Todo o cenário de aumento de casos de vazamentos de dados e de informações envolvendo a manipulação e a divulgação de dados, assim como, o crescente uso das tecnologias, fez com que fosse necessário pensar medidas que visassem resguardar os indivíduos de terem seus dados tratados e expostos sem a sua autorização, violando a sua intimidade e a sua privacidade.
Nesse sentido, foi elaborada a Lei Geral de Proteção de Dados - Lei nº 13.709 de 2018, que se inspirou no Regulamento Geral de Proteção de Dados - RGPD - da União Europeia Regulamento (UE) nº 2016 / 679 referente à proteção das pessoas singulares com relação ao tratamento de dados pessoais e à livre circulação desses dados.
O RGPD adotado em maio de 2016 foi elaborado para preparar a Europa para a era digital, reforçar os direitos fundamentais dos cidadãos, bem como, facilitar a atividade comercial, por intermédio da simplificação das normas aplicáveis às empresas no mercado digital único.
Este artigo informa sobre o compliance digital e as boas práticas de governança, englobando os critérios que deverão ser respeitados para o tratamento e o uso de dados, bem como, os pilares que devem ser respeitados nas políticas de privacidade e de segurança da informação.
Governança corporativa e “compliance digital”
A Governança corporativa pode ser entendida como o sistema que dirige, monitora e incentiva as empresas, abarca os relacionamentos entre os sócios, o conselho de administração, a diretoria, os órgãos de fiscalização e de controle e as partes interessadas.
De acordo com o IBCG (2015) as boas práticas de governança corporativa transformam os princípios básicos em recomendações objetivas, envolvendo interesses com o intuito de preservar e otimizar o valor econômico a longo prazo da organização, facilitando o seu acesso a recursos e contribuindo para a qualidade da gestão da organização, da longevidade e do bem comum. Os princípios básicos de governança perpassam a transparência, a equidade, a prestação de contas (accountability) e a responsabilidade corporativa.
O artigo 50, § 3º, da LGPD prevê a formulação de regras de boas práticas e de governança nas organizações, que devem ser publicadas e atualizadas de forma periódica e poderão ser reconhecidas e divulgadas pela Autoridade Nacional de Proteção de Dados Pessoais - ANPD.
Conforme indicado pela Doutoranda em Direito (2019) Manuella Santos de Castro, o compliance digital objetiva analisar os riscos e a adoção de medidas preventivas para adequar a organização às regras aplicáveis às tecnologias da informação. A situação indicada se mostra necessária no cenário atual, em que as empresas necessitam zelar pela boa imagem e pela reputação e a ética deve nortear a conduta da organização e de seus colaboradores.
Tratamento de dados pessoais
O tratamento de dados é uma operação realizada com os dados pessoais que tem início com a coleta, passa pelo armazenamento, pelo controle e alcança a difusão ou extração. Os agentes de tratamento são o controlador e o operador.
As atividades de tratamento de dados pessoais devem respeitar a boa-fé e os princípios da finalidade, da adequação, da necessidade, do livre acesso, da qualidade dos dados, da transparência, da segurança, da prevenção, da não discriminação e da responsabilização e da prestação de contas.
O tratamento de dados pessoais deve estar em conformidade com o disposto do artigo 7º ao 10, da Lei nº 13.709 de 2018. O dado pessoal sensível deve passar por um tratamento especial e respeitar as disposições do artigo 11 ao 13, da Lei nº 13.709 de 2018. Com relação aos dados de crianças e de adolescentes deve-se atentar para as indicações do artigo 14, da Lei nº 13.709 de 2018.
Outrossim, cabe informar que o tratamento de dados pelo poder público deve ser realizado com o objetivo de atender à finalidade pública, na busca pelo interesse público, com o intuito de executar as competências legais ou cumprir as atribuições do serviço público. As regras sobre o tratamento de dados pelo poder público estão dispostas do artigo 23 ao 30, da LGPD.
O controlador e o operador devem registrar as operações sobre tratamento de dados pessoais. A ANPD pode determinar que o controlador elabore relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis, no que se refere às operações de tratamento de dados, com base no regulamento, respeitado o segredo comercial e industrial.
Boas práticas e Governança
A criação de medidas e de regras de boas práticas e de governança é essencial para que todos os requisitos necessários à proteção de dados sejam efetivados. O controlador e o operador ao elaborarem regras de boas práticas, devem levar em consideração, em relação ao tratamento e aos dados, a natureza, o escopo, a finalidade, a probabilidade e a gravidade dos riscos e dos benefícios resultantes de tratamento de dados do titular.
Na aplicação dos princípios, o controlador deve observar a estrutura, a escala, o volume de suas operações, a sensibilidade dos dados tratados, entre outros. A implementação do programa de governança em privacidade deve demonstrar o comprometimento do controlador em adotar políticas internas para garantir a proteção de dados pessoais e a segurança da informação; pode ser aplicável em todos os dados que estiverem sob a responsabilidade do controlador; deve ser adaptado ao dado - estrutura, volume, sensibilidade -; ser atualizado constantemente, ou seja, deve ser capaz de adaptar às mudanças, entre outros.
As regras devem ser atualizadas e publicadas de maneira periódica, podendo serem reconhecidas e divulgadas pela autoridade nacional. A ANPD deve estimular a adoção de padrões técnicos que facilitem o controle pelos titulares de dados pessoais.
Para a criação de um Programa de Privacidade e de Proteção de Dados eficiente deve-se conhecer previamente a empresa e o modelo de negócio adotado; mapear os dados que são coletados e usados pela empresa, identificar os riscos e criar mecanismos com o intuito de proteger os dados contra ameaças; treinar todos os colaboradores e demonstrar a importância de seguir as normas e os procedimentos criados em conformidade com a LGPD. A gestão e a atualização contínua do programa também são pontos importantes que devem ser considerados.
Além disso, para que boas práticas sejam de fato buscadas e efetivadas, é importante que o controlador e o operador respeitem as disposições da LGPD, como os princípios indicados na legislação, os deveres e as responsabilidades. Salienta-se que a prestação de contas - accountability - é um dos princípios da governança corporativa e um dos princípios que também foi incorporado à LGPD, no artigo 6º, inciso X.
Embora haja incerteza quanto à data da entrada em vigor da LGPD, as empresas devem se preparar e se adequar o quanto antes. A adequação à LGPD além de visar garantir a proteção de direitos fundamentais, como é feito pelo RGPD Europeu, melhora a reputação da empresa e gera impacto positivo no desenvolvimento das atividades e nos contratos comerciais.
Referências:
CASTRO, Manuella Santos de. Compliance em meio digital: análise de casos icônicos de responsabilidade civil. In: MESSA, Ana Flávia.; ESTEVES, João Luiz Martins.;
DOMINGUES, Paulo de Tarso. Governança, compliance e corrupção. São Paulo: Almedina, 2019.
Código das Melhores Práticas de Governança Corporativa. IBGC. 5 ed. São Paulo: IBGC, 2015.
Lei nº 13.709 de 2018.
Proteção de Dados na UE. Comissão Europeia.