A Lei Geral de Proteção de Dados Pessoais (LGPD) tem como um dos seus principais objetivos a proteção dos direitos fundamentais do titular de dados, ou seja, da pessoa a quem os dados se referem. Nesse contexto, o Encarregado pelo tratamento de dados pessoais desempenha um papel essencial na orientação da organização sobre as melhores práticas para a proteção de dados.
As atividades do encarregado estão previstas na LGPD, em seu artigo 41, §2º, e, recentemente, foram regulamentadas pela Autoridade Nacional de Proteção de Dados (ANPD) por meio da Resolução CD/ANPD nº 18/2024, que também publicou um guia orientativo sobre o tema. Entre as diretrizes apresentadas, destaca-se a necessidade de evitar conflitos de interesse na atuação do encarregado.
De acordo com a Resolução, o conflito de interesse ocorre quando há situações que possam comprometer a imparcialidade ou a autonomia técnica do encarregado no desempenho de suas funções. Em termos práticos, isso significa que o encarregado deve atuar com total independência, sem interferências externas ou internas que possam influenciar suas decisões. Além disso, é fundamental que o encarregado não enfrente repercussões negativas decorrentes de sua atuação, cujo desafio principal é atender os direitos dos titulares de dados e conciliar os interesses e as obrigações legais da organização.
A ANPD alerta que o encarregado não deve acumular funções que envolvam decisões estratégicas relacionadas ao tratamento de dados pessoais, como cargos de liderança ou gestão em áreas como recursos humanos, tecnologia da informação, finanças e saúde, na medida em que essas posições podem gerar conflitos entre os interesses organizacionais e os direitos dos titulares de dados.
Embora o guia da ANPD forneça os exemplos acima indicados, também esclarece que a análise de conflito de interesse deve levar em conta o contexto específico de cada organização. A designação do encarregado deve ser feita com cautela, considerando sua autonomia para atuar de forma independente e técnica.
Adicionalmente, é responsabilidade tanto do encarregado quanto da organização identificar possíveis situações de conflito. O encarregado deve declarar qualquer circunstância que possa comprometer sua atuação, enquanto a organização deve avaliar cuidadosamente as condições antes de sua nomeação. Para minimizar riscos, o ideal seria que, quando escolhido internamente, o Encarregado seja alocado em uma área específica, sem acumular funções que possam prejudicar sua independência.
Essa abordagem reflete a intenção da ANPD de assegurar que a função do encarregado não seja meramente “simbólica”, mas efetivamente voltada à promoção de uma cultura organizacional focada na Privacidade e Proteção de Dados, centrada no titular.
Contudo, criar uma área dedicada exclusivamente aos temas de Privacidade e Proteção de Dados é, sem dúvida, um desafio complexo, especialmente para organizações com estruturas mais enxutas. A situação torna-se ainda mais desafiadora quando se considera a necessidade de designar um Encarregado substituto, responsável por assumir a posição na ausência do titular. Essa nomeação, evidentemente, também deve observar rigorosamente os princípios que garantem a ausência de conflitos de interesse, preservando a imparcialidade e a autonomia na atuação.
Os desafios, contudo, não se limitam a esses aspectos. O guia elaborado pela ANPD destaca que, mesmo na hipótese de nomeação de um Encarregado externo, também conhecido como “DPO as a service”, podem surgir conflitos de interesse. Esses conflitos podem variar conforme a natureza do tratamento de dados, o setor econômico ou o tipo de organização que já seja atendida por esse agente externo. Nessas circunstâncias, a troca de informações privilegiadas ou estratégicas pode comprometer a imparcialidade do Encarregado, afetando sua capacidade de atuar com a imparcialidade necessária.
Não se olvida, no entanto, que a LGPD, em seu artigo 2º, também traz como fundamentos relevantes para disciplina da proteção de dados o desenvolvimento econômico e tecnológico, a inovação, a livre iniciativa e a livre concorrência, de sorte que ao nomear o encarregado caberá uma análise que considere essas questões, sob pena de onerar em excesso as Organizações. A própria ANPD, atenta a este contexto, publicou a Resolução CD ANPD nº 2/2022 que traz um tratamento diferenciado para os chamados “Agentes de Tratamento de Pequeno Porte” tais como microempresas, empresas de pequeno porte e startups.
Portanto, é crucial que as organizações encarem a designação do encarregado como uma etapa estratégica no cumprimento da LGPD, alinhada às suas particularidades internas e ao porte da empresa. Garantir a autonomia e a imparcialidade desse profissional, considerando a estrutura organizacional e a capacidade de alocação de recursos, não apenas promove a conformidade legal, mas também reforça a credibilidade da organização e a confiança dos titulares de dados, como garante um programa de governança sustentável no tempo.
Referências:
Resolução CD/ANPD 18/2024. Disponível em: https://www.in.gov.br/en/web/dou/-/resolucao-cd/anpd-n-18-de-16-de-julho-de-2024-572632074
Guia Orientativo para atuação do Encarregado pelo Tratamento de Dados. Disponível em: https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/documentos-de-publicacoes/guia_da_atuacao_do_encarregado_anpd.pdf
Resolução CD/ANPD 2/2022. Disponível em https://www.gov.br/anpd/pt-br/acesso-a-informacao/institucional/atos-normativos/regulamentacoes_anpd/resolucao-cd-anpd-no-2-de-27-de-janeiro-de-2022
Vanessa Nascimento Cardoso
Advogada Especialista em Proteção de Dados e DPO
Comments