Operations?
Governança empresarial, Sistemas de IA e a necessária consonância com a LGPD
No Crypto ID você lê excelentes artigos sobre a legislação brasileira e internacional relacionada à tecnologia e a segurança da informação, também novidades sobre ferramentas e aplicações da tecnologia na prática jurídica. Acesse agora mesmo!
Cadastre-se para receber o IDNews e acompanhe o melhor conteúdo do Brasil sobre Identificação Digital! Aqui!