A view to a fine: DPO na mira dos reguladores

Hiperpolarização, cabo de guerra entre os três Poderes da República e pandemia. Como se tudo isso não bastasse, a famigerada Lei Geral de Proteção de Dados (LGPD) segue no epicentro de um debate que vai de postergação à suspensão parcial ou total. Mais uma grande interrogação nesses tempos de incertezas. Com essa cortina artificial de fumaça, é natural que nossa visão fique turva para questões efetivamente relevantes sobre a LGPD, como por exemplo, o fato de  não haver uma Autoridade Nacional de Proteção de Dados (ANPD), a ausência de regulamentação técnica infralegal dos dispositivos da lei, além de 85% das empresas brasileiras não estarem preparadas para atender às previsões legais[1], entre outros temas.

Sem ambição de resolver todos os problemas da LGPD, neste breve texto, dedicamo-nos a traçar um relevante recorte e endereçar nossos esforços para a clarificação da figura do encarregado – o Data Protection Officer ou DPO, no vernáculo de Shakespeare -, previsto no art. 41 da referida lei.

É evidente que a indefinição legislativa sobre a LGPD, a novidade da pauta de proteção de dados no Brasil e o caráter principiológico característico das leis que pretendem regular tecnologia geram uma enorme insegurança jurídica. Contudo, não podemos nos acometer de uma síndrome de vira-lata. O Regulamento Geral de Proteção de Dados da União Europeia (GDPR), norma-mãe da LGPD, também oferece bastante dor de cabeça para seus operadores.

Afinal, é uma norma aplicada a todos os países do bloco europeu, os quais a internalizam e a colocam em diálogo com seus sistemas domésticos de diferentes sistemas e tradições sociojurídicas. Uma dessas incongruências diz respeito às atribuições do encarregado ou DPO. Trata-se do profissional responsável por estabelecer protocolos de segurança e conformidade dos dados pessoais dentro das empresas.

A lei brasileira ainda é reticente quanto às suas atribuições. Em sua única previsão, o art. 41 e seus §§ da LGPD, elenca-se algumas das atividades do DPO[2] e outorga-se à ANPD o estabelecimento de normas complementares quanto às suas definições[3]. O GDPR, por sua vez, é eloquente quanto às hipóteses de designação do cargo dentre as atividades que lidam com tratamento de dados (GDPR, art. 37, 1), suas funções de informação, controle e cooperação no referido tratamento (GDPR, art. 39, 1), e seu escopo de atuação, que considera limites e possibilidades dos setores públicos e privados (GDPR, art. 37).

Ademais, com o objetivo de destacar a importância desse profissional dentro das organizações, o GDPR lhe confere garantias e deveres bem delineados frente à adequada tutela de proteção de dados pessoais. A de título de exemplo, o DPO: (i) deve ter assegurado o envolvimento em qualquer questão relativa à proteção de dados pessoais de forma adequada (GDPR, art. 38, 1); (ii) deve dispor dos recursos necessários para desempenho e manutenção de suas atividades operacionais (GDPR, art. 38, 2); (iii) não pode sofrer qualquer sanção em razão do exercício de suas funções, reportando-se diretamente ao nível mais alto de sua companhia (GDPR, art. 38, 3); (iv) deve responder diretamente aos titulares de dados sobre quaisquer questões relacionadas ao tratamento de seus respectivos dados (GDPR, art. 38, 4); (v) obriga-se a resguardar o sigilo e confidencialidade no exercício de suas funções (GDPR, art. 38, 5); e (vi) pode exercer outras funções internas desde que as atribuições não resultem em conflito de interesses (GDPR, art. 38, 6).

Assim, muito embora seja vedado ao DPO acumular suas funções com as de outros cargos vistos como conflitantes, a norma não é clara quanto a tais hipóteses. De acordo com o European Data Protection Board (EDPB), antigo Article 29 Working Party (WP29), órgão vinculado à Comissão Europeia, o DPO não pode “exercer [outro] cargo dentro da organização que o leve a determinar as finalidades e os meios do tratamento de dados pessoais”. O EDPB identifica como possíveis posições conflitantes com as de DPO aquelas de “diretor executivo, diretor de operações, diretor financeiro, diretor do departamento médico, diretor de marketing, diretor dos recursos humanos ou diretor informático”.[4] No entanto, esclarece que a configuração do conflito de interesses depende de análise casuística.

Passemos, portanto, a um caso concreto. No final de abril de 2020, a Câmara de Litígios da Autoridade Belga de Proteção de Dados (DPA belga) aplicou uma multa de € 50.000,00 (cinquenta mil euros) contra uma empresa de telecomunicações ao declarar que a cumulação entre as funções de DPO com as de Chefe de Risco, Auditoria e Compliance resultou em patente conflito de interesses.

O procedimento fiscalizatório teve início após a empresa de telecomunicações ter substituído o envio da fatura física à residência de seus clientes pela modalidade de fatura eletrônica por e-mail, e ter enviado os invoices para os endereços eletrônicos errados. Disponibilizou-se, dessa maneira, informações pessoais detalhadas a e-mails, inclusive corporativos, controlados por chefes e gestores de cada um desses clientes. Como resultado da violação de dados pessoais, a companhia comunicou o incidente à DPA belga, na forma do art. 33 do GDPR.

Assim, após a DPA belga ter iniciado sua auditoria[5] foi constatado que o DPO não participou suficientemente das discussões sobre a violação de dados em questão, uma vez que ele era apenas informado da situação, não sendo efetivamente consultado para opinar. Constatou-se então que o DPO acumulava funções incompatíveis dentro da organização, sendo inferido que isso comprometia sua atuação como profissional independente. Como consequência, a DPA belga decidiu levar o caso à sua Câmara de Litígios.

De acordo com a decisão, para que o DPO atuasse como chefe desses outros departamentos precisaria, necessariamente, ter que tomar decisões sobre a finalidade e os meios das atividades de tratamento de dados, o que comprometeria a independência inerente às posições[6]. Além disso, a DPA belga declarou que, como regra geral, o cargo de “Chefe de Departamento”, que possui a atribuição intrínseca de supervisão, é incompatível com função desempenhada pelo DPO, uma vez que faltaria a possibilidade de uma revisão independente, necessária ao adequado tratamento de proteção de dados[7]. Conclui-se que haveria violação ao seu dever de confidencialidade (GDPR, art. 38, 5), assim estaria configurado o conflito de interesses (GDPR, art. 38, 6).

Vale ponderar que a decisão não tem o condão de ser encarada como precedente apto a impedir que o DPO atue em outros departamentos da organização; é possível a acumulação de funções até mesmo nos setores de compliance, auditoria, risco, jurídico, recursos humanos e tecnologia de informação. O que é vedado, de acordo com a DPA belga, é a acumulação com os cargos de chefes destes departamentos, em razão do alto grau de responsabilização operacional no tratamento de dados, de modo que o coloque em uma posição de conflito de interesses, com potencial comprometimento de suas obrigações de confidencialidade e sigilo[8].

Cabe destacar que antes mesmo da entrada em vigor do GDPR, em 2017, a DPA belga já havia emitido uma recomendação sobre nomeação de DPO[9]. De acordo com a autoridade, as empresas devem avaliar casuisticamente a compatibilidade da função exercida pelo DPO com outros cargos existentes em sua organização, a fim de garantir a observância dos requisitos do GDPR e evitar possíveis conflitos de interesses. Na mesma oportunidade, a DPA belga ressaltou que, ao nomear um DPO, a entidade deve consultá-lo para questões tangentes à proteção de dados pessoais existentes em sua corporação e garantir que o ocupante do cargo desempenhe suas funções de maneira independente.

A decisão, entretanto, foi recebida com espanto pela comunidade europeia, em razão não apenas da interpretação extensiva do art. 38, 6, do GPDR, ao considerar que o acúmulo de cargos em questão configuraria em necessário conflito de interesses, mas também por se tratar da multa mais alta até então aplicada pelo órgão[10].

Cumpre salientar que já houve decisões similares no tocante à imposição de multa pela cumulação de cargos por um DPO, mas minimamente dentro de um escopo de previsibilidade. Em 2016, a Autoridade Alemã de Proteção de Dados da Baviera (BayLDA) já considerou que há conflito de interesses quando um DPO também exerce as funções de gerente de TI[11], hipótese prevista categoricamente nas diretrizes do EDPB.

Ainda assim, definir o que pode ser considerado conflito de interesses dentro de um mesmo ambiente de trabalho é complexo. Acumulações de funções são comuns e diversas vezes necessárias. Em matéria de compliance empresarial, muito se discute quanto à tendência de se “departamentalizar” setores de compliance de demais setores afins. Acerca da divisão entre os chefes dos setores de compliance (Chief Compliance Officer), e jurídico (Chief Legal Officer), Michele DeStefano, professora de governança afiliada à Faculdade de Direito de Harvard, argumenta que essa segmentação traz consequências graves como poder excessivo, que destoa das capacidades das empresas e a independência que se sobressai à colaboração interna.

Ademais, para a professora, a excessiva departamentalização não garante o tipo de profissional certo para lidar com questões de conformidade, aumenta demasiadamente o sigilo das informações levantadas, a ponto de censurar e congestionar comunicações internas e impede o fomento de uma cultura ética interna. Ademais, a especialista destaca que a garantia de uma cultura ética interna se dá mediante organizações constantes e não por imposições legais[12].

Dito isso, as funções atribuíveis a um DPO poderiam se enquadrar nessa controvérsia? A princípio, a importância da função do DPO não se sobressai – ou, pelo menos, não deveria – às responsabilidades de chefiar outros departamentos, como as de compliance e jurídico. Em todos esses cargos, pressupõe-se o dever de probidade e comprometimento das funções ali exercidas. Conflitos de interesses são intrínsecos a ambientes públicos e privados, e cotidianamente são sopesados e solucionados, visando o melhor atendimento ético e humano.

Se conjecturarmos a penalidade imposta pela DPA belga no contexto nacional, a questão pode se tornar ainda mais complexa. De acordo com a Resolução Conjunta nº 01 do Banco Central do Brasil (Bacen), que dispõe sobre a implementação do Sistema Financeiro Aberto, impõe-se às instituições participantes do sistema de Open Banking a designação de um Diretor Responsável pelo Compartilhamento (DRC) (Resolução Conjunta nº 01 do Bacen, art. 33). Em uma primeira análise, parece que estamos diante da mesma figura do DPO. Surge, portanto, o inevitável questionamento: haveria conflito de interesses caso um profissional detivesse cargo de DPO e DRC?

Para responder à pergunta, devemos entender que o Open Banking nada mais é do que um sistema de descentralização de informações financeiras – incluindo aí dados pessoais – que concede maior mobilidade às transações bancárias de pessoas físicas e jurídicas. Assim, diante de um inevitável aumento no fluxo de dados pessoais, o Bacen criou a figura do DRC para garantir a adequada tutela da proteção de dados no âmbito exclusivo do setor bancário. Como sua função é restrita à elaboração de um relatório semestral contendo o compartilhamento de dados e serviços aos quais a instituição financeira esteve envolvida (Resolução Conjunta nº 01 do Bacen, art. 33), permite-se ao profissional o acúmulo de funções desde que não haja conflito de interesses (Resolução Conjunta nº 01 do Bacen, art. 32, parágrafo único).

Dessa maneira, é inegável que a atuação tanto do DRC quanto do DPO converge-se na garantia e manutenção do adequado tratamento de dados pessoais. Inclusive, a única função do DRC se assemelha em uma das várias funções que um DPO deve desempenhar (LGPD, art. 41, §2º, III). Logo, ao nosso ver, o acúmulo das funções seria factível, por, em um primeiro momento, inexistir conflito de interesses.

Ocorre que, como visto, competirá à ANPD estabelecer normas complementares das atribuições do DPO. Assim, a ANPD ainda “articulará sua atuação com outros órgãos e entidades com competências sancionatórias e normativas afetas ao tema de proteção de dados pessoais e será o órgão central de interpretação [da LGDP] e do estabelecimento de normas e diretrizes para a sua implementação[13]. No entanto, sequer há uma comissão formada necessária à criação da ANPD, tampouco a sua estrutura se encontra delineada. E, até o último round da queda de braço entre nossos poderes constituídos, datada de 19/05, a LGPD entrará em vigor em poucos meses[14].

Esse é apenas mais um infeliz exemplo que corrobora a necessidade de uma ANPD forte e independente para conferir legitimidade e eficácia à LGPD. A ANPD, que será responsável por fiscalizar desde a padaria da esquina até as grandes empresas de tecnologia[15], mostra-se fundamental para garantir harmonia na interpretação das leis que versam sobre dados pessoais e sua efetiva aplicação, tanto no setor público quanto no privado[16]. Para aquele que, na data da publicação deste artigo, cogita tornar-se DPO no Brasil, muito cuidado, pois “between the shades, [there are fines and lawsuits] standing still

——————————-

[1] DA SILVA, Rafael Rodrigues. Pesquisa revela que 85% das empresas brasileiras não estão preparadas para a LGPD. CanalTech Disponível em: <https://canaltech.com.br/governo/pesquisa-revela-que-85-das-empresa-brasileiras-nao-estao-preparadas-para-a-lgpd-146237/>. Acesso em: 23.05.2020

[2] Art. 41, LGPD: § 2º As atividades do encarregado consistem em: I – aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências; II – receber comunicações da autoridade nacional e adotar providências; III – orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e IV – executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

[3] Art. 41, LGPD: § 3º A autoridade nacional poderá estabelecer normas complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados.

[4] COMISSÃO NACIONAL DE PROTEÇÃO DE DADOS. Grupo do Artigo 29º para a Proteção de Dados. Disponível em: – https://www.cnpd.pt/home/rgpd/docs/wp243rev01_pt.pdf -Acesso em: 24.05.2020.

[5] Conforme preceitua o art. 23(1), item “h”, do GDPR.

[6] COUNESON, Guillaume. Belgium – Can a “head of” act as a data protection officer? Linklaters. Disponível em: <https://www.linklaters.com/en/insights/blogs/digilinks/2020/may/belgium—can-a-head-of-act-as-a-data-protection-officer>. Acesso em: 28.05.2020

[7] Arquivo nº AH-2019-0013. Decisão substantiva 18/2020, de 28 de abril de 2020. Relatório de inspeção sobre a responsabilidade por violações de dados e o cargo de responsável pela proteção de dados. Disponível em: <https://www.gegevensbeschermingsautoriteit.be/sites/privacycommission/files/documents/Beslissing_GK_18-2020_NL_.pdf>. Acesso em: 31.05.2020

[8] RONCO, Emmanuel et alThe Dilemma of the Part-Time DPO – Lessons Learned from the Proximus Decision of the Belgian Data Protection Authority. Disponível em: <https://www.clearycyberwatch.com/2020/05/the-dilemma-of-the-part-time-dpo-lessons-learned-from-the-proximus-decision-of-the-belgian-data-protection-authority/>. Acesso em: 28.05.2020,

[9] HUNTON ANDREWS KURTH. Belgian DPA Issues Recommendation on DPO Appointment under GDPR. Disponível em: <https://www.huntonprivacyblog.com/2017/06/13/belgian-dpa-issues-recommendation-dpo-appointment-gdpr/>. Acesso em: 28.05.2020.

[10] VAN CANNEYT, Tim. Should all Heads of Compliance/Legal step down as DPO, following the Belgian DPA ruling? Disponível em: <https://www.fieldfisher.com/en/services/privacy-security-and-information/privacy-security-and-information-law-blog/heads-of-compliance-legal-step-down-as-dpo>. Acesso em: 24.05.2020

[11] BAYERISCHES LANDESAMT FÜR DATENSCHUTZAUFSICHT. Pressemitteilung: Datenschutzbeauftragter darf keinen Interessenkonflikten unterliegen. Disponível em: <https://www.lda.bayern.de/media/pm/pm2016_08.pdf>. Acesso em: 28.05.2020

[12] DESTEFANO, Michele. Creating a Culture of Compliance: Why Departmentalization May Not Be the Answer. Hastings Business Law Journal, Vol. 10, p. 71, 2014. Disponível em: <https://papers.ssrn.com/sol3/papers.cfm?abstract_id=2391434>. Acesso em: 31.05.2020

[13] Art. 55-J, Parágrafo único, LGPD.

[14] CONJUR. Senado aprova PL original sobre medidas emergenciais durante a epidemia. Consultor Jurídico. Disponível em: <https://www.conjur.com.br/2020-mai-19/senado-aprova-texto-pl-medidas-emergenciais>. Acesso em: 29.05.2020

[15] BECKER, DANIEL; BRUZZI, Eduardo, WOLKART, Erik Navarro. Estamos trancados num paiol de pólvora: LGPD, ANPD e demandismo. JOTA. Disponível em: https://www.jota.info/opiniao-e-analise/colunas/regulacao-e-novas-tecnologias/estamos-trancados-num-paiol-de-polvora-lgpd-anpd-e-demandismo-20072019. Acesso em: 28.5.2020.

[16] TEFFÉ, Chiara Spadaccini. Por que precisamos de uma Autoridade Nacional de Proteção de Dados? JOTA. Disponível em: https://www.jota.info/opiniao-e-analise/artigos/por-que-precisamos-de-uma-autoridade-nacional-de-protecao-de-dados-07012020>. Acesso em: 28.05.2020.

DANIEL BECKER – Sócio do Lima ≡ Feigelson Advogados, Pós-graduando em Direito Público pela FGV Direito Rio, Graduado em Direito pela Universidade Federal do Rio de Janeiro (UFRJ), Diretor de Novas Tecnologias do Centro Brasileiro de Mediação e Arbitragem (CBMA), Membro da Silicon Valley Arbitration and Mediation Center (SVAMC) e Co-fundador do portal LEX MACHINÆ.
GUILHERME GÓES GANDRA – Estagiário do Basílio Advogados. Graduando em Direito pelo IBMEC. Pesquisador vinculado ao Conselho Nacional de Desenvolvimento Científico e Tecnológico (CNPq). Membro do Comitê de Jovens Arbitralistas do Centro Brasileiro de Mediação e Arbitragem (CJA/CBMA), onde também e Coorientador do Grupo de Pesquisa de Arbitragem e Novas Tecnologias e integrante da Equipe de Arbitragem e Direito Internacional.
PEDRO GUEIROS – Trainee na área de Propriedade Intelectual e Entretenimento do Lima ≡ Feigelson Advogados. Graduado em Direito pelo IBMEC/RJ.

fonte: JOTA

Comentários

Comentários