Por Matheus Passos
La Autoridad Nacional de Protección de Datos (ANPD) se enfrenta a un desafío crucial: abordar la cuestión de los conflictos de intereses en el desempeño del Encargado de Protección de Datos (DPO). El papel del DPO es orientar a los responsables del tratamiento para que actúen de acuerdo con las leyes de protección de datos, además de interactuar con los titulares de los datos y con la ANPD. El DPO desempeña, por lo tanto, una función fundamental en el actual panorama de protección de datos. Es por eso que el tema de los DPOs, conflictos de intereses y LGPD es fundamental para el buen desarrollo de la protección de datos en Brasil.
Esta cuestión ha sido objeto de análisis en Europa, una región con una larga historia en protección de datos y cuyas experiencias pueden aportar aprendizajes significativos para Brasil. En Bélgica, por ejemplo, se impuso una multa de 50.000 euros en abril de 2020 a una empresa debido al conflicto de intereses de su DPO, que también era director de auditoría, riesgo y cumplimiento. En Alemania, se impuso una multa aún mayor de 525.000 euros en septiembre de 2022, también debido a un conflicto de intereses del DPO. Estas multas representan no solo pérdidas financieras significativas para las empresas involucradas, sino que también sirven como advertencia para todas las organizaciones sobre la importancia de prevenir conflictos de intereses en la función del DPO.
El caso C‑453/21 del Tribunal de Justicia de la Unión Europea también abordó esta cuestión, concluyendo que puede haber un conflicto de intereses cuando el DPO ejerce otras funciones o atribuciones que le llevan a determinar las finalidades y los medios de tratamiento de datos personales. Este fallo refuerza la necesidad de separar la función de responsable del tratamiento de la función del DPO para evitar conflictos de intereses.
La norma internacional ISO 27001, que define los sistemas de gestión de seguridad de la información, puede ofrecer pautas valiosas para comprender mejor cómo evitar conflictos de intereses en la función del DPO. Existe el “Lead Implementer” y el “Lead Auditor” de ISO 27001, siendo el primero responsable de la implementación y mantenimiento del sistema de seguridad de la información, y el segundo responsable de evaluar la eficacia y conformidad del sistema. Estas funciones deben ser desempeñadas por personas diferentes para prevenir un juicio parcial.
La Ley General de Protección de Datos (LGPD) en Brasil, aunque es un hito importante en protección de datos, lamentablemente no prohíbe explícitamente los conflictos de intereses para el DPO. Esta laguna legal puede generar un entorno propicio para posibles conflictos de intereses, creando una situación delicada tanto para las organizaciones como para los propios DPOs. Este es un aspecto que debe abordarse para proporcionar una mayor claridad legal y orientación tanto a los DPOs como a las organizaciones que manejan datos personales.
Al hablar de DPOs, conflictos de intereses y LGPD, queda claro que la cuestión del conflicto de intereses en el desempeño del DPO es un tema que debe abordarse con la urgencia necesaria por parte de la ANPD. Las experiencias en la Unión Europea y las normas como ISO 27001 nos brindan un punto de partida sólido para abordar esta cuestión. Debemos avanzar en el fortalecimiento del papel del DPO, garantizando su independencia y evitando posibles conflictos de intereses. Solo así podremos asegurar una protección efectiva de los datos personales en Brasil.
Fuente: https://dponapratica.com.br/2023/06/dpos-conflitos-de-interesses-e-lgpd/
Spanish
English
Portuguese
Chinese (Simplified)
Russian
French
German
Dutch
Italian