A Autoridade Nacional de Proteção de Dados (ANPD) publicou o Regulamento nº 18/2024, que trata da atuação do encarregado pelo tratamento de dados pessoais. A Alves Oliveira já publicou um vídeo explicativo sobre os principais pontos do regulamento mas, um deles em especial, merece aprofundamento.
O Encarregado é a pessoa responsável pelo tratamento de dados pessoais dentro da empresa, que deve ser formalmente designada pela empresa e exercerá funções de atendimento aos titulares de dados, orientações internas sobre proteção de dados pessoais, entre outras atribuições ligadas à conformidade à LGPD.
Nesse regulamento, a ANPD destina uma seção ao tema e prevê que, se verificado o conflito de interesses, o agente de tratamento (empresa) pode sofrer sanção administrativa. Por isso, é importante entender sobre o assunto para que a designação do Encarregado não gere riscos à organização.
O conflito de interesses
Segundo a ANPD, o conflito de interesses seria a possibilidade de comprometimento, influência ou afetação imprópria à objetividade e o julgamento técnico do Encarregado, em suas atribuições em tal função.
Caso o Encarregado identifique a existência de conflito de interesses, deverá comunicar o agente de tratamento, que deverá implementar medidas para afastar o conflito de interesses ou substituir o Encarregado.
Acúmulo de funções
Apesar disso, não é proibido que um Encarregado exerça mais de uma função na organização, o que é, inclusive, expressamente permitido pelo regulamento. A questão se resume a identificar as hipóteses em que pode-se haver conflito de interesses.
Embora a LGPD e seu regulamento não prevejam mecanismos de fiscalização e monitoramento da conformidade com as normas de proteção de dados, como faz o artigo 39(1)(b) do regulamento europeu (GDPR), o Encarregado deverá prestar assistência e orientação nas atividades relacionadas à elaboração e implementação de:
- Relatórios de impacto à proteção de dados;
- Mecanismos internos de supervisão e de mitigação de riscos;
- Medidas de segurança, técnicas e administrativas, aptas a proteger os dados pessoais.
Portanto, em uma situação hipotética onde o Encarregado acumula função de gestor de uma área que trate dados sensíveis, por exemplo, sua orientação no relatório de impacto à proteção de dados poderia, em tese, ser comprometida por seu interesse como gestor da outra área.
No entanto, tanto nas normas nacionais quanto na experiência europeia, o conflito de interesses deve ser resultado de uma análise concreta, na qual seja constatada a influência de uma outra função sobre a atuação do encarregado.
Portanto, a adoção de medidas para afastar o risco de conflito de interesses pode ser suficiente para garantir que as atribuições do Encarregado sejam exercidas sem nenhum tipo de comprometimento e, nesse sentido, o apoio de consultorias externas pode ser muito útil para evitar desconformidades com a LGPD e com o regulamento da ANPD.
Saiba desenhar a estratégia
Entender os riscos e tratá-los com antecedência é essencial para o sucesso de um programa de conformidade contínua às normas de proteção de dados. Se quiser saber mais sobre o assunto, acompanhe os conteúdos da Alves Oliveira.
