Artigos

A importância da adequação da lei geral de proteção de dados aos programas de compliance

Trata da aplicação da nova Lei Geral de Proteção de Dados dentro do Programa de Compliance nas empresas e nos órgãos públicos em geral. Trata de sua importância, abordando seu surgimento, com a lei de proteção de dados instituída no início do ano na Europa, de sua importância e implantação.

Sancionada em agosto de 2018, a Lei Geral de Proteção de Dados, também conhecida como LGPD ou Código de Defesa da Privacidade, estabelece regras sobre coleta, tratamento, armazenamento e compartilhamento de dados pessoais gerenciados pelas organizações. Segundo alguns especialistas, trata-se de um alinhamento por parte de nosso país, às principais práticas globais de gestão de dados, cuja instituição se deu por influência direta da General Data Protection Regulation  - GDPR, que é a Lei de Proteção de Dados Europeia.

A General Data Protection Regulation (GDPR) em vigor desde 25/05/18 regula, além das empresas europeias, pessoas físicas ou jurídicas situadas no Brasil que, de alguma forma utilizam dados pessoais de europeus para o desenvolvimento de suas atividades econômicas.

Aqui no Brasil, a nossa legislação de proteção de dados abrange todas as empresas e órgãos da Administração Pública, identificando os dados pessoais dos indivíduos e trazendo todo tipo de informações em geral, inclusive de dados sensíveis. Sabe-se que a lei regula não só dados como nome, RG e CPF, mas que também prevê o tratamento aos dados que se enumeram com informações a respeito da origem, raça ou etnia, saúde, religião e até em relação a opinião pública do indivíduo.

A LGPD, atualmente vem realizando mudanças sérias de paradigmas em nosso arcabouço legislativo e social, tendo como objetivo, além de proteger a privacidade do cidadão, o de fomentar a inovação, gerando novas maneiras de fazer negócios com maior segurança jurídica.

Nessa toada, o consentimento do titular é imprescindível e se classifica como um dos mais fortes pilares da LGPD, sendo este verdadeira decorrência lógica da privacidade e da autodeterminação informativa. Cuida-se, também, de primeiro requisito autorizador para o tratamento de dados (art. 7º, inciso I da nova Lei), sendo necessário que se colha a manifestação livre, informada e inequívoca do titular. Tal manifestação deve se dar por escrito e em cláusula destacada, e seu compartilhamento com outros controladores deve ser seguida de expressa autorização e de monitoramento periódico.

Demais disso, torna-se primordial a existência de órgão fiscalizador que auxilie o efetivo cumprimento da nova lei até a criação de um órgão regulador para esta novidade normativa. Este deve ser exercido então, provisoriamente, por todos os órgãos de controle nacionais, incluído nestes, o próprio Ministério Público.

Como consequência, inúmeras empresas, mormente aquelas de economia digital, deverão alterar algumas políticas para manter a conformidade com a nova legislação.

E por falar em conformidade, as adequações não param por aí: com a nova lei anticorrupção, as adaptações aos códigos de conduta ética se fazem necessárias, além de novos treinamentos decorrentes dessas grandes mudanças. Muda-se uma cultura na empresa, neste caso, uma agregadora mudança.

Assim, ainda que se promovam inúmeros ajustes decorrentes da implementação da LGPD nas empresas, verifica-se que a nossa Lei Geral de Proteção de Dados, chega a ser mais flexível do que a própria GDPR Europeia, apesar de compartilhar dos mesmos princípios essenciais como: consentimento, transparência, auditoria, fiscalização e penalidades, principalmente nos casos em que ocorram incidentes de segurança, como vazamento de informações, por exemplo.

E o que a política de Compliance tem a ver com tudo isso? Diria que tudo. Isso porque com a chegada da nova Lei de Proteção de Dados, muito da política já implementada nas empresas deve ser atualizada e padronizada de acordo com esta novidade legislativa.

Para tanto, faz-se necessária a criação de novas regras e de procedimentos consignados, tanto no código de conduta quanto em normatização interna, no sentido de que sejam feitos upgrades periódicos e atualizados para fins de garantir que as normas de compliance sejam efetivamente cumpridas.

O constante monitoramento desses dados deve ser realizado por um comitê, que em muitos casos é chamado de “Comitê de Compliance”, constituído por profissionais de diversas áreas da empresa, mas que nesse caso, precisará de um forte aliado também na área de tecnologia, sendo este o profissional quem norteará no auxílio da elaboração das novas normas e na implementação dessas novas políticas.

Ressalta-se então, que um dos pontos de partida para conhecer os dados de determinadas empresas e de seu público, pode ser a criação de um mapa visual, o que ajudaria na organização, na abrangência, e na melhor supervisão das informações coletadas.

A partir disso, é essencial que a organização implemente procedimentos padronizados e formas de trabalho para lidar com dados pessoais, e que os funcionários só tenham acesso a eles quando necessários para sua função nos negócios. Diga-se de passagem, a coleta de alguns dados, sempre que comunicada, pode ser repassada aos funcionários da empresa. Isso porque é necessário, para a própria segurança do indivíduo, que seus dados sejam utilizados para determinados procedimentos afetos a operacionalização do objeto empresarial.

Demais disso, muito importante lembrar acerca da existência dos direitos daqueles a quem as informações são divulgadas. Seu consentimento é estritamente necessário e o indivíduo tem a prerrogativa de limitá-los e de revisá-los, sempre que lhe aprouver. As empresas, no entanto, devem respeitar a correção dos dados até mesmo quando forem obrigadas a deletar informações consideradas excessivas, assim como quando for retirado o consentimento àqueles. Dentro de um efetivo programa de governança, o monitoramento contínuo, a revisão das informações, assim como segurança e prazo para armazenamento, devem ser obedecidos.

Ademais, e é importante ressaltar, que a conformidade com a LGPD não abrange apenas os funcionários da empresa. Ela engloba, igualmente, fornecedores e terceiros que devem cumprir a lei indistintamente.

Portanto, a elaboração de um plano de governança de dados e a adoção de medidas de compliance devem ser elaborados e adotados desde agora, para evitar consequências jurídicas negativas num futuro próximo.

E como delimitar esse conjunto de disciplinas internas? Seguindo os parâmetros previstos na própria LGPD, elencamos seis passos básicos que irão promover uma política eficiente de governança e compliance.

Para tanto, é necessária a indicação de um profissional interno, que atue junto ao Comitê de Compliance, e que possa se reportar ao Chief Compliance Officer e a alta administração sobre a realização de novos treinamentos, revisão das políticas do direito a informação, reavaliação contínua de dados pessoais e de transparência e da revisão dos contratos junto aos fornecedores, tendo em vista estes sofrerem mudanças continuas, inclusive em relação aos seus funcionários e com o restabelecimento de novas cláusulas contratuais, sob pena de eventual responsabilização solidária.

Por essa razão, imprescindível que a alta administração apresente instrumentos e medidas capazes de mitigar os riscos envolvidos na coleta, tratamento e no compartilhamento de dados.

Além disso, devem ser elaborados relatórios de impacto à proteção de dados individuais, contendo as medidas e políticas necessárias, além de informar quais dados serão processados.

Acrescenta-se, por oportuno, que o alinhamento das empresas aos preceitos desta nova norma deve ser interpretada como um investimento de ganho imediato, pois estar compliance com a LGPD é uma excelente oportunidade para a realização de novos modelos de negócios, tendo em vista que aumentar o nível de privacidade, segurança, gerenciamento e até de descarte de dados pode ser encarado também como um diferencial competitivo. Afinal de contas, uma empresa que tem sua confiança restaurada, tem uma representatividade maior e sua reputação cresce no mercado.

Por fim, espera-se que muito em breve todas as empresas venham a adotar um modelo de coleta, armazenamento e descarte de dados que seja ao mesmo tempo inteligente e eficiente, assim como efetue o devido tratamento àquilo que seja estritamente necessário à realização de suas atividades para que haja considerável mudança cultural e comportamental das empresas, principalmente em relação à coleta indiscriminada de dados.

Imprimir
O Direito está em constante evolução. Não fique para trás.
Acompanhe as novidades que afetam seu dia-a-dia no estudo e na prática jurídica
Conheça o DireitoNet