Divido o artigo do advogado Luis Fernando Prado Chaves do escritório Daniel Law sobre este tema tão relevante: Pode o DPO ser o mesmo de compliance?
O comparativo traçado pelo autor é completo e bem instigante e teço alguns comentários após:
Bélgica: Empresa é multada por ter nomeado head de compliance, auditoria e riscos como DPO.
Por: Luis Fernando Prado Chaves*
Na última semana, mais precisamente no dia 28/04/2020, em decisão que chocou parte dos especialistas europeus em proteção de dados, a Autoridade Belga (íntegra da decisão em holandês) multou uma operadora de telefonia em 50 mil euros em razão de inadequada nomeação de DPO (em português, encarregado de proteção de dados).
Após um incidente de segurança, a Autoridade daquele país realizou investigação sobre as práticas da empresa em matéria de proteção de dados e concluiu pela impossibilidade de cumulação das funções de DPO e head de compliance, pois as rotinas de compliance demandam tratamento constante e relevante de dados pessoais, o que inviabilizaria a supervisão independente de tais atividades por parte do DPO por se tratar da mesma pessoa. Ainda, tal cumulação de cargos, segundo a Autoridade Belga, revela um “significante grau de negligência” por parte da empresa investigada, o que culminou na aplicação da multa de 50 mil euros, que, à primeira vista, pode não parecer grande coisa, mas é a maior sanção administrativa imposta até agora pela Autoridade Belga, segundo os colegas europeus do escritório Fieldfisher.
O espanto dos profissionais de privacidade europeus se justifica em razão de a decisão ser considerada excessivamente rigorosa, já que: (i) o GDPR permite a cumulação do cargo de DPO com outras funções, desde que não haja conflito de interesses; (ii) as guidelines do WP29 (atual European Data Protection Board – EDPB) sobre DPO não chegam a esse nível de rigor, mencionando (tudo bem que a título de exemplo) posições de conflito com o DPO que passam longe daquilo que faz a pessoa em posição de head de compliance; e (iii) muitas empresas na Europa – tal como vem acontecendo no Brasil – nomearam seus heads de compliance como DPO, sendo que, apesar dos riscos jurídicos envolvidos, isso nunca tinha sido um problema efetivo à luz de proteção de dados até então.
Inclusive, segundo o último relatório de governança disponibilizado pela IAPP em conjunto com a EY, em 18% dos casos o DPO se reporta ao(à) head de compliance da organização. Não preciso nem mencionar que o precedente belga deixou o pessoal em terras de GDPR de cabelo em pé, colocando em xeque programas de governança em proteção de dados e fazendo uma dúvida inquietante atravessar o Atlântico:
Mas, afinal, aqui no Brasil DPO vai poder acumular o cargo de head de compliance?
Bem, se lá no primeiro mundo, onde o GDPR é realidade, há muitos colegas discordando e encarando com perplexidade a decisão da Autoridade Belga, aqui no Brasil precisamos lembrar que a LGPD é omissa em relação ao acúmulo de funções, não dispondo sequer (ao menos não de maneira expressa) sobre a necessidade de se evitar conflito de interesses. Portanto, podemos concluir que é totalmente viável que o DPO acumule função, mas alguns alertas devem ser feitos – e o precedente belga deveria fazer com que abríssemos ainda mais os olhos.
Considerando a influência do direito europeu de proteção de dados sobre o brasileiro, bem como as tendências interpretativas que são esperadas da doutrina, jurisprudência e autoridade nacional, devemos considerar a ação de evitar conflito de interesses nas atribuições do DPO, senão como obrigação implícita decorrente do artigo 41, §2o, III (que estabelece como função do DPO o dever de orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais), ao menos como uma prática fortemente recomendável, para dar efetividade ao artigo 50 da LGPD (que aborda os elementos de um programa de governança adequado).
Abaixo, apresento breves dicas de como materializar tal prática:
✓ Dotar o DPO de independência para exercer suas funções;
✓ Prover os recursos necessários, conforme o tamanho da organização, para que as funções do DPO sejam realizadas a contento;
✓ Idealmente, não imergir o DPO em áreas/estruturas que ele deverá analisar criticamente, tais como:
Compliance: o DPO deve analisar as operações de background-check que envolvem dados pessoais e são conduzidas por essa área;
TI: o setor de TI é responsável, por exemplo, pela aquisição de tecnologia da empresa, o que, no melhor cenário, deveria contar com uma análise isenta por parte do DPO;
Segurança da Informação: também no contexto ideal, o DPO deveria servir como uma segunda opinião em relação a assuntos que envolvam segurança da informação aplicada a dados pessoais;
Outras áreas de conflito evidente: são exemplos de áreas que podem trazer notório conflito de interesses em relação às atividades de DPO: RH, marketing, inovação, digital, big data, comercial/vendas etc.
Além disso, é importante que o DPO tenha as seguintes garantias que prestigiam a independência a ser perseguida:
➢ Ter acesso às lideranças das áreas-chave da empresa;
➢ Ter recursos (humanos e materiais) para o desempenho de suas funções;
➢ Reportar-se ao mais alto nível gerencial da organização; e
➢ Ter autonomia para exercício de suas atividades sem que sua atuação sofra pressões por resultados financeiros ou metas comerciais.
É claro que aqui estamos falando do mundo ideal. Em algumas organizações, principalmente em razão do porte e orçamento, não será possível criar uma área autônoma para o DPO e seu time, que se reporte ao mais alto nível gerencial como mandam as melhores práticas. Na maioria desses casos, a solução será mesmo a de cumular funções, ocasião em que será de extrema importância a implementação de mecanismos por parte da companhia para lidar com os conflitos de interesses que surgirão no dia-a-dia.
Enfim, como (quase) tudo na jornada de governança em proteção de dados, também para a estruturação de um cargo efetivo de DPO não há fórmula única. No entanto, o precedente belga deixa claro algo que é aplicável aqui ou lá: se o seu DPO for apenas para inglês ver, a caneta da autoridade poderá agir. Todo cuidado é pouco nos programas de adequação à LGPD, especialmente no desenho da estrutura de governança, para que as medidas adotadas pelas organizações não sejam interpretadas como “significante grau de negligência“.
* Luis Fernando Prado Chaves é sócio e head da área de Direito Digital e Proteção de Dados da Daniel Advogados. Profissional de privacidade (CIPP/E) certificado pela International Association of Privacy Professionals (IAPP). Advogado reconhecido como um dos mais admirados pelo anuário Análise 500 (2019). Premiado como Legal Influencer na categoria “Leading author for Technology, Media and Telecom (TMT) – Central and South America” pelo portal jurídico Lexology. Possui mestrado (LLM) em Derecho Digital y Sociedad de la Información pela Universitat de Barcelona. Especialista em Propriedade Intelectual e Novos Negócios pela FGV DIREITO SP. Graduado em Direito pela Universidade Presbiteriana Mackenzie. Co-autor dos livros “Comentários ao GDPR – Regulamento Geral de Proteção de Dados da União Europeia” e “LGPD Comentada” (Ed. Revista dos Tribunais). Professor e palestrante convidado em diversas instituições de ensino do país. Foi pesquisador externo do Grupo de Ensino e Pesquisa em Inovação (GEPI) da FGV Direito SP, onde participou das contribuições ao Anteprojeto de Lei sobre Proteção de Dados (Ministério da Justiça), que resultou na LGPD.
Luis Fernando Prado Chaves CIPP/E | Partner @ Daniel Law | Head de Direito Digital, Privacidade e Proteção de Dados | IT, Privacy & Data Protection
Interessante não?
Numa primeira análise, concordo com a Bélgica, devemos ter figuras diferentes entre head de compliance e DPO. Seus trabalhos são diversos e podem ser influenciados um pelo outro, além de poder gerar decisões antagônicas e quiçá contraditórias…
Mais um assunto para LGPD em 2021!
#FraternoAbraço #GustavoRocha
(51) 98163.3333 | gustavo@gustavorocha.com | www.gustavorocha.com
@ConsultorGustavoRocha | Instagram | Facebook | LinkedIn
#Consultoria GustavoRocha.com | Gestão, Tecnologia e Marketing Estratégicos
Robôs | Inteligência Artificial | Jurimetria | Marketing Jurídico | Fluxos Internos | Plano de Carreira | Financeiro
@GustavoRochaCom | Twitter | Facebook | LinkedIn | YouTube
Gustavo Rocha | Podcast Spotify