Vivemos uma verdadeira revolução digital. Os dados que, outrora, eram dispostos somente em documentos escritos, passaram a ser tratados de forma digital. Informações, principalmente as de cunho pessoal, foram convertidas em arquivos digitais
Os Estados, em um movimento típico do que Ulrich Beck[1] chamou de uma sociedade de riscos, viram-se forçados a adotar medidas para evitar o uso nocivo dessas informações, reconhecendo a insuficiência de previsões genéricas como, por exemplo, o Marco Civil da Internet, o Código Civil Brasileiro, o Código de Defesa do Consumidor e a Constituição Brasileira que, apesar da inegável importância, apenas declaram o direito à intimidade e à vida privada como direitos inerentes à personalidade, mas não estabelecem regulamentação detalhada.
Em 2020, após a entrada em vigor da Lei Geral de Proteção de Dados, além das diversas obrigações trazidas, uma das grandes discussões se deu em torno da obrigatoriedade quanto ao papel do Encarregado de Dados. Para esse papel, a lei exige uma pessoa (física ou jurídica) com expertise e preparo para enfrentar desde questões relacionadas ao dia a dia da empresa, até casos extremos de incidentes, bem como para ser um ponto de contato com a Agência Nacional.
Diante desse desafio e tendo em vista a expressa previsão no artigo 6º, X da LGPD, bem como as diversas disposições fundamentais de adequação, pelos agentes de tratamento, com aplicabilidade de sanções, muitos vislumbram a LGPD como segundo Marco Regulatório em relação ao Compliance no Brasil (o primeiro seria a lei 12.846/13- Lei anticorrupção), sendo assim, parecia muito evidente que as áreas de Compliance a Proteção da Dados andassem juntas e quando não, misturadas, ao passo que coadunavam no mesmo sentido.
Contudo, uma decisão administrativa recente chamou a atenção de operadores do direito e administradores, sobretudo, diante da preocupação de algumas empresas sobre o efetivo cumprimento da nova legislação. O tema se reporta à figura do Diretor de Proteção de Dados cujas funções estão dispostas no artigo 41, §2º, combinado com artigo 5º, inciso, VIII da LGPD e nos artigos 38 e 39 da GDPR.
A autoridade administrativa da Bélgica responsável pela fiscalização das normas de proteção de dados, na decisão de 28 de abril de 2020[2], impôs sanções administrativas e determinou um plano de readequação de uma empresa diante da impossibilidade de cumulação dos cargos de chefe do setor de compliance e de diretor (ou encarregado) de proteção de dados.
Determinou-se que o responsável pela proteção de dados não pode ocupar um cargo na organização em que tenha de determinar os objetivos e os meios de processamento de dados pessoais, uma vez que, nessa hipótese, haveria conflito de interesses.
A decisão não sancionou a empresa pelo simples fato de o encarregado de proteção de dados cumular outras funções, o que é plenamente viável. A ilegalidade ocorreu, na visão da autoridade belga, diante do fato de que, ao cumular o cargo de chefe do setor de compliance, o responsável pela proteção de dados deveria, além de fiscalizar, determinar os objetivos e os meios de processamento desses dados. Isto é, haveria nítido de interesses entre executor e fiscalizador.
Cabe destacar que a alegação da empresa no sentido de que o encarregado, mesmo na função de Compliance Officer, só tinha uma função consultiva (de aconselhamento) e não de decisão, não foi aceita pela autoridade administrativa. Decidiu-se que a cumulação de funções seria inviável, na medida em que seria impossível, para o chefe de uma unidade, fiscalizar outra unidade que também é chefe.
A discussão exposta é relevante, na medida em que a mesma sistemática quanto às funções do encarregado de proteção de dados é adotada no Brasil; isto é, as premissas que regulam essa função no GDPR Europeu também são adotadas na norma pátria. Logo, essa decisão é relevante para todas as empresas nacionais.
Analisando o cenário brasileiro e os impactos do momento atual, uma decisão como essa, em que as figuras do Compliance Officer e do Encarregado de Dados (DPO) deverão ser separadas, poderemos ter uma reviravolta nas empresas. Isso porque, quando estamos diante de empresas de pequeno ou até médio porte, duas contratações de tamanha monta, com habilidades especificas, estruturas específicas e hierarquias distintas, podem gerar um desequilíbrio, não só financeiro, mas também estrutural, no sentido de que se torna inviável para alguns separar figuras tão importantes, muitas vezes cumuladas ao dono ou gerente do negócio.
Nesse contexto, nada mais peremptório do que uma manifestação da Agência Nacional, para que as empresas possam não só se orientar, mas se organizar, na medida em que somente com regras claras e normas específicas é que podemos ter um sistema justo.
Estejam preparados!
Aline Melsone Marcondes Triviño é DPO certificada e Consultora externa em Proteção de Dados na FCQ Advogados.
Marcelo Carita Correra é Mestrando em Direito Penal pela PUC-SP. Especialista em Direto Penal Econômico pela FGV-SP. Procurador Federal em São Paulo.
[1] BECK, Ulrich. Sociedade de Risco – Rumo a uma outra modernidade. Trad. Sebastião Nascimento. 1 ed. São Paulo: Editora 34, 2010. p. 24.
[2]Disponível em: https://insightplus.bakermckenzie.com/bm/attachment_dw.action?attkey=FRbANEucS95NMLRN47z%2BeeOgEFCt8EGQJsWJiCH2WAXGftAkDZIEIFEJ%2FlEb0aNX&nav=FRbANEucS95NMLRN47z%2BeeOgEFCt8EGQbuwypnpZjc4%3D&attdocparam=pB7HEsg%2FZ312Bk8OIuOIH1c%2BY4beLEAeGxeBkdeBDSA%3D&fromContentView=1. Acesso em 26 out. 2020.
