Com a entrada em vigência da Lei Geral de Proteção de Dados - LGPD, surgiu a necessidade de um profissional dedicado à proteção dos dados dentro da empresa, garantindo a segurança das informações, tanto dos clientes e colaboradores, quanto da própria organização. Esse profissional é o Data Protection Officer (DPO), nomeado pela LGPD como Encarregado de Dados.

Como representante da organização para assuntos relacionados à proteção de dados pessoais, o DPO tem como principais atribuições realizar a gestão das solicitações tanto de titulares de dados (clientes, colaboradores, usuários, entre outros) como das autoridades governamentais; ser canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD); dever de orientar os colaboradores e os contratados da organização a respeito das práticas a serem tomadas em relação à proteção de dados pessoais, além de monitorar os processos que envolvem tratamentos de dados na organização para garantir que os princípios da LGPD sejam cumpridos.

O Encarregado de Dados (DPO) é indicado pela empresa (controlador), que pode ser um colaborador interno ou terceirizar a função (DPO as a Service), realizados por consultorias e escritórios jurídicos. Entretanto, o que se observa no mercado é que as organizações vêm optando por indicar um dos colaboradores da própria organização para exercer a função de DPO, surgindo dúvidas quanto à legalidade e legitimidade do colaborador indicado exercer a sua função em conjunto ao cargo de DPO.

Não há previsão na LGPD sobre a obrigatoriedade do DPO ser empregado da organização ou de exercer, exclusivamente, as atividades previstas para tal função. Aliás, além da LGPD ser omissa em relação a tais pontos, não há qualquer disposição a respeito da necessidade de se evitar um possível conflito de interesse em razão do colaborador exercer uma determinada função técnica ou administrativa e, ao mesmo tempo, fiscalizar essa função enquanto estiver acumulando o cargo de DPO.

Entretanto, o regulamento da União Europeia (GDPR – General Data Protection Regulation) permite a possibilidade de acúmulo do cargo de DPO com outras funções, desde que não haja conflito de interesses. Sendo assim, em razão da LGPD ser omissa ao assunto, podemos buscar auxílio na legislação europeia para sanar os questionamentos sobre o tema em questão, enquanto a Autoridade Nacional Brasileira não pacificar o assunto.

Assim, considerando a influência do regulamento europeu de proteção de dados sobre o brasileiro, o DPO poderá acumular função dentro da organização. Contudo, alguns requisitos devem ser observados.

O DPO nomeado deve prover de independência para exercer suas funções, sendo aconselhável, se possível, não absorver o DPO em áreas/departamentos que ele deverá examinar e auditar, tais como: TI, Compliance, Segurança da Informação, Recursos Humanos, Marketing, Comercial etc., pois poderá existir imparcialidade no momento de fiscalização e tomar decisões, se houver acúmulo de uma dessas áreas com a de DPO.

A título de curiosidade, após um incidente de segurança ocorrido em uma empresa de Telefonia Belga, a Autoridade desse país realizou investigação sobre as práticas dessa empresa em relação a proteção de dados e concluiu pela impossibilidade de acúmulo das funções de DPO e a área de Compliance, uma vez que as rotinas dessa área demandavam tratamento constante e relevante de dados pessoais, o que inviabilizaria a supervisão autônoma de tais atividades por parte do DPO, em razão de se tratar da mesma pessoa.

Sendo assim, em abril de 2020, a Autoridade Belga aplicou multa à empresa no valor de $ 50 mil euros, em razão de inadequada nomeação de DPO. A empresa de Telefonia Belga, no caso, não possuía um sistema para evitar o conflito de interesses do Encarregado. Deste modo, verifica-se que o acúmulo de função não foi suficiente para ensejar a violação à GDPR, mas, sim, a ausência de mecanismos eficazes adotados pela organização para garantir a atuação independente do Encarregado.

Neste cenário, observa-se que um representante de departamento de Compliance não terá condições de apontar erros e constatar infrações referente ao tratamento de dados pessoais contra o seu próprio departamento. Assim, o conflito de interesses pode ser verificado quando questões diversas (profissionais, financeiras, políticas ou pessoais) podem interferir na avaliação das pessoas, ao exercerem suas ações dentro das organizações, nos termos da ISO 37001:2016.

Neste sentido, quando há a nomeação de um DPO interno, é necessário avaliar os dados que esse profissional manuseia no cargo já ocupado para evitar conflitos, bem como verificar o grau de independência do profissional no exercício de suas funções e a possibilidade de reportar à alta administração sobre as questões de privacidade e proteção de dados, sem que isso importe algum prejuízo ao colaborador que exerça tal função.

Desta forma, como boa prática, é aconselhável que o responsável pelo tratamento de dados (controlador), quando nomear o DPO, selecione colaborares cujos cargos se afigurariam compatíveis com as funções de DPO; explique sobre os conflitos de interesses; declare que o colaborador nomeado não têm conflitos de interesses no que se refere às suas funções enquanto DPO; inclua metodologias, processos e salvaguardas no regulamento interno da organização, bem como no contrato de prestação de serviços junto ao DPO, com vista a evitar conflitos de interesses.

Além disso, havendo a possiblidade de acumular as funções de cargo já exercido com as de DPO, surge mais um questionamento: é devido o pagamento de adicional por acúmulo de função?

Estabelece o artigo 456, parágrafo único, da CLT que "a falta de prova ou inexistindo cláusula expressa a tal respeito, entender-se-á que o empregado se obrigou a todo e qualquer serviço compatível com a sua condição pessoal."

Em outras palavras, exercer atividades diversas, mas dentro do contexto que engloba a função contratual, não resulta em acúmulo de função e afasta o direito de recebimento de um valor adicional pelo colaborador.

No entanto, quando o exercício de funções diversas daquelas para as quais o colaborador foi contratado gera um desequilíbrio contratual, evidenciando um desacordo entre os serviços inicialmente contratados do colaborador e a remuneração inicialmente pactuada, será devido um adicional visando remunerar as atividades alheias à contratação. Tais situações precisam ser avaliadas pelas organizações, visando evitar futuras condenações na esfera do Direito do Trabalho.

Apesar das orientações acima, sabemos que a contratação de DPO demanda orçamento interno da organização e, às vezes, não será possível criar uma área autônoma para o DPO e sua equipe para que se reporte ao mais alto nível gerencial como mandam as melhores práticas. Assim, a solução, em alguns casos, será mesmo o acúmulo de funções, ocasião em que será de extrema importância a implementação de mecanismos de salvaguardas por parte da organização para lidar com eventuais conflitos de interesse que poderão surgir na rotina profissional.