Com a tecnologia cada vez mais presente em nossas vidas, proporcionando facilidades e comodidades, se tornou ainda mais evidente a ausência de regras claras sobre o tratamento dos dados pessoais a que empresas e pessoas físicas têm acesso e, por consequência, surgiu a necessidade de se criar uma lei específica para regular o uso de tais dados a fim de evitar vazamentos ou usos irregulares destas informações.
Assim, foi editada a Lei Federal nº 13.709/2018, conhecida como Lei Geral de Proteção de Dados ou LGPD, que regulamenta e determina medidas de segurança para garantir o uso correto dos dados pessoais a que empresas e pessoas físicas têm acesso e fazem tratamento. Ela estabelece princípios que governo e empresas devem adotar quando tratarem dados pessoais e cria direitos para os titulares em relação a seus dados pessoais.
Para evitar os impactos negativos nas empresas e todas as consequências disso, o setor de compliance tem ganhado cada vez mais espaço no mercado para atender a demanda e cobrança de investidores, clientes e fornecedores para atitudes responsáveis, éticas, lícitas e corretas.
“Compliance” é um termo que vem sendo muito utilizado nos últimos anos no mercado empresarial, principalmente depois de escândalos de corrupção envolvendo grandes empresas brasileiras e o alto escalão do Poder Legislativo e Executivo.
Mas afinal de contas, o que significa e para que serve o compliance? A tradução do termo em inglês “to comply” significa estar em conformidade e, no mundo empresarial, diz respeito às políticas, valores e práticas internas das empresas com as leis aplicáveis, além de regras internas de governança corporativa.
O que anteriormente era o papel de auditorias terceirizadas direcionadas especificamente aos setores financeiro e contábil, atualmente é conduzida pelo setor de compliance, que age de forma mais ampla, fazendo o controle, fiscalização, orientação em relação às leis aplicáveis além de elaboração das “leis internas” das empresas que os funcionários, colaboradores e representantes de todos os setores da empresa devem seguir.
Em tempos em que muito se fala em governança corporativa, o programa de compliance é uma das mais importantes e eficazes ferramentas para a implementação das boas práticas, tendo destaque desde a promulgação da Lei Federal nº 12.846/2013, e ganhando ainda mais relevância desde o ano de 2018 por conta da promulgação da LGPD.
A Lei Federal nº 13.709/2018, conhecida como Lei Geral de Proteção de Dados ou LGPD, criou no Brasil um divisor de águas em relação ao tratamento de dados pessoais, com o objetivo de estabelecer princípios e regras que devem guiar o tratamento de dados pessoais, bem como criar direitos para as pessoas naturais, que a lei chama de “titulares” e, por consequência, regular o famoso mercado de comercialização de banco de dados.
Essa prática de comercialização de dados pessoais virou comum no Brasil e no mundo em geral e tinha um valor de mercado muito alto. Imagine o valor das informações dos bancos de dados de clientes das quatro maiores operadoras de telefonia celular do Brasil, por exemplo? Pode-se afirmar que elas possuem os dados de quase a totalidade da população economicamente ativa do país.
E a LGPD foi desenvolvida justamente para regulamentar o tratamento desses dados pessoais pelos controladores e operadores, que são, na grande maioria, empresas. Com a LGPD, as empresas devem garantir os direitos dos titulares previstos na legislação e somente realizar o tratamento de dados pessoais consoante a finalidade para os quais foram coletados, além de adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito, sob pena de sanções administrativas como multas que podem chegar a R$ 50 milhões, além de estarem sujeitas a arcar com indenizações por danos morais e materiais das vítimas, os titulares destes dados.
A existência de mecanismos e programa de compliance é uma ferramenta importante para a adequação à LGPD, pois é por meio de tais mecanismos que as empresas poderão promover práticas para o cumprimento das leis aplicáveis, bem como criar as normas internas, políticas preventivas e repressivas para o seu cumprimento, além de fiscalizar o fiel cumprimento e eficácia das leis aplicáveis e regras internas.
É importante lembrar que empresas de qualquer porte e de todos os setores podem e devem investir em compliance, devendo adotar medidas cuidadosas em relação à LGPD, já que qualquer irregularidade ou vazamento de dados pessoais pode gerar multas e indenizações que podem até mesmo levar a empresa à falência, seja por força das altas penalidades pecuniárias, seja pelo impacto em sua imagem e reputação
Investir em mecanismos e programas de compliance e implementação das boas práticas da LGPD é interessante para evitar uma eventual exposição que pode ser extremamente negativa em caso de uso irregular dos dados pessoais.
Para que todas as disposições legais sejam cumpridas e políticas internas sejam criadas de acordo com as características de cada empresa, é preciso que o setor de compliance esteja muito bem alinhado com os demais setores da empresa para garantir a observância de protocolos de segurança eficazes e que minimizem os riscos da empresa.
Com a entrada em vigor da LGPD, as empresas estão sendo obrigadas a se ajustar às novas exigências legais, sendo parte das práticas de compliance a criação de políticas internas que ajustem as operações da empresa às normas de proteção de dados pessoais com o objetivo de evitar o uso indevido destes dados ou invasões de hackers, por exemplo.
O controle de acesso às informações por funcionários, colaboradores e representantes é uma das providências que devem ser implantadas internamente como forma de restringir o acesso aos dados pessoais por qualquer pessoa não autorizada, reduzindo a chance de haver desvios ou usos indevidos.
Uma das principais tarefas dos programas de compliance frente à LGPD é conseguir criar políticas internas da empresa para que apenas os funcionários, colaboradores e representantes responsáveis pelo tratamento dos dados pessoais dos clientes tenham acesso à tais, o que não é tarefa fácil, pois é preciso integrar a operação da empresa e os limites tecnológicos de sistemas, precisando estar alinhado com as orientações jurídicas que devem indicar os limites de acesso dos funcionários colaboradores e representantes da empresa.
Dependendo do porte da empresa, essa integração é uma tarefa complicada, pois é preciso restringir o acesso de usuários por meio de sistemas. Além disso, é preciso sempre lembrar que os dados pessoais só podem ser tratados para cumprimento de finalidades específicas, pois qualquer uso que esteja em desacordo com tais finalidades representa uma violação da LGPD.
A forma mais eficaz para que todos os funcionários, colaboradores e representantes da empresa saibam da importância dos cuidados previstos na LGPD é através de treinamentos constantes.
Um grande diferencial para implantar as boas práticas de proteção de dados é o conhecimento profundo da operação interna da empresa, pois só assim o setor de compliance poderá criar políticas internas que se encaixem dentro da realidade de cada corporação.
O principal foco da LGPD é regular como as empresas tratam os dados pessoais a que tenham acesso. É preciso enfatizar que “tratamento” tem uma definição muito ampla na LGPD, sendo conceituado pelo artigo 5º, inciso X, como “toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração”.
O maior desafio das empresas é que não há uma fórmula mágica para se adequar à LGPD. Cada empresa precisa desenvolver a sua, pois as soluções adotadas precisam estar alinhadas com a operação de cada empresa e as finalidades do tratamento de dados pessoais, de modo que às vezes as ações de uma empresa não servem para outra.
Além das providências sistêmicas, é preciso que as empresas se resguardem juridicamente para cumprir as disposições legais, já que os titulares precisam, na grande maioria dos casos, ser informados sobre o tratamento de seus dados pessoais e, eventualmente, dar seu consentimento para tal tratamento pelas empresas.
As empresas precisarão adequar todos os seus contratos com fornecedores, clientes e também de trabalho dos funcionários e colaboradores, devendo prever expressamente as finalidades, formas e duração do tratamento de dados pessoais que realizarem, bem como os limites deste tratamento e eventuais vedações, realizar a adequada atribuição de responsabilidades e até indicar a política interna da empresa em relação ao tratamento dos dados pessoais, garantindo que as partes envolvidas e especialmente os titulares sejam sempre informados sobre o tratamento de seus dados pessoais e que, caso necessário, possam dar o seu consentimento para que tal tratamento de dados pessoais seja realizado.
Em relação aos contratos de trabalho, fornecimento e prestação de serviços também é preciso inserir as responsabilidades e penalidades que podem ser impostas a quem descumprir as políticas internas e a LGPD.
Adicionalmente aos cuidados contratuais, internamente, uma das formas mais eficazes de controlar as pessoas que terão acesso aos dados pessoais é a conscientização da importância da proteção a dados para a empresa e para os próprios colaboradores, demonstrando que esse é um dos valores da empresa, que deve ser disseminada por meio de treinamentos periódicos ressaltando a importância do tratamento adequado às informações que terão acesso. Lembrando que a disseminação de tais valores, princípios e regras internas é uma das atribuições do setor de compliance.
Para que as empresas tenham sucesso na correta implementação da LGPD em suas operações, uma função é primordial: o DPO (Data Protection Officer) ou, como previsto e conceituado na LGPD, o encarregado, “pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)”, conforme artigo 5º, inciso VII, da LGPD.
Embora não haja nenhum requisito legal previsto pela LGPD, a função do encarregado ou DPO exige que o profissional conheça profundamente a lei brasileira e também mundial, seja experiente em governança corporativa e tenha profundo conhecimento dos processos internos, além de conhecer os métodos de segurança da informação. Atualmente há cursos de formação de DPO que emitem até certificação, já que são exigidos conhecimentos muito específicos e de extrema responsabilidade.
Em empresas que trabalham com grande volume de dados pessoais de clientes, a função do DPO será necessária e de extrema responsabilidade. Basta imaginar o que poderia acontecer com a credibilidade de uma empresa que fosse hackeada e tivesse os dados de milhões de clientes e funcionários expostos. Os prejuízos seriam inimagináveis e um dos profissionais que pode ajudar a evitar este tipo de situação é o DPO.
Para que a LGPD tenha garantida sua eficácia foi criada a Autoridade Nacional de Proteção de Dados (ANPD), tendo como obrigações as previstas no artigo 55-J da LGPD, e suas principais funções serão a regulamentação e fiscalização do cumprimento das normas, inclusive aplicando as penalidades administrativas.
Pode-se dizer que a ANPD atuará como espécie de agência reguladora, similar ao papel que a Anatel ocupa no setor de telecomunicações, a ANTT no setor de transportes terrestres e a Anvisa na saúde. Portanto, as pessoas jurídicas e físicas sujeitas à LGPD deverão estar amplamente familiarizadas com a ANPD, sendo mais uma das funções do DPO receber comunicações da autoridade nacional e tomar as providências necessárias, além de estar sempre atualizado nas regulamentações e novidades legislativas e do mercado.
Sendo a ANPD a responsável por fiscalizar as pessoas físicas e jurídicas sujeitas à LGPD, sempre que identificar irregularidades em suas fiscalizações, cabe a ela aplicar as sanções administrativas, que podem variar entre (i) advertência, com a indicação de prazo para adoção de medidas corretivas, (ii) multa simples ou diária limitada ao valor de R$ 50 milhões por infração, (iii) publicização da infração após devidamente apurada e confirmada a sua ocorrência; (iv) bloqueio ou eliminação dos dados pessoais; ou mesmo (v) suspensão e proibição parcial ou total do tratamento de dados pessoais pelos infratores.
Além das sanções administrativas, que entrarão em vigor em agosto de 2021, a LGPD também prevê a responsabilização de todo controlador ou operador que, em razão do tratamento de dados pessoais, causar um dano patrimonial ou moral, ficando este controlador ou operador obrigado a reparar os titulares que sofreram tais danos. Lembramos que esta possibilidade de responsabilização civil já está em vigor e que o Poder Judiciário já vem aplicando a lei..
Além das sanções previstas na LGPD, os infratores ainda podem ser responsabilizados criminal e civilmente pelos atos ilícitos que praticarem, por isso a importância da adoção e cumprimento de procedimentos internos de prevenção de riscos e limitação de acesso aos dados pessoais.
Ficou com dúvidas? Entre em contato conosco, será um prazer lhe orientar.
O conteúdo apresentado está de acordo com estratégias de SEO, feito para ranqueamento no Google. O conteúdo será complementado com outras publicações.
