Artigo publicado originariamente no Valor Econômico.
Um dos temas relevantes na pauta de proteção de dados é sobre a questão do conflito de interesses. Afinal, é possível acumular funções na posição de encarregado de dados, também conhecido como DPO, e se isso ocorrer, o que fazer para evitar o conflito?
Importante iniciar a análise lembrando que até então, no Brasil, esse assunto estava sendo tratado no âmbito da Comissão de Valores Mobiliários (CVM), para questões envolvendo empresas abertas e, pela Controladoria Geral da União (CGU), para os casos relacionados ao setor público, respectivamente.
Sob a ótica das implicações dentro do ambiente privado, o tema está diretamente relacionado à governança corporativa das companhias, especialmente no aspecto do exercício de voto de acionista, artigo 115 da Lei nº 6.404/76 (Lei das Sociedades Anônimas). O entendimento tem sido de que pode configurar o abuso de direito de voto quando exercido com com a finalidade de causar dano à companhia ou a outros acionistas; ou aquele mediante o qual o acionista visa à obtenção de vantagem a que não faz jus e de que resulte ou possa resultar prejuízo para a companhia ou para os outros acionistas.
Já no tocante ao âmbito público, há a previsão trazida pela Lei nº 12.813/13, inciso I, artigo 3º, que determina que o conflito de interesses configura quando um interesse privado do agente público possa influenciar de forma indevida o desempenho de sua função pública ou comprometer o interesse coletivo.
Sendo assim, a publicação recente da Resolução nº 18 pela Autoridade Nacional de Proteção de Dados (ANPD), como parte das ações prioritárias da agenda regulatória para o biênio 2023-2024, consiste em um passo para regulamentar a função de DPO no país. Através dessa resolução foram trazidas diretrizes claras sobre os requisitos e as s da atuação do DPO, inclusive a previsão de penalidade na ocorrência de conflito de interesse, reforçando o compromisso com a proteção de dados no país.
Pela regra agora vigente, há o requisito de que o DPO atue com autonomia técnica e tenha acesso direto ao mais alto nível hierárquico responsável pelas decisões estratégicas da organização. Além disso, ficou claro pelo regulamento a possibilidade de o DPO acumular outras funções dentro da estrutura organizacional, desde que essa acumulação não gere conflitos de interesses.
Essa flexibilidade é fundamental para que a função de DPO se ajuste ao modelo de governança mais adequado para cada organização, sem comprometer a integridade e a imparcialidade das decisões relacionadas à proteção de dados pessoais. A nomeação de um DPO substituto, para casos de impedimento, por exemplo, bem como o reporte para um comitê de privacidade ou contratação de um DPO as a Service, são alternativas para gerenciar conflitos de interesses.
Para garantir essa imparcialidade, a análise de conflito de interesses deve considerar três importantes riscos: a prioridade dada à proteção de dados quando o tema concorre com outras responsabilidades assumidas pelo DPO, o poder de influência dentro da organização, consideradas pressões internas ou externas que afetem a sua independência, e a alocação de recursos necessários para o cumprimento das suas atribuições.
Assim, em caso de potencial conflito de interesses, é fundamental que a organização reavalie a alocação do DPO que aproveita a estrutura organizacional já existente, sobretudo se a alocação ocorre em áreas em que a tomada de decisões estratégicas sobre o tratamento de dados pessoais é evidente, como por exemplo recursos humanos e auditoria.
Nesse contexto, é recomendável que a organização adote medidas de mitigação para fins de afastar o conflito de interesses, incluindo boas práticas como documentação e identificação clara dos cargos que possam ser incompatíveis com as funções do DPO. Essa incompatibilidade pode abranger não apenas cargos de gestão superior, como diretoria ou gerência, mas também posições de níveis inferiores que influenciem na determinação das finalidades e dos meios de tratamento dos dados pessoais. Documentar potenciais incompatibilidades ajuda a prevenir conflitos de interesses e assegura a imparcialidade e a eficácia na condução do programa de Privacidade dentro da organização.
Além disso, é crucial que a organização evidencie em seus normativos internos as diretrizes adotadas sobre o tema de conflito de interesses, garantindo transparência e alinhamento com as melhores práticas. No instrumento contratual do DPO deve haver também a inclusão de garantias contra destituições abusivas, a fim de evitar potenciais conflitos em em sua atuação e prevenir quaisquer formas de retaliações.
A implementação de medidas eficazes para evitar conflitos de interesses, portanto, é essencial para fortalecer a cultura de privacidade e para assegurar uma atuação imparcial do DPO, em seu papel consultivo e orientativo. A flexibilidade no acúmulo de funções deve ser acompanhada de uma análise criteriosa e cuidadosa dos riscos associados, de modo que a organização adote salvaguardas que mitiguem possíveis conflitos e permita evidenciar não só a atuação do DPO, como também como o tema conflito de interesses é tratado internamente, reforçando assim a governança e o compromisso da organização com a proteção de dados.
Patricia Peck e Cecília Castro são, respectivamente, CEO do Peck Advogados, membro titular do Comitê Nacional de Cibersegurança (CNCiber); e advogada especialista em Privacidade e Proteção de Dados e DPO do escritório.