Quando se trata da adequação de empresas privadas à Lei Geral de Proteção de Dados Pessoais (LGPD), estas se deparam com o desafio de definir os agentes de tratamento de cada operação realizada com os dados pessoais que coletam, além de nomear um encarregado por tais dados, comumente utilizado o termo em inglês, “Data Protection Officer” (DPO).
A definição do encarregado está prevista no artigo 5ª, inciso VIII, da LGPD, sendo aquele que atua em nome da empresa e é o ponto de comunicação entre o titular dos dados pessoais coletados e a Agência Nacional de Proteção de Dados Pessoais (ANPD). Importante ressaltar que a LGPD não determinou se o DPO deve ser pessoa jurídica ou física, bem como quais pessoas estariam impedidas ou aptas para exercerem tal função.
Apesar da legislação não definir os requisitos necessários para a nomeação de um DPO, em nome da segurança jurídica da empresa, deve-se optar por um profissional que detenha conhecimento suficiente da Lei e de segurança da tecnologia da informação. Isto porque, nos termos do art. 41, § 2º, da LGPD, o encarregado tem como principais funções “apontar desconformidades e orientar à adequação à legislação de proteção de dados pessoais”1, a fim de que a empresa possa tomar as tomar as melhores providências e garantir os direitos dos titulares dos dados.
Deste modo, o cargo de DPO exige autonomia e confiança por parte das organizações2, sendo necessário assegurar que “não esteja sujeito a um conflito de interesses devido ao seu trabalho no Departamento de TI, no Departamento de RH ou na alta administração, onde ele teria que supervisionar a si mesmo”3, conforme dispõe Considerando do Regulamento Geral sobre a Proteção de Dados (GDPR), regulamentação europeia sobre proteção de dados.
Na hipótese de um sócio ser nomeado DPO da própria empresa, aquele pode atuar em favor desta indevidamente, uma vez que está implícita sua subordinação aos demais no que tange à aprovação de suas condutas em nome da sociedade, de forma que pode ser penalizado ou beneficiado a depender de seu posicionamento; bem como, o acúmulo da função de sócio e encarregado na mesma pessoa não permitirá a devida fiscalização das atividades envolvendo o tratamento de dados pessoais, uma vez que este é o próprio encarregado.
Diante do exposto, conclui-se que o sócio não pode ser nomeado DPO da própria empresa, tendo em vista este não conta com “liberdade na realização de suas atribuições”4, ocasionando um conflito de interesses entre a posição que ocupa e as atividades incumbidas ao encarregado. O sócio conta com a parcialidade de suas ações vinculadas à administração da empresa, além de correr o risco de não deter o conhecimento adequado para exercer as atribuições do DPO.
Desta forma, independentemente do porte da empresa, não se deve associar as funções desempenhadas pelo sócio e as que devem ser exercidas pelo encarregado de forma complementar.
SABRINA SANTOS MACEDO
