Blog Bocayuva Advogados

Blog Bocayuva Advogados | Advocacia que atua a favor do empresario em ações tributárias, previdência, assessoria e assistência jurídica em Brasília.

(61) 3032-8936 / 3032-8933

Generic selectors
Exact matches only
Search in title
Search in content
Post Type Selectors

Proteção de dados para efetiva governança e compliance

11 minutos para ler

Os diversos escândalos ocorridos nos últimos anos, como o escândalo do facebook e cambridge Analytica,  envolvendo a utilização indevida dos dados pessoais de milhares de pessoas ao redor do mundo e até de agentes políticos e entidades governamentais importantes, demonstrou a forma desregulada e precária da proteção de dados dos indivíduos, o que gerou grande insegurança para toda a sociedade.  

Visando garantir a proteção dos dados dos usuários, foi promulgada em 14 de agosto de 2018, a Lei Geral de Proteção de Dados (LGPD), que entrou totalmente em vigor em agosto de 2020, e dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural. (art. 1º) 

Impondo grandes mudanças na forma que os dados pessoais são tratados, a LGPD busca garantir ao cidadão a propriedade de seus dados pessoais, protegendo o uso irrestrito destes por terceiros e garantindo mais segurança e privacidade aos usuários.  

Dados pessoais: informação relacionada a pessoa natural identificada ou identificável;  

O tratamento correto dos dados é fiscalizado pela Autoridade Nacional de Proteção de Dados Pessoais( ANPD), responsável pelo estabelecimento de normas específicas sobre proteção de dados, fiscalização, assim como a aplicação das sanções administrativas em caso de descumprimento da LGPD, são elas: 

Sanções Administrativas 

As sanções administrativas estão previstas no art. 52 da LGPD, quais sejam:  

I – advertência, com indicação de prazo para adoção de medidas corretivas; 

II – multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração; 

III – multa diária, observado o limite total a que se refere o inciso II; 

IV – publicização da infração após devidamente apurada e confirmada a sua ocorrência; 

V – bloqueio dos dados pessoais a que se refere a infração até a sua regularização; 

VI – eliminação dos dados pessoais a que se refere a infração; 

X – suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;  (Incluído pela Lei nº 13.853, de 2019)    

XI – suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;  (Incluído pela Lei nº 13.853, de 2019)   

XII – proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.  (Incluído pela Lei nº 13.853, de 2019)    

A aplicação das sanções depende de prévio procedimento administrativo que possibilite a ampla defesa, e deve ser aplicada de forma gradativa, isolada ou cumulativa, de acordo com as peculiaridades do caso concreto e considerando padrões e critérios como a gravidade e natureza da infração, a reincidência, e a adoção de boas práticas de governança.  

Breve conceituação de Governança Corporativa e Compliance  

Antes de adentrar no assunto em foco, é preciso fazer uma breve conceituação dessas duas ferramentas de gestão, que, embora intimamente conectadas, não são sinônimos.  

 Para a OCDE (Organização para a Cooperação e Desenvolvimento Econômico)(1999): 

“A governança corporativa é o sistema segundo o qual as corporações de negócio são dirigidas e controladas. A estrutura da governança corporativa especifica a distribuição dos direitos e responsabilidade entre os diferentes participantes da corporação, tais como o conselho de administração, os diretores executivos, os acionistas e outros interessados, além de definir as regras e procedimentos para a tomada de decisão em relação às questões corporativas. E oferece também bases através das quais os objetivos da empresa são estabelecidos, definindo os meios para se alcançarem tais objetivos e os instrumentos para se acompanhar o desempenho” (grifo nosso) 

Os mecanismos de governança corporativa são divididos em externos e internos. Os mecanismos internos  são aqueles responsáveis pela observância das leis e normas éticas, sendo composto pela governança e demais empregados da empresa. Já os mecanismos externos são, como o próprio nome diz, elementos externos à empresa, utilizados para auxiliá-la e manter comportamentos éticos e transparentes. Pode se citar como mecanismos externos, o  próprio sistema legal e a competição de mercado.  

Já o Compliance (conformidade) é um conjunto de medidas que visam  adequar as práticas da empresa e seus funcionários às normas legais e éticas, com objetivo de se evitar falhas e desconformidades, a fim de evitar sanções legais e/ou sociais. 

Assim, a governança corporativa preza pela gestão eficiente e transparente da empresa, e o Compliance se ocupa pela conformidade com as regras e, embora instrumentos diversos, eles se conectam e se complementam, sendo o Compliance, de fato, um dos mecanismos internos da governança corporativa.  

Governança corporativa na LGPD 

Trazendo para o âmbito da proteção de dados, a própria lei de Proteção de dados, em seu artigo 50, estabelece princípios mínimos de boas práticas de governança em privacidade. Conforme o referido dispositivo, é preciso que um  programa de governança, no mínimo:  

a) demonstre o comprometimento do controlador em adotar processos e políticas internas que assegurem o cumprimento, de forma abrangente, de normas e boas práticas relativas à proteção de dados pessoais; 

b) seja aplicável a todo o conjunto de dados pessoais que estejam sob seu controle, independentemente do modo como se realizou sua coleta; 

c) seja adaptado à estrutura, à escala e ao volume de suas operações, bem como à sensibilidade dos dados tratados; 

d) estabeleça políticas e salvaguardas adequadas com base em processo de avaliação sistemática de impactos e riscos à privacidade; 

e) tenha o objetivo de estabelecer relação de confiança com o titular, por meio de atuação transparente e que assegure mecanismos de participação do titular; 

f) esteja integrado a sua estrutura geral de governança e estabeleça e aplique mecanismos de supervisão internos e externos; 

g) conte com planos de resposta a incidentes e remediação; e 

h) seja atualizado constantemente com base em informações obtidas a partir de monitoramento contínuo e avaliações periódicas; 

 Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais; 

Além disso, é preciso comprovar a efetividade do programa de governança em privacidade quando apropriado ou requerido pela autoridade competente (ANPD) ou de outra entidade responsável por promover o cumprimento de boas práticas ou códigos de conduta, os quais, de forma independente, promovam o cumprimento desta Lei. 

As regras de boas práticas e governança devem ser publicadas e atualizadas periodicamente.  

Compliance LGPD: Conformidade com a proteção de Dados 

A LGPD trouxe grandes mudanças na forma de tratamento dos dados pessoais, e, dessa forma, o compliance à LGPD visa, principalmente, adequar as práticas convencionais de tratamento de dados, com as impostas pela LGPD.  

Posteriormente à implementação, as medidas de compliance devem fiscalizar e prevenir que os agentes responsáveis por este tratamento comentam desconformidades.  

A implementação de um compliance não é uniforme para todas as empresas, uma vez que sua estruturação deve ser feita levando em consideração as situações fáticas  e estruturas particulares de  cada empresa. Entretanto, no âmbito da Lei Geral de Proteção de Dados, pode-se citar algumas providências gerais a serem tomadas, que devem ser complementadas e adequadas a cada organização, quais sejam.  

  • Identificação dos principais riscos a que a empresa se submete ao realizar o tratamento de dados e empregar procedimentos que sirvam de contrapeso aos riscos enfrentados. Conforme Ana Frazão, as seguintes perguntas podem ajudar a se verificar esses riscos:  

(i) em que momentos há a utilização de dados pessoais; 

 (ii) que dados são esses; 

 (iii) como e por quem esses dados foram coletados; (iv) como a utilização desses dados se relaciona com a atividade desenvolvida;  

(v) o que ocorre com esses dados uma vez que ingressam e, por fim,  

(vi) se e como saem do controle da organização. 

(FRAZÃO, Ana. Compliance de dados pessoais. Op.cit. p. 700.) 

  • Elaboração de um código de condutas, ou de  Boas Práticas e Governança.  
  •  Delimitação dos fluxos de dados que estão detidos na empresa, registrando todas as atividades de tratamento realizadas desde a coleta até a exclusão (em conformidade com o art. 37 LGPD)  
  • Encontrar uma base legal para a necessidade de detenção daquele dado, conforme previsto no art. 7º da LGPD 
  • Elaborar Relatório de Impacto à Proteção de Dados Pessoais (art. 38 LGPD), que, conforme o art. 38 da LGPD deverá conter, no mínimo, a descrição dos tipos de dados coletados, a metodologia utilizada para a coleta e para a garantia da segurança das informações e a análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados. 
  • Adequar os contratos e documentos jurídicos á LGPD. 

Resposta a incidentes  

Embora o compliance seja focado na prevenção e mitigação de riscos e falhas, isso não significa que estes não possam eventualmente ocorrer, e para isso, é preciso também estar preparado. No caso da proteção de dados, a lei prevê que o programa de governança contenha um plano de resposta a a incidente e remediação (art. 50, §2º, I, g), 

De pronto, ao constatar a falha, a organização/empresa deve informar a ANPD, em prazo razoável, mencionando:  

 I – a descrição da natureza dos dados pessoais afetados; II – as informações sobre os titulares envolvidos; III – a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial; IV – os riscos relacionados ao incidente; V – os motivos da demora, no caso de a comunicação não ter sido imediata; e VI – as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo. 

Além disso, outras medidas cabíveis devem ser tomadas a fim de mitigar os prejuízos causados pela falha, sendo que, a postura da empresa frente ao erro, pode acarretar uma diminuição das punições anteriormente mencionadas no primeiro tópico.   

Assim, no programa de Compliance deve-se incluir protocolos de ação para situações de incidentes visando mitigar a falha e /ou as sanções dela advindas.  

Conclusão 

A Lei Geral de Proteção de Dados trouxe grandes mudanças na forma de tratamento dos dados pessoais, que anteriormente eram feitos de forma indiscriminada sem limites instituídos por lei.  

Com a inteira entrada em vigor em 18 de setembro de 2020, se tornou de grande necessidade a instituição de medidas de conformidade, com o intuito de se adequar à lei e garantir segurança tanto à empresa quanto aos usuários do serviço por ela ofertado. 

Além do compromisso ético que cada empresa deve ter, a fim de garantir a proteção a direitos fundamentais de privacidade e liberdade, a adequação com a LGPD e adoção de governança corporativa de privacidade também traz benefício econômicos a empresa, melhora sua reputação e evita sanções administrativas que poderiam levar até à inviabilidade do negócio.  

Você também pode gostar

Deixe um comentário

-
Tamanho da Fonte
Modo de Contraste