Arthur Guimarães
A accountability na Lei Geral de Proteção de Dados Pessoais (LGPD) abre pouca margem para polêmicas. O próprio texto legislativo expressa a necessidade do agente de tratamento de dados demonstrar a adoção de medidas eficazes e o cumprimento de normas de segurança — o princípio de responsabilização e prestação de contas. No seu âmbito, entretanto, há algumas lacunas que abrem espaço para leituras divergentes. Duas delas estão contidas na seção de boas práticas e de governança, assunto ainda não endereçado pela Autoridade Nacional de Proteção de Dados (ANPD), por não ter sido pautado na agenda regulatória.
O artigo 50 da LGPD estabelece que controladores e operadores podem, individualmente ou por meio de associações, formular regras de boas práticas e de governança. Trata-se de uma abertura para uma espécie de autorregulação, a partir da qual entidades têm a possibilidade de precisar condições de organização, regime de funcionamento e procedimentos relativos ao tratamento de dados pessoais.
A lei define que o controlador deve observar critérios mínimos de implementação de um programa de governança em privacidade e demonstrar sua efetividade quando apropriado, caso haja um pedido da autoridade nacional ou de outra instituição responsável pelo cumprimento das boas práticas, por exemplo. O parágrafo terceiro do mesmo artigo ainda diz que as diretrizes devem ser publicadas e atualizadas periodicamente, sendo que a ANPD pode reconhecê-las e divulgá-las.
De acordo com Fabiano Menke, professor de Direito Civil da Universidade Federal do Rio Grande do Sul (UFRGS) e membro do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade (CNPD), existem ao menos duas dificuldades no contexto das boas práticas e de governança:
- Se uma associação adotar determinadas regras, todos os que a integram devem segui-las?
- Quais os critérios e o procedimento que a ANPD usará para reconhecer e divulgar tais regras?
Em resposta à reportagem, a ANPD informou, via assessoria de imprensa, que ainda não enfrentou o assunto. “A Autoridade tem muito zelo em responder sobre todos os temas relacionados à LGPD e, por isso, não temos como responder no momento, justamente, porque o assunto ainda não foi nem pautado na Agenda Regulatória”.
Debate em aberto
Para Menke, não deveria ser obrigatório o associado seguir as regras de boas práticas e de governança de sua entidade. Na ótica do especialista, caso uma associação aprove diretrizes para o tratamento de dados na esfera de sua competência, deveria haver um mecanismo flexível de adesão facultativa.
No que tange ao segundo ponto, o professor afirmou que a autoridade nacional deverá realizar um teste para assegurar que aquelas regras estão em conformidade com a LGPD, de onde se extrai outro obstáculo, de conhecer as particularidades de todos os setores. A LGPD “é uma lei geral, e a ANPD fiscaliza todo o Brasil no que diz respeito à proteção de dados. Como conhecer todas as áreas na profundidade em que hoje elas atuam? É muito difícil. Isso demanda uma investigação do que acontece naquele setor específico, que é complexa em demasia”, explicou.
Essa foi uma situação reconhecida por Luiz Felipe Di Sessa, sócio de Proteção de Dados e Cybersecurity do escritório Mattos Filho. Daí, inclusive, seria possível entender por que a Lei Geral de Proteção de Dados Pessoais deixa determinados assuntos em aberto. Segundo o advogado, seria inviável e indesejável que um legislador quisesse determinar os padrões de boas práticas e de governança para todos os setores, haja vista que esses modelos devem variar conforme o setor, a empresa, o volume e a sensibilidade dos dados tratados.
Di Sessa também reconheceu que a adoção dessas diretrizes é benéfica ao titular dos dados, mas principalmente aos agentes de tratamento. Isso, porque diminui o espaço para surpresas não desejadas e, em um eventual cenário de estresse, seria possível apresentar às partes interessadas o esforço realizado para estar em sintonia com a lei.
“Tenho certeza que a receptividade da informação do incidente, tanto por parte do titular quanto por parte da ANPD, vai ser outra se a empresa conseguir demonstrar essas boas práticas e melhores esforços que ela teve para cumprir a lei do que simplesmente falar: ‘Eu tinha uma política de privacidade aqui, mas mesmo assim aconteceu’,” defendeu.
Sobre a relação entre associado e associação, o advogado defendeu que a adoção das normas de boas práticas e de governança na LGPD devem seguir o mesmo rito que rege o funcionamento da instituição. Seria possível, pois, criar regras vinculantes a todos, desde que precedida de votações, acordos ou o que estiver previsto no regulamento interno.
Maurício Tamer, advogado do Machado Meyer, disse não enxergar uma vinculação legal, a ponto de o associado poder ser sancionado pela autoridade nacional ou mesmo judicialmente. Mesmo assim, declarou que seria de “bom-tom” e sempre servirá de argumento contrário se um agente de tratamento de dados não seguir as recomendações propostas pela associação daquele segmento. De todo modo, “acho que estamos muito longe de enxergar uma sanção por descumprimento de uma prática que uma associação coloque.”
O advogado afirmou acreditar ainda que, a partir do momento que as associações começarem a sinalizar isso, haverá um efeito em cadeia, com a Europa definindo condutas, as autoridades domésticas aproveitando essas contribuições e as entidades representativas valendo-se dos dois avanços.
No fim das contas, é uma questão de diálogo.
