Compliance e LGPD: plano de adequação como ferramenta de mitigação de riscos legais
O que é essencial em todo plano de adequação à Lei Geral de Proteção de Dados?
Rony Vainzof
Caio César Carvalho Lima
Maurício Antonio Tamer
Artigo publicado inicialmente no Jota.
Estar em compliance. Aí está um dos maiores desafios contemporâneos de qualquer empresa no Brasil. O compliance e, dentro de tal ideia a adoção de políticas anticorrupção, tem ganhado cada vez mais relevância nos cenários nacional e internacional, especialmente diante de uma mudança de percepção social pela necessidade de se respeitar o sistema legal, principalmente pela compreensão dos prejuízos sociais crescentes e decorrentes da ausência das melhores práticas de conformidade.
Essa preocupação não é recente e historicamente encontra base em agendas que se ajustam (combate ao crime organizado, tráfico internacional, atos de corrupção, entre outras).¹ Engana-se, porém, quem compreende o compliance apenas como medidas de mitigação de riscos atrelados às práticas de corrupção. Em verdade, trata-se de verdadeira mudança cultural multidisciplinar nas empresas envolvendo as áreas jurídicas, de tecnologia e segurança da informação, recursos humanos, marketing, entre outras, bem como os ideais de ética empresarial e responsabilidade social.
Nesse contexto, sem sombra de dúvidas, a Lei Geral de Proteção de Dados Pessoais (LGPD), que entrou em vigor no dia 18 de setembro, é o novo grande paradigma de conformidade no Brasil. Aliás, mais que isso, com a previsão expressa do princípio da responsabilização e prestação de contas em seu art. 6º, X², e com uma série de disposições que considera ser fundamental a adequação pelos agentes de tratamento (v.g. como critério à aplicação de sanção pela Autoridade Nacional3–4), é possível dizer que a LGPD representa o segundo5 marco legislativo no Brasil em relação ao compliance, mas agora voltado aos dados pessoais, dispondo expressamente sobre a adoção dos referidos procedimentos de integridade.
A LGPD consolida a necessidade do uso ético, seguro e responsável dos dados pessoais, e a adequação consiste em verdadeiro plano multidisciplinar para que toda empresa alcance esses objetivos.
O olhar a ser dado para esse projeto é de algo amplo para todas as áreas da empresa, com a implementação top-down. Ou seja, não deve ser projeto de uma área, mas da própria empresa. Não basta, portanto, sanear apenas um ou mais setores, as regras e princípios de privacidade e proteção de dados precisam ser inseridos e previstos nos princípios, valores e missões de toda a corporação.
Os empresários que enxergarem a proteção de dados pessoais como importante direito dos indivíduos, que pode se tornar inclusive fundamental6, e não somente como mais uma obrigação a ser cumprida, certamente executarão melhor as necessidades legais, mitigarão mais riscos e ganharão a confiança dos cidadãos e do mercado.
Para tanto, algumas providências são fundamentais, quais sejam:
i) o board da empresa deve dar visibilidade corporativa sobre a importância do projeto de adequação;
ii) nomear comitê multidisciplinar que será responsável por elaborar o plano de adequação à LGPD com visão holística; e
iii) designar Project Management Ofice – PMO para conduzir e gerenciar o projeto de adequação, por meio de medidas de padronização e efetividade, junto com o comitê; posteriormente, a providência será a própria implementação desse plano.
Ou seja, a ideia é que os agentes de tratamento que respondem pela Lei (qualquer pessoa jurídica ou natural que trate dados pessoais7 e que não esteja enquadrada nas causas de exceção de aplicabilidade do art. 4º8) tenham uma área estruturada e em mãos um plano de ação, verdadeiro passo a passo que mapeie e classifique as atividades, instrua os profissionais envolvidos e indique a contratação de novos colaboradores se necessário, reformule estruturas, planeje e implante normas internas de conformidades, etc. O plano de adequação, em razão dessas aptidões práticas, passa a ser ferramenta fundamental a viabilizar que o agente de tratamento esteja em conformidade com a LGPD. Traz para o plano concreto as principais necessidades, permitindo que as empresas e pessoas naturais se adequem de forma prática ao que a lei exige.
Mas quais seriam as principais medidas a serem implantadas; ou seja, o que é essencial em todo plano de adequação à LGPD?
O primeiro passo é mapear as atividades e todo o data flow. É nessa análise de risco ou risk assessment que de fato se entende o cenário das mais variadas atividades da empresa e modelos de negócio pautados em dados pessoais.
E por que essa análise é fundamental? Porque é a partir dela que se extrai o retrato de conformidade do fluxo de dados em todas as áreas da empresa, visando avaliar a legalidade e apontar ajustes (gap analysis).
Em outros termos, o compliance não se dá de qualquer forma, mas passa necessariamente por referida avaliação, uma vez que o controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem (art. 37). Isso sem prejuízo das regras que devem prever a realização de Relatórios de Impacto à Proteção de Dados Pessoais,9 que poderá ser exigido pela Autoridade Nacional de Proteção de Dados – ANPD (Arts. 10, §3º, 32, e 38), e visa, por meio da descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, traçar medidas, salvaguardas e mecanismos de mitigação de riscos.
Isso tudo é fundamental para se avaliar, por exemplo, quais bases legais de tratamento são necessárias, se é possível a comunicação ou o uso compartilhado entre as empresas, o quanto vale a pena investir em medidas de anonimização e a existência de padrões ou normas técnicas específicas.
Identifica-se também qual o ciclo de vida dos dados pessoais na empresa. Isso é fundamental para se compreender quais departamentos e colaboradores devem ser instruídos e onde devem ser aplicadas as soluções tecnológicas, de segurança e procedimentos para garantir a contenção de tais informações, por exemplo.
Também se apura, na prática, qual a categorização legal da empresa que trata os dados pessoais, se será considerada controladora ou operadora10.
Por que essa compreensão é importante? Porque é a partir dela que se sabem quais medidas de adequação devem ser adotadas e a quais riscos de responsabilização a empresa está submetida. Enfim, a análise de risco permite que seja tirada verdadeira fotografia da atividade de tratamento de dados pessoais da empresa, representando o ponto de partida das medidas de adequação.
A segunda providência do Plano de Adequação, de certa forma relacionada à própria análise de risco, é demonstrar a necessidade do comprometimento dos profissionais com poder de direção em relação à adequação da empresa.
A conformidade depende, necessariamente, da destinação de recursos humanos e financeiros, sendo importante que os administradores tenham essa consciência. É investimento a ser feito hoje, que diminuirá os riscos de incidentes de dados pessoais, mitigando prejuízos sancionatórios e de reputação. Melhor atuar preventivamente hoje ou sujeitar a empresa a multas de até 50 milhões de reais por infração (art. 52, II)? Prevenir é sempre melhor que remediar.
Outra medida de adequação importante é a contratação pelos controladores de profissional vocacionado a assegurar a conformidade da empresa com a LGPD e a realizar a interlocução com a ANPD. Deve a administração da empresa nomear o chamado Encarregado (art. 5º, VIII) ou Data Protection Oficer, atendendo ao que dispõe o art. 41. A quem estiver nessa função competirá aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências, receber comunicações da autoridade nacional e adotar providências, orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares. Como visto, são tarefas variadas e complexas, razão pela qual além do DPO, é importante que a empresa estruture uma área com profissionais que lhe deem respaldo11.
Como quarta providência de destaque do Plano está a adoção de medidas de segurança, a fim de proteger o tratamento de dados pessoais e a contenção das informações. As medidas de segurança são destinadas a mitigar acessos não autorizados aos dados pessoais tratados, situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilegal (art. 46). São medidas fundamentais e, em realidade, são essas medidas que também vão manter o agente de tratamento em conformidade.
O Plano de Adequação também será responsável por implementar as chamadas medidas de boa governança (art. 50), ou seja, medidas que resultem na organização interna com padrões, normas e procedimentos por meio da implementação de programa de governança em privacidade que no mínimo demonstre o comprometimento do agente em buscar o cumprimento da lei. É nesse ponto, por exemplo, que serão criadas ou ajustadas as políticas internas de segurança da informação, assim como os jobs descriptions dos colaboradores, os códigos de ética, o manual de incidente de segurança, dentre outros.
Por fim, também será fundamental a criação da cultura de proteção de dados, o que pode ser iniciado por meio de cursos, palestras e simulações para instrução permanente dos colaboradores, a fim de demonstrar a importância do tema e esclarecer os riscos a que a empresa e os próprios profissionais estão sujeitos. Como qualquer providência de organização, o comprometimento das pessoas direta ou indiretamente envolvidas e o direcionamento top-down são absolutamente fundamentais.
Portanto, o Plano de Adequação se apresenta como ferramenta fundamental e mais adequada, do ponto de vista prático, para colocar a empresa em compliance com a LGPD, pois reúne, de forma direcionada, todas as medidas necessárias e viabiliza a conformidade da empresa ponta a ponta – da análise da atividade e dos riscos envolvidos até a implementação das providências concretas de ajuste.
————————————–
1 Destacam-se em cenário internacional o Foreign Corrupt Practices Act – FCPA dos Estados Unidos e o The England’s Bribery Act de 2010 da Inglaterra. No Brasil, a agenda ganha importância ainda maior a partir da Lei Anticorrupção nº 12.846 de 2013 e o seu Decreto regulamentador nº 8.420 de 2015.
2 Art. 6º As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios: […] X – responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.
3 Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional: […] §1º As sanções serão aplicadas após procedimento administrativo que possibilite a oportunidade da ampla defesa, de forma gradativa, isolada ou cumulativa, de acordo com as peculiaridades do caso concreto e considerados os seguintes parâmetros e critérios: […] VIII – a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados, em consonância com o disposto no inciso II do § 2o do art. 48 desta Lei.
4 Sobre a criação, estrutura e atribuições da Autoridade Nacional de Proteção de Dados – ANPD veja: https://www.jota.info/opiniao-e-analise/artigos/a-criacao-da-anpd-e-a-mp-no-869-2018-25012019.
5 O primeiro é a Lei 12.846/13, que dispõe sobre a responsabilização administrativa e civil de pessoas jurídicas pela prática de atos contra a administração pública, nacional ou estrangeira, e dá outras providências.
6 Proposta de Emenda à Constituição n° 17, de 2019. Acrescenta o inciso XII-A, ao art. 5º, e o inciso XXX, ao art. 22, da Constituição Federal para incluir a proteção de dados pessoais entre os direitos fundamentais do cidadão e fixar a competência privativa da União para legislar sobre a matéria.
7 Art. 5º Para os fins desta Lei, considera-se: […] X – tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
8 Art. 4º Esta Lei não se aplica ao tratamento de dados pessoais: I – realizado por pessoa natural para fins exclusivamente particulares e não econômicos; II – realizado para fins exclusivamente: a) jornalístico e artísticos; ou b) acadêmicos; III – realizado para fins exclusivos de: a) segurança pública; b) defesa nacional; c) segurança do Estado; ou d) atividades de investigação e repressão de infrações penais; ou IV – provenientes de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência, desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado ao previsto nesta Lei.
9 O Relatório é definido no art. 5º, XVII, da LGPD como a “documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco.” Quer dizer, logo em um dos artigos inaugurais e cirúrgicos da Lei, ela traz a importância da confecção de um documento específico que detalha toda a atividade de tratamento para a fiscalização e a quem essa compete.
10 Se à empresa competir as decisões referentes ao tratamento de dados pessoais (v.g. quais dados serão coletados e para qual finalidade), será classificada como controladora (art. 5º, VI). Porém, se apenas realizar o tratamento dos dados sob orientação e comando de outra empresa, será considerada mera operadora.
11 Inclusive, no caso de eventual e indesejado incidente de exposição de dados, deverá a empresa, por meio do Encarregado, informar à Autoridade o mais rápido possível (art. 48), correndo o risco de ser sancionada caso não o faça ou atrase injustificadamente tal comunicação. A existência de uma área estruturada é fundamental também nesse aspecto.
RONY VAINZOF – Advogado, professor e árbitro especializado em Direito Digital e Proteção de Dados. Sócio do Opice Blum, Bruno, Abrusio e Vainzof Advogados Associados. Coordenador e professor do MBA em Direito Eletrônico da Escola Paulista de Direito e do Curso de Extensão em Proteção de Dados da FIA. Mestre em Soluções Alternativas de Controvérsias Empresariais pela Escola Paulista de Direito. Fundador da Associação Brasileira de Proteção de Dados (ABPDados). Diretor do Departamento de Defesa e Segurança e responsável pelo Grupo de Trabalho de Defesa Cibernética da Federação das Indústrias do Estado de São Paulo (FIESP). Membro da Câmara de Direito e Segurança do Comitê Gestor da Internet do Brasil.
CAIO CÉSAR CARVALHO LIMA – Sócio do Opice Blum, Bruno, Abrusio e Vainzof Advogados, mestre em Direito Processual Civil pela PUC-SP e professor de Proteção de Dados e Direito Digital em diversas universidades.
MAURÍCIO ANTONIO TAMER – Coordenador da área contenciosa digital do Opice Blum, Bruno, Abrusio e Vainzof Advogados, doutorando em Direito pela Universidade Presbiteriana Mackenzie e professor em cursos de graduação e pós-graduação (http://lattes.cnpq.br/1292641448156094).