Diante do crescente aumento da exposição de indivíduos e de sua sujeição constante a estruturas tecnológicas – pertencentes a Estados e a instituições privadas –, verifica-se a relevância de se desenvolver instrumentos jurídicos e políticas de compliance voltadas para o tratamento de dados pessoais.
Considerando, inclusive, questões de ordem técnica e de gestão de riscos, os referidos instrumentos devem ser aplicados sob uma lógica de prevenção do cometimento de ilícitos e de danos aos titulares de dados, havendo, então, o estabelecimento de deveres e responsabilidades específicas aos agentes de tratamento, bem como a previsão de regras de boas práticas e de governança.[1]
Além de seguir estritamente normas, decretos, resoluções, atos e portarias, as instituições devem obedecer a todo o arcabouço regulatório pertinente à atividade desenvolvida e criar suas próprias normas internas – como Códigos de Ética e Conduta –, com o intuito de direcionar o comportamento de seus diretores, executivos e funcionários, coibindo, assim, comportamentos negativos, desvios de conduta e inconformidades com as normas.
Nesse contexto, insere-se a Lei Geral de Proteção de Dados brasileira (Lei nº 13.709/18). A proteção de dados e a norma jurídica referente à matéria podem ser percebidas como formas de: (i) conter os efeitos nefastos do capitalismo de vigilância[2] e as manipulações oriundas de grandes plataformas; (ii) afastar os riscos que determinadas aplicações com algoritmos podem oferecer às liberdades fundamentais; e (iii) trazer garantias às pessoas diante da opacidade e da ausência de accountability de muitas estruturas políticas e econômicas.[3]
A LGPD trouxe normas de cumprimento obrigatório para os agentes de tratamento, assim como apresentou estrutura normativa que impõe que tanto pessoas naturais quanto jurídicas, de direito público ou privado, se adequem aos seus comandos.
Para tanto, há exigências como: a) o registro documental de fluxos de dados – a exemplo do mapeamento de todos os dados pessoais e operações de tratamento que envolverem tanto informações de usuários de produtos e/ ou serviços da organização quanto de não usuários, como funcionários, representantes de clientes, parceiros, fornecedores ou terceiros; b) aditivos contratuais, havendo a verificação de todos os contratos vigentes e a inclusão ou revisão das cláusulas de proteção de dados pessoais, considerando-se, inclusive, políticas de terceiros e due diligence; e c) a atualização de políticas de privacidade e termos de uso.
Deve ocorrer também a ampliação das áreas de segurança da informação e de proteção de dados (com o estabelecimento de encarregado – data protection officer); a minimização de riscos de acesso indevido a dados por terceiros ou pessoas não autorizadas; a aplicação do privacy by design em todo o ciclo de tratamento de dados; a ampliação da proteção conferida aos dados sensíveis tratados; e a feitura de relatórios de impacto à proteção de dados, quando pertinentes.
Na forma do art. 50 da LGPD, os controladores e operadores, no âmbito de suas competências, poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais. Tais regras deverão, inclusive, ser publicadas e atualizadas periodicamente.
Estar em conformidade deve significar alterar a cultura da instituição no que tange ao tema em destaque, observando-se de forma específica os princípios da LGPD (especialmente a responsabilidade e a prestação de contas, a segurança, a prevenção, a transparência e a não discriminação), além da necessidade de se capacitar todos os sujeitos para que atuem conforme as normas que apresentem relevância jurídica por força de lei ou contrato.
A conformidade é caracterizada “pelo compromisso com a criação de um sistema complexo de políticas, de controles internos e de procedimentos, que demonstrem que a empresa está buscando “garantir” que se mantenha em um estado de compliance.”[4]
A instituição de um programa de compliance que abranja os tratamentos de dados realizados se mostra essencial para implementar a conformidade aos comandos da lei em tela, observadas as particularidades e os processos de cada empresa, bem como para prevenir a ocorrência de violações aos direitos dos titulares, traduzindo de forma concreta para as atividades cotidianas da empresa as premissas da LGPD. Como exemplo, as regras de governança poderão dispor sobre as hipóteses em que haverá a aplicação da base legal do legítimo interesse e quando serão desenvolvidos relatórios de impacto.
Um programa que envolva altas lideranças corporativas, tenha suporte financeiro adequado, ofereça autonomia e independência aos envolvidos e detecte e puna adequadamente condutas violadoras das diretrizes adotadas contribui tanto para a boa reputação da empresa quanto para a criação de um ambiente de confiança com os titulares de dados (como clientes e parceiros), além de representar diferencial competitivo frente aos demais agentes que atuam no mesmo setor. Para tanto, devem ser reforçados canais de denúncia, comitês de ética, políticas de consequências e penalidades e auditorias.
Considerar aspectos éticos e boas práticas internacionalmente elogiadas e aplicadas no tratamento de dados é medida fundamental no programa implementado. Por meio de uma cultura de compliance proativa de dados, as instituições podem buscar uma transformação digital segura, assim como evitar os riscos associados à não conformidade regulatória, como, por exemplo, multas, restrições, perda da confiança do consumidor e de clientes, além da diminuição de oportunidades de negócios.
A LGPD demanda novos modelos empresariais, sendo programas robustos de compliance e o gerenciamento ágil dos riscos essenciais para proteger as instituições e promover seu desenvolvimento.
Neste sentido, vale lembrar sigla que vem sendo consagrada nos últimos tempos: a “ESG”, que significa environmental, social and corporate governance. Ela é usada para se referir e mensurar as práticas ambientais, sociais e de governança de um negócio.
Como exemplos, o pilar ambiental abarca a gestão das emissões de gases de efeito estufa e o consumo de recursos naturais; o social analisa o relacionamento com os colaboradores, os valores da empresa, a diversidade no corpo de funcionários e campanhas externas; e o de governança trata de aspectos relacionados às políticas e práticas da empresa, à diversidade nos conselhos corporativos e às aplicações voltadas à ética, transparência e práticas anticorrupção.
Percebe-se, portanto, que tais cuidados beneficiam, além da coletividade, a própria empresa, que se torna mais competitiva, tem melhor controle sobre os riscos e tende a alcançar melhores resultados.
Atuar ativamente em tais setores vem representando critério relevante para o recebimento de investimentos e caminha ao encontro da lógica do capitalismo de stakeholders, conceito que visa a debater qual papel os stakeholders podem desempenhar na busca de uma economia global mais sustentável, resiliente e inclusiva.
Klaus Schwab propõe que as empresas busquem a criação de valores de longo prazo, ao invés de lucros de curto prazo, levando em consideração as necessidades de todas as partes interessadas e da sociedade em geral.
Os governos devem cooperar para criar a maior prosperidade possível para seu povo, enquanto a sociedade civil e as organizações internacionais completam o diálogo com as partes interessadas, ajudando a equilibrar os interesses das pessoas e do planeta.
Assim, empresas comprometidas com a redução de seus impactos ambientais, com a construção de um ambiente socialmente responsável para seus colaboradores e para a comunidade em seu entorno e com os melhores processos de administração vêm se destacando, por mostrar o quanto são resilientes e sustentáveis.
Sistemas de gestão de compliance comprometidos com as questões acima protegem a instituição, por exemplo, de sanções impostas pela Autoridade Nacional de Proteção de Dados, que já poderão ocorrer a partir de 1º de agosto de 2021 (há uma minuta de Resolução sobre o tema das sanções submetida à consulta pública até o dia 28 de junho de 2021), pelo Poder Judiciário[5] e agências reguladoras, bem como de questionamentos de autoridades.
As referidas ações caminham no sentido de oferecer à pessoa humana, tanto em âmbito individual quanto coletivo, instrumentos que lhe garantam assumir efetivamente o controle acerca do uso e da integridade de suas informações. Atualmente, a proteção de dados pessoais no Brasil encontra-se garantida como Direito Fundamental[6] e dialoga com o sistema europeu de tutela de dados.
Visa-se, com isso, que nos próximos anos o Conselho Europeu entenda que o país dispõe de um conjunto normativo adequado ao europeu no que concerne à qualidade da proteção de dados pessoais, uma vez que isso facilitará a realização de transações com países do bloco e com a Organização para a Cooperação e Desenvolvimento Econômico (OCDE).
Inclusive, para o setor empresarial, ter uma lei específica para a matéria e instituições sensíveis e adequadas à norma mostra-se estratégico para dinamizar e ampliar as negociações com sujeitos estrangeiros.
Nos últimos tempos, percebe-se um aumento significativo no número de ataques cibernéticos, vazamentos de dados e fraudes, bem como questionamentos relevantes acerca da integridade e da sustentabilidade de determinados sujeitos posicionados no campo empresarial. Situações essas que poderiam ser reduzidas ou mais rapidamente contornadas caso as instituições já tivessem implementado políticas sólidas de adequação às normas de proteção de dados, normas tanto jurídicas quanto técnicas, e de aderência aos valores do ESG.
[1] TEFFÉ, Chiara Spadaccini de. Compliance de dados em tecnologias de segurança e vigilância. Artigo encaminhado para publicação em obra coletiva coordenada por Ana Frazão e Ricardo Cueva. 2021.
[2] ZUBOFF, Shoshana. The Age of Surveillance Capitalism: The Fight for a Human Future at the New Frontier of Power. 1.ed. PublicAffairs: 2019.
[3] FRAZÃO, Ana. Fundamentos da proteção dos dados pessoais. Noções introdutórias para a compreensão da importância da Lei Geral de Proteção de dados. In: Gustavo Tepedino, Ana Frazão e Milena Donato Oliva (Org.). Lei Geral de Proteção de Dados Pessoais e suas repercussões no Direito Brasileiro. 1ed. São Paulo: Thomson Reuters – Revista dos Tribunais, 2019, v. 1, p. 23-52.
[4] SAAVEDRA, Giovani Agostini. Compliance de dados. In: Bruno Bioni, Laura Schertel Mendes, Danilo Doneda, Otavio Luiz Rodrigues Jr., Ingo Wolfgang Sarlet (Org.). Tratado de Proteção de dados pessoais. 1ed.Rio de Janeiro: Forense, 2021, v. 1, p. 729.
[5] Observa-se que o processo de adequação já vem ocorrendo no próprio Poder Judiciário. Buscando trazer diretrizes para o referido processo, foi publicada no âmbito do Conselho Nacional de Justiça (CNJ) a Resolução nº 363, de 12/01/2021, que estabelece medidas para o processo de adequação à Lei Geral de Proteção de Dados Pessoais a serem adotadas pelos tribunais.
[6] Em relevante precedente do Supremo Tribunal Federal (ADI 6387 MC-REF/DF) sobre a temática, pontuou-se que a proteção de dados pessoais e a autodeterminação informativa seriam direitos fundamentais autônomos, extraídos do texto constitucional a partir da garantia da inviolabilidade da intimidade e da vida privada (art. 5º, X), do princípio da dignidade da pessoa humana (art. 1º, III) e da garantia processual do habeas data (art. 5º, LXXII).
