Na última terça, 28, a Autoridade Belga de Proteção de Dados (DPA) tomou a decisão de multar uma empresa em 50 mil euros, por nomeação inadequada de seu Oficial de Proteção de Dados (DPO). Segundo a DPA, havia conflito de interesse nos papéis exercidos pelo profissional, constituindo violação do artigo 38.6 do GDPR.
Devido a um incidente de segurança, a DPA realizou investigações quanto às práticas da empresa em relação a proteção de dados. Em conclusão foi constatada a impossibilidade da cumulação de funções do Chefe de Conformidade, Risco e Auditoria, também nomeado DPO. Por ser a mesma pessoa exercendo as duas funções, ficaria impossibilitado ao DPO supervisionar a supervisão independente das atividades de tratamento de dados pessoais realizada pelo chefe de conformidade.
A empresa argumentou que não haveria conflito de interesses entre essas funções, pois o DPO não estaria envolvido em nenhuma tomada de decisão em torno do processamento de dados pessoais. Discordando do argumento da empresa, o DPA ainda ressaltou que capacidade de Chefe de Conformidade, Risco e Auditoria, o DPO seria o principal responsável pelo processamento de dados pessoais no contexto das atividades de conformidade, risco e auditoria da organização. Portanto, o DPA decidiu que seria impossível para o DPO exercer qualquer supervisão independente sobre essas atividades de processamento. O que foi considerado como “um grau significativo de negligência”, rendeu à empresa a maior multa já aplicada pela Autoridade Belga.
No Brasil.
A decisão da Autoridade Belga, apesar de ainda estar sujeita a recurso, abre precedente do caso. Aqui no Brasil, a LGPD não possui uma definição clara quanto ao acúmulo de funções ou sobre conflito de interesses dos cargos. De modo que seria viável que o DPO acumule função, mas com a devida atenção.
Para as empresas menores, que por muitas vezes não tem a possibilidade de ter uma área autônoma para o DPO, fica o desafio de implementar mecanismos que possibilitem lidar com conflitos de interesse que poderão surgir.