Por Camila Chiganer
Com a entrada em vigor da Lei Geral de Proteção de Dados em setembro de 2018, tem sido comum algumas empresas direcionarem a função do Data Protection Officer para o Compliance Officer da empresa. Mas será que essa é a melhor opção?
Apesar das Leis Anticorrupção e de Privacidade e Proteção de Dados mundo afora não mencionarem a possibilidade ou não do acúmulo de funções, alguns problemas podem ocorrer nesse trajeto. Ao menos é assim que a Autoridade de Proteção de Dados da Bélgica entendeu durante a fiscalização de uma operadora de telefonia belga, em abril de 2020.
Isso porque, o Compliance Officer da empresa era o responsável pelo background check dos colaboradores da empresa e de terceiros, a fim de realizar as devidas diligências para contratação e se resguardar de eventuais problemas futuros. A prática, como de costume, era a de coletar a maior quantidade de dados pessoais e informações possíveis para uma decisão segura e bem embasada.
Ocorre que, o Data Protection Officer deve seguir determinados princípios básicos dentre os quais, o Princípio da Necessidade. Ou seja, deve haver a limitação do tratamento de dados pessoais ao mínimo necessário para o alcance de suas finalidades. Além disso, deve haver independência do profissional quanto ao aconselhamento das questões relativas ao tratamento de dados pessoais.
Nesse contexto, a empresa belga foi multada devido a identificação de conflito de interesses existente no trabalho do profissional que ocupava as duas funções. Isso porque, segundo a Autoridade de Proteção de Dados do país, sendo o profissional responsável por indicar os meios e a finalidade do tratamento dos dados pessoais na área de conformidade e risco, não estaria dotado de independência para aconselhar e validar a conformidade de tais atividades com o Programa de Privacidade e Proteção de Dados da empresa.
É importante destacar, contudo, que a mera acumulação dos cargos não é suficiente para a caracterização do conflito de interesses. É necessário que o profissional detenha poder decisório quanto os meios e a finalidade do tratamento dos dados pessoais tratados para que haja o impedimento.
