Uma das grandes inovações trazidas pelo Regulamento Geral de Proteção de Dados (General Data Protection Regulation,"GDPR") da União Europeia, não prevista na anterior Diretiva 95/46 CE, é o princípio denominado accountability, que também foi incorporado à Lei Geral de Proteção de Dados ("LGPD") pelo nosso legislador, encontrando-se expressamente previsto em seu artigo 6º, X, intitulado princípio da responsabilização e da prestação de contas.
Cuida-se, em síntese, da obrigação do controlador1 de adotar medidas eficientes e capazes de comprovar a observância e o cumprimento, em bases contínuas e permanentes, das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.
Nota-se, portanto, que não basta simplesmente estar em conformidade com a LGPD, o controlador deve ser capaz de demonstrar essa sua aderência à lei. Trata-se, a rigor, de um desdobramento ou complemento do princípio da transparência, igualmente previsto no artigo 6º da LGPD, em seu inciso VI.
Veja que a accountability não pressupõe a busca da perfeição, à plena conformidade com a LGPD, até porque, diante da constante e rápida evolução tecnológica, isso seria uma tarefa quase que impossível de se cumprir, sem falar no custo proibitivo que isto acarretaria aos controladores.
Na realidade, o dever de responsabilidade e de prestação de contas diz respeito à demonstração de como o controlador conduz suas atividades de tratamento de dados à luz: (i) das medidas técnicas adequadas – assim entendidas, de acordo com o artigo 44, III, da LGPD, como aquelas disponíveis à época em que for realizado o tratamento – que tornem os dados pessoais afetados ininteligíveis, no âmbito e nos limites técnicos de seus serviços, para terceiros não autorizados a acessá-los, nos exatos termos do artigo 48, § 3º, da LGPD; e (ii) dos relatórios de impacto por ela produzidos, em linha com o artigo 38 da LGPD.
Com efeito, cumpre ao controlador fazer tudo aquilo que estiver ao seu alcance para garantir o sigilo e a inviolabilidade dos dados pessoais por ele tratados, com base nos riscos apurados, na tecnologia acessível e nos recursos razoavelmente disponíveis para tanto2.
Nesse contexto, o respeito ao princípio da accountability pressupõe, além de um modelo de governança corporativa que assegure o efetivo cumprimento das obrigações acima, a organização e a manutenção de um conjunto de documentos capaz de evidenciar que tais obrigações estão de fato sendo satisfeitas.
Esse conjunto de documentos pode basicamente ser dividido em cinco grandes grupos, todos pensados e elaborados com base nos princípios gerais de tratamento de dados pessoais contidos no artigo 6o da LGPD: (i) políticas corporativas; (ii) registro das operações de tratamento; (iii) atividades do encarregado3; (iv) relatórios de impacto; e (v) registro de incidentes de segurança.
Em primeiro lugar, o artigo 50 da LGPD prevê a formulação de regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas de treinamento e reciclagem, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais. Será com base nessas políticas corporativas que a empresa irá nortear toda a sua atividade de tratamento de dados pessoais.
A obrigação de registro das operações, por sua vez, encontra-se prevista no artigo 37 da LGPD e deve compreender todas as atividades de tratamento de dados pessoais, em especial quando baseado no legítimo interesse. Esse relatório deve indicar de maneira detalhada todas a informações relevantes acerca do tratamento de dados pessoais, tais como, quais os dados tratados, de que forma, com que finalidade, por quanto tempo, inclusive de modo a identificar eventuais riscos potenciais que possam justificar a realização de relatórios de impacto.
No que tange às atividades do encarregado, previsto no artigo 41 da LGPD, não basta a mera indicação da pessoa física ou jurídica nomeada para o exercício do cargo. Deve haver o registro minucioso de todas as suas atividades, evidenciando o efetivo desempenho de suas funções com total independência, como, por exemplo, a fiscalização das operações de tratamento, as orientações dadas a empregados e contratados acerca das práticas e políticas da empresa, as repostas dadas e as providências adotadas em relação às reclamações e comunicados recebidos de titulares.
Já o relatório de impacto encontra-se previsto em linhas gerais no artigo 38 da LGPD, que deixa maiores detalhes para regulamentação a ser editada pela Autoridade Nacional de Proteção de Dados ("ANPD"). De todo modo, o relatório de impacto deverá conter, no mínimo, a descrição dos tipos de dados tratados, a metodologia utilizada para a tratamento e para a garantia da segurança das informações e a análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados.
Embora a LGPD estabeleça que caberá à ANPD determinar em que circunstâncias será necessária a elaboração de relatórios de impacto, a experiência derivada do tratamento de dados no âmbito da Comunidade Europeia4 mostra que as empresas devem ter a iniciativa de preparar relatórios de impacto sempre que suas atividades de tratamento de dados compreendam mais de uma das seguintes hipóteses: (i) avaliações ou scoring; (ii) tomada de decisões por meios automatizados, como nas classificações de crédito; (iii) monitoramento sistemático, tal qual o realizado por shopping centers; (iv) dados sensíveis, nos termos do artigo 5o, II, da LGPD; (v) dados tratados em larga escala, considerando a quantidade de titulares, o volume de dados, o tempo de tratamento e/ou a extensão geográfica da área de coleta; (vi) realização de cruzamentos ou combinações de grupos de dados; (vii) dados de titulares vulneráveis, como crianças e idosos; (viii) utilização de soluções tecnológicas ou organizacionais inovadoras; ou (ix) quando o próprio meio de tratamento do dado possa prevenir os titulares de exercerem seus direitos ou usarem o produto ou serviço, como, por exemplo, na implantação de processos de autenticação que induzam limitações de acesso (leituras biométricas, assinaturas digitais etc.). A presença de duas ou mais dessas hipóteses é um forte indicativo da necessidade de elaboração do relatório de impacto.
Por fim, o registro de incidentes de segurança, previsto no artigo 48 da LGPD, derivado do dever de comunicar à ANPD e ao titular do dado a ocorrência de eventos que possam acarretar risco ou dano relevante, mencionando, no mínimo: (i) a natureza dos dados pessoais afetados; (ii) os titulares envolvidos; (iii) as medidas técnicas e de segurança utilizadas para a proteção dos dados; (iv) os riscos relacionados ao incidente; e (v) as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo. Ademais, mesmo antes do comunicado à ANPD, é importante que se mantenha registro de todo procedimento adotado, em linha com plano de gestão de crise, desde o momento em que o vazamento de dados foi identificado5: pessoas envolvidas, atas das reuniões realizadas, decisão pela necessidade ou não de comunicar a ANPD e os titulares etc.
Em suma, o dever de responsabilidade e de prestação de contas imposto pela LGPD exigirá das empresas não apenas adequação de suas rotinas de trabalho às exigências da Lei, mas também a estruturação de um rigoroso e detalhado sistema de documentação das atividades de tratamento de dados pessoais, o qual certamente ficará sujeito à fiscalização pela ANPD6 e servirá como meio de defesa e mitigação de responsabilidades/penalidades em caso de vazamento de dados.
___________
1 O controlador, nos termos do artigo 5º, VI, da LGPD é a pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.
2 Nos termos do considerando 83 da GDPR, visando à preservação e segurança, bem como para evitar o tratamento indevido de dados, o responsável pelo tratamento deverá avaliar os riscos que o tratamento implica e aplicar medidas que os atenuem. Esse mesmo considerando ressalva que tais medidas deverão assegurar um nível de segurança adequado, tendo em conta as técnicas mais avançadas e os custos da sua aplicação em função dos riscos e da natureza dos dados pessoais a proteger.
3 O encarregado, nos termos do artigo 5º, VI, da LGPD é a pessoa indicada pelo controlador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados.
4 Mencionadas no considerando 91 da LGPD.
5 Nos termos do considerando 85 da GDPR, logo que o responsável pelo tratamento tenha ciência de uma violação de dados pessoais, deverá notificá-la à autoridade, sem demora injustificada e, sempre que possível, no prazo de 72 horas após ter tido conhecimento do ocorrido, a menos que seja capaz de demonstrar, em conformidade com o princípio da responsabilidade, que essa violação não é suscetível de implicar risco para os direitos e liberdades dos titulares. Esse mesmo considerando ressalva que, se não for possível efetuar essa notificação no prazo de 72 horas, a notificação deverá ser acompanhada dos motivos do atraso, podendo as informações serem fornecidas por fases.
6 Nos termos do considerando 82 da GDPR, os responsáveis pelo tratamento de dados pessoais deverão cooperar com a autoridade e facultar-lhe acesso aos respectivos registros de tratamento, a pedido, para fiscalização dessas atividades de tratamento.