DPO e o conflito de interesses: entenda o precedente belga
Para muitas organizações, a nomeação e determinação de papéis e responsabilidades do DPO é uma das mais escorregadias. Ter segurança na nomeação de um DPO que já detém uma outra posição estabelecida dentro da empresa tem sido uma questão espinhosa não só no cenário brasileiro,mas, também, no contexto europeu, no âmbito de vigência do Regulamento Geral de Proteção de Dados (“ GDPR”).
De acordo com as principais autoridades das leis de privacidade europeias, o principal obstáculo que as organizações enfrentam é o cumprimento do Artigo 38 (6) do GDPR, que versa, justamente, sobre o perfil profissional do DPO. Ele diz que: “O responsável pela proteção de dados pode cumprir outras tarefas e deveres. O controlador ou processador deve garantir que tais tarefas e deveres não resultem em um conflito de interesses.”
Estudo da IAPP
Apesar do apontamento trazido pelo GDPR, a realidade que vemos hoje no mercado é bem diferente. Em um levantamento publicado pela International Association of Privacy Professionals, a iapp referente ao ano de 2019, o acúmulo de funções por parte do DPO é prática comum nas empresas. Veja o gráfico:
Devido ao fato da LGPD não fornecer recomendações explícitas sobre como garantir a independência do Encarregado (ao menos diretamente), a experiência europeia se torna fundamental na tomada de decisões mais conscientes dentro das empresas brasileiras.
Nesse sentido, trazemos a análise de um importante caso envolvendo a autoridade belga e uma empresa de serviços de telecomunicação. Esta é considerada uma das primeiras decisões a qual aponta, explicitamente, o conflito de interesse do DPO como ponto central de uma infração no cenário de proteção de dados.
Entenda o caso
Em 28 de abril de 2020, a Autoridade Belga de Proteção de Dados, o “DPA”, multou uma empresa nacional de telecomunicação em 50.000 EUR por violar ‘gravemente’ o artigo 38 (6) do GDPR, que versa sobre as compêtencias, funções e possíveis conflitos de interesse na atuação do DPO. Em relatório oficial, a chamada Câmara de Contencioso da DPA, área competente por analisar as infrações, concluiu que o DPO da empresa não estava em posição suficientemente livre de conflito de interesses, uma vez que cumpria, concomitantemente às suas atividades de privacidade, a função de diretor de auditoria, risco e conformidade.
A Câmara de Contencioso afirmou, também, que a multa administrativa não foi aplicada com a intenção de pôr fim à infração, mas sim com o objetivo de fazer cumprir, de forma rigorosa, as regras trazidas pelo GDPR a respeito do posicionamento de um DPO. A Câmara ainda especificou que, embora não existisse nenhum elemento que demonstrasse a existência de dolo, houve negligência grave por parte da empresa.
A decisão em questão traz uma visão prática sobre como os reguladores podem interpretar este requisito tão controverso nos dias atuais.
A investigação
No contexto da investigação instaurada pela DPA, a câmara observou que o DPO “não parecia estar suficientemente envolvido no processo de avaliação do risco de violações de dados pessoais (o chamado no documento oficial de “Argumento do Nível de Envolvimento”);” além de que: “o DPO também atuava como o Diretor de Conformidade, Risco e Auditoria do Réu, o que o colocava em uma posição de conflito de interesses (o “Argumento de Conflito de Interesse”).
Embora esta decisão possa ser objeto de recurso e apenas reflita a posição de um regulador, as alegações das partes no processo sobre esses dois argumentos e a decisão resultante da Câmara de Contencioso da DPA cunham alguns esclarecimentos sobre o papel do DPO.
O conflito de interesses e o artigo 38 do GDPR
O artigo 38.º, n.º 1, do GDPR exige que o DPO seja envolvido de forma adequada em todas as questões relacionadas com a proteção de dados pessoais da empresa em que atua. Na opinião da Câmara de Investigação, o Artigo 38 (1) foi violado na medida em que se observou que o DPO foi informado apenas do resultado final da avaliação de risco, e insistiu que a opinião do DPO não foi incluída no modelo de formulário de avaliação.
O Diretor de Compliance, Risco e Auditoria era o gestor de três departamentos, e, como tal, definia os objetivos e os meios de tratamento dos dados pessoais dessas funções empresariais.
O DPA pareceu considerar que, na prática, qualquer gerente de um departamento empresarial é levado a definir tais meios e finalidades, o que deve, portanto, inviabilizar a possibilidade dele atuar como DPO para a mesma organização. A razão disso é que isso poderia deixar o DPO ser solicitado a monitorar o cumprimento de medidas de proteção de dados de três departamentos para os quais, também, define as finalidades e os meios de processamento de dados pessoais. Ou seja, o responsável pelo processo era o mesmo a auditá-lo internamente, o que, sabidamente, vai contra todo e qualquer princípio da independência de processos corporativos.
Além disso, o DPA também apontou que, o fato de o DPO ser, também, o chefe desses outros departamentos, faria com que ele pudesse representar um risco ao dever de confidencialidade que deve aos titulares dos dados pessoais por ele tratados.
Poucos precedentes
Até a decisão do DPO belga, havia muito pouca informação disponível no mercado a respeito de como interpretar o requisito de não-conflito. Em 2016, no entanto, um caso chamou a atenção sobre a interpretação de conflito de interesses no meio de privacidade nas empresas, sendo, inclusive, utilizado como fundamento na decisão da autoridade belga que tratamos aqui.
o Escritório do Estado da Baviera para Supervisão de Proteção de Dados (“o BayLDA”) determinou que a posição de Gerente de TI de uma empresa era incompatível com os deveres de um DPO sob a então lei alemã de proteção de dados. Mais tarde, em 2017, o denominado GrupoTrabalho 29 , responsável pela análise legal do caso, emitiu uma série de diretrizes a respeito dos DPOs (as “Diretrizes sobre DPOs”), que foram revisadas em 2018, abordando especificamente os requisitos do GDPR.
Em relação aos conflitos de interesse, as Diretrizes sobre DPOs afirmam que:
“O DPO não pode ocupar um cargo dentro da organização que o leve a determinar os objetivos e os meios de processamento de dados pessoais. Isso ocorre porque tal cenário levaria o DPO a uma situação de conflito de interesses, o que pode significar que o DPO não poderia desempenhar o seu papel de forma eficaz, porque ele / ela seria solicitado a examinar o processamento em relação os quais ele mesmo havia tomado decisões importantes.”
Consequências da violação
Em aplicação do Artigo 83 (4) do GDPR, uma violação das disposições do Artigo 38 do GDPR pode estar sujeita a multas administrativas de até 10.000.000 EUR, ou, no caso de uma empresa, até 2% do volume de negócios anual total do exercício anterior, o que for mais alto.
No caso da Decisão envolvendo o DPO belga, o último volume de negócios anual declarado foi de EUR 3.886.699.793.
Na determinação do valor da multa, o DPA baseou-se nos seguintes critérios:
(i) O relatório de orientações do Grupo de Trabalho 29 sobre os DPOs, que incluem detalhes sobre os requisitos em termos de conflito de interesses;
(ii) A natureza dos negócios da empresa ré;
(iii) O nível de maturidade de organização (que era o principal provedor de servições de telecomunicações);
(iv) A quantidade de dados pessoais processados e, portanto, o aumento da quantidade de indivíduos sujeitos a risco de não conformidade;
(v) A duração da violação do artigo 38.º, n.º 6, do GDPR, desde que a Ré não tenha alterado o seu DPO antes da audiência.
Com base nestes critérios, o DPA aplicou uma multa administrativa no montante de EUR 50.000.
A decisão ainda pode ser apelada e reflete apenas a posição da autoridade belga de proteção de dados. No entanto, considerando que a justificativa se baseia principalmente nas Diretrizes sobre DPOs, deve ser levada em consideração na escolha do DPO e Encarregado de dados, principalmente nos dias atuais em que as empresas brasileiras correm contra o tempo para concretizar suas nomeações.
