A crescente relevância do Encarregado pelo tratamento de dados pessoais (Data Protection Officer – DPO) no cenário corporativo evidencia a necessidade de garantir sua independência e imparcialidade. Justamente por exercer funções de orientação, monitoramento e reporte, inclusive em temas sensíveis e potencialmente divergentes aos interesses da organização, o desempenho adequado de suas atribuições pressupõe atuação livre e irrestrita.
Nesse contexto, a verificação de potencial conflito de interesse do DPO é fundamental. Haveria um conflito quando interesses pessoais, profissionais ou institucionais interferem na capacidade de uma pessoa atuar com objetividade e imparcialidade. No caso do DPO, o conflito poderia se configura quando o Encarregado acumula funções que possam influenciar decisões sobre as finalidades ou os meios do tratamento de dados pessoais, ou quando sua atuação fica subordinada a interesses organizacionais incompatíveis com seu dever de orientar, monitorar e reportar de forma independente.
Incompatibilidades nas funções
A orientação do Comitê Europeu de Proteção de Dados (EDPB – European Data Protection Board) e da Autoridade Europeia para a Proteção de Dados (EDPS – European Data Protection Supervisor) destaca que são incompatíveis com a função de DPO, cargos de direção executiva, recursos humanos, tecnologia da informação, marketing ou finanças, pois envolvem decisões estratégicas que contrapõem o interesse comercial da empresa ao direito fundamental à proteção de dados pessoais do titular.
Por exemplo, um DPO que também atue em marketing pode hesitar em reportar incidentes de segurança por receio de impactos reputacionais. Situações como essa evidenciam a importância do princípio da independência, previsto expressamente no GDPR e refletido nas orientações da Autoridade Nacional de Proteção de Dados (ANPD).
Embora a LGPD não preveja expressamente o princípio da independência, a Resolução CD/ANPD nº 18/2024 reforça a necessidade de que o encarregado atue com isenção e sem conflito de interesses. Dessa forma, de acordo com a Resolução, cabe ao Encarregado o dever de declarar qualquer situação que possa gerar conflito, enquanto ao Controlador a responsabilidade de prevenir e remediar tais situações, podendo (i) deixar de indicar o profissional; (ii) adotar medidas para eliminar o risco; ou (ii) substituí-lo, caso o conflito persista.
Boas Práticas para Prevenir Conflitos de Interesse
A adoção de boas práticas é indispensável para assegurar a independência e a imparcialidade do DPO. Entre as principais medidas recomendadas pela GDPR e pela Resolução CD/ANPD nº 18/2024 estão (i) a separação hierárquica entre o DPO e as áreas que decidem sobre o tratamento de dados, (ii) linhas diretas de reporte à alta administração; e (iii) a garantia de recursos humanos, tecnológicos e financeiros adequados ao desempenho de suas funções.
Outras medidas relevantes incluem a formalização de políticas internas com regras claras sobre acúmulo de funções e declarações periódicas de inexistência de conflito, a criação de comitês de privacidade, a capacitação contínua e o estabelecimento de canais de comunicação seguros com a alta gestão.
Casos Práticos e Sanções Internacionais
Os conflitos de interesse podem ser objeto de sanções rigorosas na União Europeia. Na Bélgica, por exemplo, uma empresa foi multada em € 50.000, com base no artigo 38(6) do GDPR, após ter constatado que o DPO acumulava funções conflitantes, atuando simultaneamente como diretor de auditoria, risco e compliance. Situação semelhante ocorreu na Alemanha, onde uma companhia foi multada em € 525.000, pois o mesmo profissional era DPO e, ao mesmo tempo, diretor de duas empresas prestadoras de serviços do grupo. Em fevereiro de 2023, o Tribunal de Justiça da União Europeia (TJUE) analisou o caso C-453/21, que discutia se a acumulação das funções de presidente do comitê de trabalhadores e de DPO configuraria conflito de interesse. A Corte concluiu que essa sobreposição poderia comprometer a independência do DPO, cabendo ao tribunal nacional avaliar as circunstâncias específicas de cada caso. No Brasil, embora ainda não existam precedentes específicos, a infração decorrente de conflito de interesse poderá ensejar a aplicação das sanções previstas no artigo 52 da LGPD.
Conclusão
A função do DPO é estratégica para a governança corporativa e para a cultura de privacidade, indo além de uma exigência legal. Para atuar com independência, integridade e efetividade, é essencial compreender as obrigações previstas no GDPR, na LGPD e na Resolução nº 18/2024. A construção de uma governança robusta em privacidade depende não apenas de normas, mas também de uma cultura organizacional que valorize transparência e previna conflitos de interesse, garantindo autonomia técnica ao encarregado.
GTLawyers oferece suporte especializado na implementação e no aprimoramento de programas de privacidade, incluindo assessoria jurídica contínua ao DPO e serviços de DPO as a Service. Sua atuação busca assegurar conformidade legal, boas práticas de governança e mitigação de riscos, preservando a independência e a credibilidade do DPO como elemento central da confiança institucional.
