Agreggare Projetos > Notícias > Compliance Officer e o acúmulo das funções de DPO

Compliance Officer e o acúmulo das funções de DPO

  • 17 de August de 2020
  • By: aggregaretreinamentos
  • Category: Notícias
  • Comments: 0

Compliance Officer e o acúmulo das funções de DPO – Atribuições análogas ou conflito de interesses?

Compliance e todo o universo organizacional no qual está inserido têm recebido impulsionamento novo nestes últimos tempos, isto causado pelas discussões a envolver proteção de dados pessoais e a operacionalização necessária buscando adequar pessoas físicas e jurídicas às novas normas e legislações. Objetivamente trataremos do dilema acerca da possibilidade ou não de o Compliance Officer poder cumular atividades de Data Protection Officer (DPO), que na legislação brasileira recebe o nome de Encarregado. Para tanto entendemos oportuno apresentar as disposições legais e doutrinárias sobre o assunto.

O encarregado de dados é “pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)”, isto nos termos da LGPD[3] em seu artigo 5º, inciso VIII.

O artigo 41 da Lei nº 13709/2018 dispõe sobre as atividades do encarregado de dados (ou o popular DPO) nos seguintes termos:

Art. 41. O controlador deverá indicar encarregado pelo tratamento de dados pessoais.

  • 1º A identidade e as informações de contato do encarregado deverão ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no sítio eletrônico do controlador.
  • 2º As atividades do encarregado consistem em:

I – aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;

II – receber comunicações da autoridade nacional e adotar providências;

III – orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e

IV – executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

  • 3º A autoridade nacional poderá estabelecer normas complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados. (grifo nosso)

Diante essas funções acima apontadas, necessário se faz observarmos o que dispõe a GDPR sobre o tema:

O artigo 38 da General Data Protection Regulation (GDPR)[4], assim prevê:

Artigo 38. Posição do encarregado da proteção de dados

 

  1. O responsável pelo tratamento e o subcontratante asseguram que o encarregado da proteção de dados seja envolvido, de forma adequada e em tempo útil, a todas as questões relacionadas com a proteção de dados pessoais.
  2. O responsável pelo tratamento e o subcontratante apoia o encarregado da proteção de dados no exercício das funções a que se refere o artigo 39. o , fornecendo-lhe os recursos necessários ao desempenho dessas funções e à manutenção dos seus conhecimentos, bem como dando-lhe acesso aos dados pessoais e às operações de tratamento.
  3. O responsável pelo tratamento e o subcontratante asseguram que da proteção de dados não recebe instruções relativamente ao exercício das suas funções. O encarregado não pode ser destituído nem penalizado pelo responsável pelo tratamento ou pelo subcontratante pelo facto de exercer as suas funções. O encarregado da proteção de dados informa diretamente a direção ao mais alto nível do responsável pelo tratamento ou do subcontratante.
  4. Os titulares dos dados podem contactar o encarregado da proteção de dados sobre todas questões relacionadas com o tratamento dos seus dados pessoais e com o exercício dos direitos que lhe são conferidos pelo presente regulamento.
  5. O encarregado da proteção de dados está vinculado à obrigação de sigilo ou de confidencialidade no exercício das suas funções, em conformidade com o direito da União ou dos Estados-Membros.
  6. O encarregado da proteção de dados pode exercer outras funções e atribuições. O responsável pelo tratamento ou o subcontratante assegura que essas funções e atribuições não resultam num conflito de interesses.

Aponta Sebastião Nóbrega Pizarro[5] ser o embrião da função de compliance officer a Prudential Securities, em 1950, com o aconselhamento para contratação de advogados imbuídos a exercer função de acompanhamento da legislação e monitoramento das atividades relacionadas a valores mobiliários.

Ainda nos indica PIZARRO (2016, p. 81), citando o Dictionary Cambridge, ser o profissional de compliance (compliance officer) “a pessoa que dentro da empresa, organização ou governo, tem como função assegurar que as leis e regulamentos relacionadas com as suas atividades são cumpridas”.

Feitas as devidas indicações passamos a expor cediço que as funções do Compliance Officer são de autonomia e independência[6] o que, ao nosso ver, em muito difere da função de DPO/Encarregado. Enquanto o Compliance Officer tem responsabilidade de vigilante da conformidade, o encarregado serve a cumprir às necessidades legais como meio de comunicação entre o titular dos dados pessoais e os agentes de tratamento, ou destes com a Autoridade Nacional de Proteção de dados, assim demonstrado não poder indicar à figura do DPO como autônoma e de posicionamentos independentes tal qual o Compliance Oficcer.

Passamos, então, a alertar para o risco do conflito de interesse entre o desempenho das funções de Compliance Officer e encarregado/DPO quando, ainda, das descrições acima apontamos para o fato de cada uma de tais figuras possuírem níveis de responsabilidade diferente, grau de subjetividade distinto entre si.

Mesmo que encaremos a função do Encarregado numa visão lato sensu, ultrapassando a limitação do que dispõe o art. 41, §2º da LGPD, por exemplo, e abarcando a vigilância acerca da conformidade em tratamento de dados pessoais, subsiste o conflito de interesse em este profissional exercer qualquer função que naturalmente precise trata dados pessoais para se objetivar. Aqui citamos Marcos Gomes da Silva Bruno[7]:

O conflito de interesses é, de fato, um ponto muito sensível relacionado ao cargo do Encarregado pelo Tratamento de Dados Pessoais. Como mencionado, uma das funções do Encarregado é monitorar a conformidade das atividades de tratamento de dados pessoais com a regulamentação e as normas vigentes. Nesse sentido, nas situações em que o Encarregado seja o responsável por uma atividade de tratamento de dados pessoais, dificilmente ele poderá monitorar a conformidade de sua própria atividade.

Exatamente nesse sentido, a autoridade de proteção de dados da Bélgica[8],  decidiu contrariamente ao acúmulo das funções de DPO e Compliance Officer, justificando a existência de conflito de interesses, em desalinho ao artigo 38.6 da GDPR[9]. Naturalmente no exercício de suas atribuições o Compliance Officer trata dados pessoais, destacamos casos tais como monitorando o Canal de Denúncias, em procedimentos de due diligence ou até mesmo em processo de Investigação Interna, ficando, pois, latente a incompatibilidade do acúmulo das atribuições de Compliance e Encarregado.

Os presentes apontamentos não se destinam a exaurir toda a discussão sobre o tema título. Compreendemos ser aplicável ao Brasil seguir tal entendimento de inconciliabilidade entre as funções destacadas até aqui, por serem visivelmente conflitantes os seus exercícios, portanto não sendo admissível e cumulável a função de Compliance Officer e DPO.

[1] Advogada, Cofundadora AGGREGARE. Palestrante. Pós graduada em Direito do Trabalho pela USP , em Direito do Trabalho e Empresarial do Trabalho pela FMU e em Direito Medico Brasil/Portugal pela Vértice/universidade de Coimbra, Professora de Pós Graduação em Direito Individual e Processual do Trabalho na FMU. Membro das Comissões de Direito medico e da Saúde e Regulatório da OAB. Escritora de artigos jurídicos. Instrutora  do Tribunal de Ética da OAB SP. Consultora de Implantação  em Compliance e LGPD. Mestranda na Universidade Autónoma de Lisboa.Portugal e Pós Graduanda em Direito Digital e Proteção de Dados pela EBRADI. Membro da IAPP (Associação Internacional de Profissionais de Privacidade) e da ANPPD ( Associação Nacional Proteção a Privacidade de Dados)

[2] Diretora e Fundadora da CLAT Compliance  – Advogada – Mentora – Professora – Palestrante – Escritora de Artigos em Compliance e Proteção de Dados – Consultora – Mestranda/Doutoranda em Ciências Jurídicas na Universidade Autónoma de Lisboa (PT) – Especialista em Compliance (Unyleya), além de MBA em Gerenciamento de Crise (Unyleya) e formação em LGPD (LEC), Proteção de Dados Pessoais para o Setor Público (ENAP), em Compliance Combate à Corrupção (LEC), em Prevenção à Lavagem de Dinheiro e Financiamento ao Terrorismo (ENAP/COAFE) – Diretora de Compliance da ABRACRIM RN, Membro do Compliance Nordeste e do IBC (Instituto Brasileiro Compliance).

[3] LEI Nº 13.709, DE 14 DE AGOSTO DE 2018. Lei Geral de Proteção de Dados Pessoais. Disponível em: <http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm>. Acesso em 06 ago 2020.

[4] GDPR, General Data Protection Regulation (Regulamento Geral de Proteção de Dados), trata-se do conjunto de regulações a respeito de proteção de dados na União Europeia. REGULAMENTO (UE) 2016/679 DO PARLAMENTO EUROPEU E DO CONSELHO de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE. Disponível em: <https://www.galvaoesilva.com/lei-gdpr-em-portugues/>. Acesso em 06 Ago 2020.

[5] PIZARRO, Sebastião Nóbrega. Manual de Compliance. Nova Causa Edições Jurídicas. 2016. P. 31

[6] Ethics Resource Center: “Leading Corporate Integrity:defining the Role of the Chief Ethics ande Compliance Officer (CECO)”, em www.ethics.org/. apud PIZARRO, PIZARRO, Sebastião Nóbrega. Manual de Compliance. Nova Causa Edições Jurídicas. 2016. P.82

[7] BRUNO, Marcos Gomes da Silva. CAPÍTULO VI – Dos Agentes de Tratamento de Dados Pessoais. In Maldonado, Viviane Nóbrega . LGPD – Lei Geral de Proteção de Dados comentada . Edição do Kindle.

[8] Companhia belga é multada por nomeação irregular de DPO. Disponível em:https://www.cordoba.adv.br/companhia-belga-multada-nomeacao-irregular-dpo/. Acesso em 11 Ago 2020.

[9] “O encarregado da proteção de dados pode exercer outras funções e atribuições. O responsável pelo tratamento ou o subcontratante assegura que essas funções e atribuições não resultam num conflito de interesses”.

Texto por:

Andréa Gonçalves[1]

Thayana Macêdo[2]

Escreva seu comentário