A discussão sobre a figura do encarregado pelo tratamento de dados pessoais (também chamado de Data Protection Officer, DPO) e sobre os potenciais conflitos de interesse relacionados à sua atuação tem se mostrado pauta relevante nos últimos meses, especialmente após a publicação, pela Autoridade Nacional de Proteção de Dados (ANPD), em julho de 2024, da Resolução CD/ANPD nº 18/2024, que estabeleceu o Regulamento sobre atuação do encarregado, e, em dezembro de 2024, do guia orientativo “Atuação do Encarregado pelo Tratamento de Dados Pessoais”.
Por mais que a figura do DPO e a obrigação de sua nomeação pelos agentes de tratamento já fosse algo previsto na própria Lei Geral de Proteção de Dados (LGPD), em vigor desde 2020, foi apenas no segundo semestre de 2024 que se começou a ter contornos mais claros e práticos sobre sua atuação.
Um dos tópicos de grande relevância, e que foi aprofundado pela ANPD, trata do conflito de interesse na atuação do encarregado, que pode ser entendido como a situação que possa comprometer, influenciar ou afetar, de maneira imprópria, a objetividade e o julgamento técnico no desempenho de suas atribuições.
O conflito de interesse pode ocorrer, por exemplo, quando o encarregado exerce funções em diferentes agentes de tratamento ou acumula responsabilidades dentro de uma organização – o que, até a edição dos documentos mencionados acima, era bastante comum de se observar –, situações que tem o condão de comprometer a objetividade e a autonomia necessárias para tomar decisões imparciais sobre o tratamento de dados pessoais.
A transparência nas ações do encarregado é fundamental e, conforme descrito na Resolução da ANPD e reforçado no guia, e qualquer situação que possa configurar conflito deve ser informada por ele.
Os agentes de tratamento também possuem responsabilidades significativas, competindo a eles assegurar que o encarregado não exerça atribuições que acarretem conflito de interesse. Caso uma situação de conflito seja identificada, o agente deve tomar providências adequadas para sua remediação, que podem incluir a não indicação da pessoa para a função ou a substituição daquela designada.
Uma boa prática recomendada pela ANPD é a criação de uma unidade organizacional própria para o encarregado, que atue separadamente de áreas que tomam decisões estratégicas. Essa divisão permite que o encarregado exerça suas funções com maior autonomia e objetividade.
Como boa prática, é essencial promover transparência organizacional, com políticas que evidenciem a autonomia do DPO e implementar monitoramento contínuo por meio de auditorias para assegurar conformidade com a legislação. Outras ações incluem a realização de treinamentos para conscientização organizacional, o uso de tecnologia para minimizar interferências humanas e a opção por encarregados terceirizados para maior imparcialidade. Estabelecer um comitê de ética ou governança também é recomendado para supervisionar e apoiar a independência do DPO.
A efetividade da atuação do encarregado se reflete não apenas na conformidade legal, mas também na construção de uma confiança robusta entre os controladores, os titulares de dados e a sociedade em geral.
Esse artigo foi escrito por Luiza Sato e Igor Baden Powell, respectivamente sócia e advogado da área de Cybersecurity & Data Privacy de TozziniFreire Advogados.
