top of page

É possível cumular as funções de CO e de DPO?

Foto do escritor: Izabel AlbuquerqueIzabel Albuquerque

Atualizado: 24 de mar. de 2022


Capa em fundo escuro do Artigo que analisa a se é possível cumular funções de Compliance Officer (CO) e Data protection Officer (DPO).

Eu já atuo na área de Compliance há alguns anos e quem me conhece sabe que eu sou uma apaixonada declarada pelo tema.


Lembro-me bem que, no ano de 2018, quando o General Data Protection Regulation (GDPR), de fato, ganhou destaque mundial, eu, que na época trabalhava em uma empresa multinacional no Brasil, me deparei com a seguinte pergunta: o Compliance Officer (CO) também pode atuar como Data Protection Officer (DPO)[1]? Isso porque a intenção da minha empresa era a de que eu começasse a também “vestir o chapéu” de DPO no Brasil (além dos “chapéus” de Legal e de CO que eu já “revezava” na minha cabeça). De lá para cá só aumentou o grau de frequência com que escuto essa pergunta e também a minha reflexão sobre o tema.


Observando o mercado, parece-me que a resposta a esta pergunta é positiva, ou seja, sim, um mesmo profissional pode acumular as funções de CO e de DPO. Tenho, inclusive, diversos amigos COs que, com o advento da Lei Geral de Proteção de Dados brasileira (LGPD), começaram a atuar também como DPO em suas organizações no Brasil, seguindo a tendência já observada anteriormente aqui na Europa com o GDPR.

As razões para tal acumulação de funções me parecem óbvias. Apesar da clara diferença de escopo das atividades de um DPO e de um CO, há uma real semelhança quanto aos requisitos exigidos tanto do CO quanto do DPO para terem sucesso nas suas atribuições, bem como quanto às habilidades técnicas e comportamentais desejáveis a todo e qualquer profissional que pretende atuar em quaisquer destas duas áreas.


Mas que semelhanças seriam estas?

Na minha visão, tanto o CO quanto o DPO devem:

- Ter autonomia, independência e liberdade no exercício das suas funções, ainda que, por vezes, as suas recomendações não “agradem” o business;

- Receber recursos suficientes para que possam desempenhar satisfatoriamente as suas funções (ou seja, ter equipe e orçamento adequados à realidade da sua organização);

- Ter acesso direto e irrestrito à alta administração da empresa;

- Ter sólidos conhecimentos técnicos nas suas respetivas áreas;

- Conhecer profundamente o negócio (ou seja, a área de atuação da empresa);

- Atuar fortemente na prevenção;

- Ter visão estratégica, elevada capacidade de negociação e de atuação em questões complexas;

- Ter, ainda, elevada capacidade de comunicação, de inspiração, de liderança, de organização, além de espírito de equipe, empatia, diplomacia, criatividade e resiliência.


Mas o que a lei diz a respeito desta possível acumulação de atividades?

A nossa LGPD é absolutamente omissa, ou seja, não se pronuncia expressamente sobre a possibilidade do DPO exercer outras funções dentro da empresa. Já o GDPR, em seu artigo 37, n. 6, permite, com a ressalva de que seja assegurado que tais outras funções exercidas pelo DPO, na sua organização, não resultem em um conflito de interesses.


Daí nasce a seguinte pergunta: Há conflito de interesses entre as funções de CO e de DPO?

Como boa advogada de formação que sou, a minha resposta é: depende. Cada atividade exercida pelo CO/DPO, quando o mesmo profissional, deverá ser avaliada separadamente para se entender se há ou não conflito de interesses.


Marcos Gomes da Silva Bruno[2] traz um interessante exemplo para a nossa reflexão. Imagine que uma empresa nomeia o CO como DPO e esse mesmo profissional realiza background checks de terceiros? Nessa hipótese, Marcos entende que há um nítido conflito de interesses, pois, como CO, o profissional terá que buscar cada vez mais eficiência nestas checagens, através, por exemplo, da coleta cada vez maior de dados pessoais, enquanto que com o “chapéu” de DPO a sua obrigação é a de monitorar esses backgrounds checks, do ponto de vista da conformidade com a proteção de dados pessoais (que exige a observância do princípio da minimização).


Em abril de 2020, a Autoridade de Proteção de Dados da Bélgica surpreendeu a todos com uma decisão contrária à possibilidade de acúmulo de função de DPO e de CO. Isso porque, ao analisar a realidade da empresa (uma operadora de telefonia), a Autoridade Belga entendeu que, na prática, havia um conflito de interesses.

Obviamente, essa decisão gerou, para dizer o mínimo, uma certa “dor de cabeça” nas empresas europeias que têm um mesmo profissional atuando como CO e DPO e os seus reflexos, como não poderia deixar de ser, alcançaram também o Brasil.


Confesso que até hoje eu me sinto desconfortável com essa possibilidade de acúmulo de funções de CO e de DPO. Mas o meu desconforto não está própria e simplesmente no fato da existência de um potencial conflito de interesses entre estas duas funções, e sim na descrença quanto à real possibilidade desse profissional conseguir exercer, de forma eficiente, atividades tão complexas e que exigem tanta dedicação como são as de um CO e as de um DPO.


É óbvio que se o CO/DPO contar com um orçamento adequado e suficiente para compor uma equipe multidisciplinar, formada por profissionais experientes e que possam o auxiliar nessas árduas tarefas diárias, tudo ficará bem mais “fácil” (entre muitas aspas!).


Mas será esta a realidade da imensa maioria das empresas?

A minha experiência indica que não. O que eu tenho observado, nestes mais de 15 anos de mundo corporativo em grandes empresas, é que tanto o CO quanto o DPO (mesmo quando não são a mesma pessoa) precisam fazer mágica com o budget limitado que possuem e se desdobrar para que consigam implementar seja um programa de compliance, seja um programa de proteção de dados realmente efetivo.


Sei que sou suspeita e que pode parecer que eu estou “advogando em causa própria”, mas eu enxergo os COs e os DPOs como verdadeiros super-heróis, pois, além de proteger as suas respectivas empresas contra o “mal”, eles têm o poder de mudar verdadeiramente a cultura corporativa. Por esta razão, mais do que uma simples “função”, estes profissionais devem ser considerados como parceiros de negócio essenciais da organização, que devem ter voz ativa e participar nas decisões estratégicas das suas empresas, uma vez que são capazes de influenciar positivamente no fortalecimento da cultura empresarial, inspirando os seus colaboradores a atuarem de forma ética, permitindo, assim, a perenidade da organização e o fortalecimento da sua reputação e do seu valor competitivo no mercado.

[1] Optamos, nesse artigo, por adotar a expressão Data Protection Officer (DPO) como sinônimo de Encarregado de Proteção de Dados. Apesar de reconhecer as diferenças entre o “DPO”, tal como definido no GDPR, e o “Encarregado”, tal como definido na LGPD, esse não é o objeto central desse artigo e, portanto, não será aqui explorado. [2] BRUNO, Marcos Gomes da Silva Bruno. “Capítulo VI – Dos Agentes de Tratamento de Dados Pessoais”. LGPD: Lei Geral de Proteção de Dados comentada. Coord. Vivane Nóbrega Maldonado, Renato Opice Blum. São Paulo: Thompson Reuters, 2019. p. 317.


Artigo originalmente publicado no site Next Law Academy em 04/05/2021.



Comments


bottom of page