A implementação de controles internos, alinhados a fundamentos éticos e boas práticas empresariais, são importantes para evitar o vazamento ilícito de dados.
Inicialmente, é valido ressaltar que, de acordo com o Instituto Brasileiro de Governança Corporativa, popularmente conhecido como IBGC, a Governança Corporativa é um sistema pelo qual as empresas e demais organizações são dirigidas, monitoradas e incentivadas, envolvendo os relacionamentos entre sócios, conselho de administração, diretoria, órgãos de fiscalização e controle e demais partes interessadas.
De igual modo aponta o IBGC que as boas práticas de governança corporativa são capazes de converter princípios básicos em recomendações objetivas, alinhando interesses com a finalidade de preservar e otimizar o valor econômico de longo prazo da organização, facilitando seu acesso a recursos e contribuindo para a qualidade da gestão da organização, sua longevidade e o bem comum.
Tendo dito isso, temos que, aqueles que adotam os princípios básicos da Governança Corporativa dispõem de maior credibilidade perante o mercado.
Nesse sentido, dispõe o artigo 50 da lei 13.709/18 que os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais, individualmente ou por associação, poderão formular regras de boas práticas e de governança, de modo a implementar programas de governança em privacidade que demonstre o comprometimento em adotar processos e políticas para o efetivo cumprimento de boas práticas.
Inobstante, complementarmente a implementação da Governança Corporativa temos o compliance que tem por pilares de seu programa, o suporte da alta administração, avaliação de riscos, códigos de conduta e políticas de compliance, padrões de ética, regras, políticas e procedimentos para mitigação de possíveis riscos, comunicação e treinamento, canais de denúncia, medidas disciplinares, ações de remediação, controles internos, due diligence e auditoria e monitoramento.
Sumariamente, a implementação de controles internos com a finalidade de acautelar e furtar-se do cometimento de ilícitos, função esta que se vincula às melhores prática de governança corporativa alinhadas a fundamentos éticos e a boas práticas empresariais.
Outrossim, dispõe o artigo 52 da lei geral de proteção de dados em seu §1 º incisos VIII e IX, que a aplicação das sanções levará em consideração a adoção de mecanismos e procedimentos internos capazes de minimizar o dano voltado ao tratamento seguro e adequado dos dados, bem como, a adoção de políticas de boas práticas e governança corporativa.
Dessa forma, levando em consideração que o cálculo da multa realizado pela autoridade nacional poderá considerar o faturamento total da empresa ou do grupo de empresas, concluímos que, a possibilidade de redução da multa com a simples adoção de medidas de boas práticas se faz viável e amplamente disponível.
No mais, na ausência da implementação das medidas de precaução se faz necessária a breve constituição do plano de resposta ao incidente digital que considere a análise de dados, resoluções, ações propostas realizadas, comunicação, erradicação e recuperação, avaliando ainda a matriz de risco, impacto e probabilidade.
Nesse sentido, dispõe a lei geral de proteção de dados em seu artigo 48, sobre o dever de notificação, descrevendo a natureza dos dados afetados, as informações sobre os titulares envolvidos, as medidas técnicas e de segurança utilizadas para proteção dos dados, os riscos relacionados ao incidente, o motivo da demora no caso da comunicação não imediata e as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.
Nesse aspecto, a comunicação deverá respeitar o prazo de dois dias uteis contados da data do conhecimento do incidente, bem como o regular preenchimento do formulário eletrônico disponível no site da autoridade nacional fiscalizadora.
Por fim, concluímos que a implantação das boas práticas minimiza os riscos mitigados face a manutenção de dados sensíveis, bem como, reduzem sensivelmente o valor aferido nas multas aplicadas pela Autoridade Nacional de Proteção de Dados.