Eu já atuo na área de Compliance há alguns anos e quem me conhece sabe que eu sou uma apaixonada declarada pelo tema.
Lembro-me bem que, no ano de 2018, quando o General Data Protection Regulation (GDPR), de fato, ganhou destaque mundial, eu, que na época trabalhava em uma empresa multinacional no Brasil, me deparei com a seguinte pergunta: o ComplianceOfficer (CO) também pode atuar como Data Protection Officer (DPO)[1]? Isso porque a intenção da minha empresa era a de que eu começasse a também“vestir o chapéu” de DPO no Brasil (além dos “chapéus” de Legal e de CO que eu já “revezava” na minha cabeça). De lá para cá só aumentou o grau de frequência com que escuto essa pergunta e também a minha reflexão sobre o tema.
Observando o mercado, parece-me que a resposta a esta pergunta é positiva, ou seja, sim, um mesmo profissional pode acumular as funções de CO e de DPO. Tenho, inclusive, diversos amigos COs que, com o advento da Lei Geral de Proteção de Dados brasileira(LGPD), começaram a atuar também como DPO em suas organizações no Brasil, seguindo a tendência já observada anteriormente aqui na Europa com o GDPR.
As razões para tal acumulação de funções me parecem óbvias. Apesar da clara diferença de escopo das atividades de um DPO e de um CO, há uma real semelhança quanto aos requisitos exigidos tanto do CO quanto do DPO para terem sucesso nas suas atribuições, bem como quanto às habilidades técnicas e comportamentais desejáveis a todo e qualquer profissional que pretende atuar em quaisquer destas duas áreas.
Mas que semelhanças seriam estas?
Na minha visão, tanto o CO quanto o DPO devem:
- Ter autonomia, independência e liberdade no exercício das suas funções, ainda que, por vezes, assuas recomendações não “agradem” o business;
- Receber recursos suficientes para que possam desempenhar satisfatoriamente as suas funções (ou seja, ter equipe e orçamento adequados à realidade da sua organização);
- Ter acesso direto e irrestrito à alta administração da empresa;
- Ter sólidos conhecimentos técnicos nas suas respetivas áreas;
- Conhecer profundamente o negócio (ou seja, a área de atuação da empresa);
- Atuar fortemente na prevenção;
- Ter visão estratégica, elevada capacidade de negociação e de atuação em questões complexas;
- Ter, ainda, elevada capacidade de comunicação, de inspiração, de liderança, de organização, além de espírito de equipe, empatia, diplomacia, criatividade e resiliência.
Mas o que a lei diz a respeito desta possível acumulação de atividades?
A nossa LGPD é absolutamente omissa, ou seja, não se pronuncia expressamente sobre a possibilidade de o DPO exercer outras funções dentro da empresa. Já o GDPR, em seu artigo 37, n. 6, permite, com a ressalva de que seja assegurado que tais outras funções exercidas pelo DPO, na sua organização, não resultem em um conflito de interesses.
Daí nasce a seguinte pergunta: há conflito de interesses entre as funções de CO e de DPO?
Como boa advogada de formação que sou, a minha resposta é: depende. Cada atividade exercida peloCO/DPO, quando o mesmo profissional, deverá ser avaliada separadamente para se entender se há ou não conflito de interesses.
Marcos Gomes da Silva Bruno[2] traz um interessante exemplo para a nossa reflexão. Imagine que uma empresa nomeia o CO como DPO e esse mesmo profissional realiza background checks de terceiros? Nessa hipótese, Marcos entende que há um nítido conflito de interesses, pois, como CO, o profissional terá que buscar cada vez mais eficiência nestas checagens, através, por exemplo, da coleta cada vez maior de dados pessoais, enquanto que com o “chapéu” de DPO a sua obrigação é a de monitorar esses backgrounds checks, do ponto de vista da conformidade com a proteção de dados pessoais (que exige a observância do princípio da minimização).
Em abril de 2020, a Autoridade de Proteção de Dados da Bélgica surpreendeu a todos com uma decisão contrária à possibilidade de acúmulo de função de DPO e de CO. Isso porque, ao analisara realidade da empresa (uma operadora de telefonia), a Autoridade Belga entendeu que, na prática, havia um conflito de interesses.
Obviamente, essa decisão gerou, para dizer o mínimo, uma certa “dor de cabeça” nas empresas europeias que têm um mesmo profissional atuando como CO e DPO e os seus reflexos, como não poderia deixar de ser, alcançaram também o Brasil.
Confesso que até hoje eu me sinto desconfortável com essa possibilidade de acúmulo de funções deCO e de DPO. Mas o meu desconforto não está própria e simplesmente no fato da existência de um potencial conflito de interesses entre estas duas funções, e sim na descrença quanto à real possibilidade desse profissional conseguir exercer, de forma eficiente, atividades tão complexas e que exigem tanta dedicação como são as de um CO e as de um DPO.
É óbvio que se oCO/DPO contar com um orçamento adequado e suficiente para compor uma equipe multidisciplinar, formada por profissionais experientes e que possam o auxiliar nessas árduas tarefas diárias, tudo ficará bem mais “fácil” (entre muitas aspas!).
Mas será esta a realidade da imensa maioria das empresas?
A minha experiência indica que não. O que eu tenho observado, nestes mais de 15anos de mundo corporativo em grandes empresas, é que tanto o CO quanto o DPO (mesmo quando não são a mesma pessoa) precisam fazer mágica com o budget limitado que possuem e se desdobrar para que consigam implementar seja um programa de compliance, seja um programa de proteção de dados realmente efetivo.
Sei que sou suspeita e que pode parecer que eu estou “advogando em causa própria”, mas eu enxergo os COs e os DPOs como verdadeiros super-heróis, pois, além de protegeras suas respectivas empresas contra o “mal”, eles têm o poder de mudar verdadeiramente a cultura corporativa. Por esta razão, mais do que uma simples “função”, estes profissionais devem ser considerados como parceiros de negócio essenciais da organização, que devem ter voz ativa e participar nas decisões estratégicas das suas empresas, uma vez que são capazes de influenciar positivamente no fortalecimento da cultura empresarial, inspirando os seus colaboradores a atuarem de forma ética, permitindo, assim, a perenidade da organização e o fortalecimento da sua reputação e do seu valor competitivo no mercado.
[1] Optamos, nesse artigo, por adotar a expressão Data Protection Officer (DPO) como sinônimo de Encarregado de Proteção de Dados. Apesar de reconhecer as diferenças entre o “DPO”, tal como definido no GDPR, e o“Encarregado”, tal como definido na LGPD, esse não é o objeto central desse artigo e, portanto, não será aqui explorado.
[2] BRUNO, Marcos Gomes da Silva Bruno. “Capítulo VI – Dos Agentes deTratamento de Dados Pessoais”. LGPD: Lei Geral de Proteção de Dados Comentada. Coord. Viviane Nóbrega Maldonado, Renato Opice Blum. São Paulo:Thompson Reuters, 2019. p. 317.
___________________________________________________________________________________________________________________________________________________
