A imprensa tem noticiado com frequência rumorosos escândalos relacionados à manipulação e divulgação de dados pessoais, envolvendo companhias de tecnologia, governos e outras instituições políticas e sociais. Recentemente, na União Europeia, entrou em vigor o GDPR (Regulamento Geral de Proteção de Dados), visando proteger seus cidadãos de terem seus dados pessoais divulgados e tratados sem a devida autorização.
Nessa mesma linha, no Brasil, foi promulgada em agosto desse ano a nossa LGPD – Lei Geral de Proteção de Dados (Lei 13.709), que ao espelho da legislação do velho continente, também prevê uma série de mecanismos de controle, aos quais as empresas que lidam com a coleta e o armazenamento de dados de clientes estarão sujeitas. A nova legislação, por suas características, possui aspectos estruturais muito próximos aos da Lei Anticorrupção (Lei 12.846/2013), integrando, portanto, o conjunto de iniciativas relacionadas aos programas de integridade, reforçando a necessidade das empresas em adotarem as práticas de Compliance Digital.
A LGPD abrange tanto as pessoas físicas, quanto as jurídicas, públicas ou privadas e tem por princípios a preservação da privacidade do cidadão, da liberdade de escolha e do livre desenvolvimento da personalidade, atribuindo à chamada “autoridade nacional” (possivelmente uma agência reguladora a ser criada), a responsabilidade pela orientação, fiscalização e pela aplicação das sanções disciplinares advindas do seu descumprimento.
Traçando um paralelo entre a LGPD e a Lei Brasileira Anticorrupção, são muitos os elementos que nos levam a constatar a semelhança estrutural entre ambas as legislações, reforçando a ideia da aplicabilidade plena do compliance digital. Podemos observar que a primeira, estabelece os requisitos necessários para o tratamento dos dados pessoais, enquanto a segunda estabelece os requisitos mínimos para que um programa de integridade seja considerado efetivo pelo órgão fiscalizador. Além disso, ambos diplomas legais estabelecem critérios de aceitação, atribuindo às empresas a responsabilidade prévia pela sua observância e pela divulgação de incidentes, no âmbito dos modernos mecanismos auto regulatórios.
Observe-se ainda, que a LGPD em seu Art.33, restringe a transferência internacional de dados, só sendo permitida, caso o controlador (empresa ou indivíduo que trata os dados) ofereça e comprove garantias de cumprimento dos seus princípios, como a necessidade de obtenção de selos, certificados e códigos de conduta regularmente emitidos, reforçando assim, a presença de elemento indispensável ao compliance nas empresas.
Nesse mesmo sentido, assim como o risk assessment constitui-se em procedimento essencial num programa de integridade, o Art. 38 da LGPD apresenta em seu parágrafo único, a necessidade do relatório de impacto à proteção de dados pessoais conter informações sobre os mecanismos de mitigação de riscos adotados.
Na esteira da auto regulação, enquanto a Lei Anticorrupção atribui como um elemento comprobatório da efetividade do programa de integridade, a existência na empresa de um C.C.O. – Chief Compliance Officer (ou o responsável pelo programa), a LGPD institui a figura do “encarregado” ou D.P.O. (Data Protection Officer, para a GDPR europeia), que em suma, será o responsável por receber reclamações, prestar informações e adotar providências sobre a proteção dos dados pessoais existentes na empresa.
Perceba-se também que todo o Capítulo VII da LGPD versa sobre a segurança e as boas práticas a serem adotadas para garantia da proteção e do sigilo dos dados pessoais. Prevê entre outras situações, a necessidade do controlador informar à autoridade nacional sobre os riscos relacionados a um incidente verificado e as medidas mitigadoras adotadas (olha o compliance aí, novamente), além de estabelecer requisitos para considerar um programa de governança em privacidade efetivo, do mesmo modo que a Lei Anticorrupção o faz com os requisitos para um programa de integridade.
Por fim, de maneira semelhante à Lei Anticorrupção, a LGPD prevê sanções administrativas e multas pesadas para as empresas em caso de descumprimento, podendo chegar a 2% do faturamento, mas prevê atenuantes, caso a empresa infratora demonstre a existência de mecanismos e procedimentos internos voltados ao controle dos dados e disponha de políticas de boas práticas de governança. Comparativamente, dispositivo semelhante se verifica na Lei Anticorrupção, para os casos de manutenção de um programa de integridade efetivo.
Assim, constata-se que pela estrutura da Lei Geral de Proteção de Dados, considerados tanto o seu conteúdo material, quanto formal, temos inequivocamente a presença de fortes elementos, para inseri-la no âmbito dos programas de integridade empresarial e das boas práticas do Compliance Digital. Cabe às empresas, atentar para a necessidade de realizar as adequações necessárias em suas políticas e procedimentos de tratamento dos dados, à luz da nova lei e com a antecedência devida à sua entrada em vigor.
Autor: Luciano Bridi, Advogado no Volpi Advogados, Especializado em Direito Empresarial