Uma nova cultura de proteção de dados: a essencialidade da governança para a efetiva funcionalidade da lei 13.709/18
quarta-feira, 8 de setembro de 2021
Atualizado às 08:52
Como um conceito transversal, a perspectiva de governança tem se inserido no dia a dia das instituições públicas antes mesmo de seus princípios serem interiorizados por seu corpo técnico, incluindo a Alta Administração. Um exemplo desta abordagem é a lei 13.709, de 14 de agosto de 2018, Lei Geral de Proteção de Dados Pessoais.
A legislação como instrumento para modelagem de uma nova cultura não é novidade em nosso país. E, quando a pretensão envolve a modernização de práticas de gestão e gerenciamento da máquina pública, o caminho trilhado se torna mais perceptível e controlável.
A implementação de boas práticas de governança é o parâmetro geral de atuação que tem se exigido da Administração Pública Federal, autárquica e fundacional, em especial, após a entrada em vigor do decreto 9.203, de 22 de novembro de 2017. Como um standard geral a fim de direcionar o comportamento institucional, a adoção de mecanismos de liderança, estratégia e controle deveria servir de norte à priorização da entrega de valor público de forma cada vez mais condizente com a necessidade da sociedade.
Sabemos, porém, que bem antes disso o Tribunal de Contas da União já se apropriava do conceito (TCU, 2014), com o fim de objetivar - em contraposição à subjetividade tão criticada de alguns de seus entendimentos -, as práticas de controle externo e apresentar possíveis caminhos a serem trilhados pelos órgãos controlados. A ideia subjacente a isso vincula-se à pretensão de se estabelecer uma cultura organizacional mais estratégica e estruturada, através da utilização de instrumentos e ferramentas adequadas ao caso concreto.
Segundo Rhodes (1996), a governança sob esta perspectiva direciona-se a questões relacionadas: (a) à coordenação de ações; (b) ao exercício do controle em situações em que várias organizações estão envolvidas; (c) às estruturas de autoridade; (d) à divisão de poder e responsabilidade entre os diversos atores; (e) à alocação tempestiva e suficiente de recursos; e (f) à governança das ações, entendida como a capacidade do governo coordenar a ação de atores com vistas à implementação de políticas públicas.
A Lei Geral de Proteção de Dados Pessoais traz consigo o desafio de implantar mecanismos de governança na prática, na vida real. Coloca-se perante toda a sociedade brasileira, então, o desafio de dar adequado tratamento aos dados pessoais, inclusive nos meios digitais, com o objetivo de proteger os direitos fundamentais de liberdade, de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
Em outras palavras, exigir-se-á, com mais profundidade, que pessoas naturais ou jurídicas, de direito público ou privado, estabeleçam uma cultura suficientemente responsável às operações realizadas com informação relacionada a pessoas físicas identificáveis. Contudo, pautada em garantias constitucionais basilares aplicáveis em níveis diferentes e de forma não linear, considerando a pluralidade da matéria e da sociedade, fato que não pode ser esquecido, mas que muitas vezes é (Salert, 2020).
Essa nova cultura visibiliza a necessidade de uma adequada atenção a aspectos como integridade, confiabilidade e transferência no contexto da proteção de dados pessoais. Vê-se que não se trata apenas de estabelecer ou reorganizar mecanicamente procedimentos relativos ao tratamento destes dados, mas sim fundar os pilares fortes da governança também nesta seara.
E, para vencer este desafio, os mecanismos de liderança, estratégia e controle se tornam importantes instrumentos.
Quem de nós nunca teve, pelo menos uma vez na vida, o dissabor de se ver diante de descuidos quanto a coleta, produção, recepção, classificação, utilização, acesso, processamento, armazenamento, eliminação, avaliação, comunicação ou transferência de informações relativas a nossos dados pessoais?
Esses "dissabores" muitas vezes têm origem justamente na lacuna quanto a disseminação dos princípios basilares da governança no seio das organizações. Este efeito é sintomático no âmbito público, mas também tem seu reflexo no privado.
Nesse contexto, as diretrizes traçadas pelo Decreto n. 9.203, de 2017, são colocadas novamente no centro do debate e sua exequibilidade passa a ser testada a luz do que nos propõe a lei 13.709, de 14 de agosto de 2018.
Segundo o que dispõe o art. 3º da Política de Governança da administração pública federal direta, autárquica e fundacional, são princípios da governança pública a capacidade de resposta, a integridade, a confiabilidade, a melhoria regulatória, a prestação de contas e responsabilidade e a transparência.
Por sua vez, a LGPD destaca como fundamentos da disciplina da proteção de dados pessoais: o respeito à privacidade, a autodeterminação informativa, a liberdade de expressão, de informação, de comunicação e de opinião, a inviolabilidade da intimidade, da honra e da imagem, o desenvolvimento econômico e tecnológico e a inovação, a livre iniciativa, a livre concorrência e a defesa do consumidor e os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais, tendências conjuntas já previstas por Bennet (1992).
A inter-relação salta aos olhos: sem governança, o direito à privacidade e à proteção de dados pessoais fica apenas no papel!
Poucos se atentam a isso, mas a palavra "governança" aparece oito vezes na Lei Geral de Proteção de Dados Pessoais, tendo ainda uma seção exclusiva para abordar o instituto que é essencial quando do estabelecimento de uma nova cultura, o que sem dúvidas chama atenção para uma legislação que possui apenas 65 artigos.
Em seu artigo 50, a LGPD chama atenção para a necessidade de se estabelecerem "regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais".
Determina ainda que essa política de governança em proteção de dados deve levar em consideração, obrigatoriamente, a realidade da instituição relacionada e do titular dos dados, ao afirmar que "o controlador e o operador levarão em consideração, em relação ao tratamento e aos dados, a natureza, o escopo, a finalidade e a probabilidade e a gravidade dos riscos e dos benefícios decorrentes de tratamento de dados do titular."
A LGPD avança ainda mais na temática de governança quando estabelece a estratégia adequada para consecução de seu objetivo. Nesse sentido, define, com clareza, "as diretrizes, objetivos, planos e ações, além de critérios de priorização e alinhamento entre partes interessadas, para que os serviços e produtos de responsabilidade da organização alcancem o resultado pretendido".
Na mesma toada, dispõe que o controlador deve implementar programa de governança em privacidade que, no mínimo, a) demonstre o comprometimento do controlador em adotar processos e políticas internas que assegurem o cumprimento, de forma abrangente, de normas e boas práticas relativas à proteção de dados pessoais; b) seja aplicável a todo o conjunto de dados pessoais que estejam sob seu controle, independentemente do modo como se realizou sua coleta; c) seja adaptado à estrutura, à escala e ao volume de suas operações, bem como à sensibilidade dos dados tratados; d) estabeleça políticas e salvaguardas adequadas com base em processo de avaliação sistemática de impactos e riscos à privacidade; e) tenha o objetivo de estabelecer relação de confiança com o titular, por meio de atuação transparente e que assegure mecanismos de participação do titular; f) esteja integrado a sua estrutura geral de governança e estabeleça e aplique mecanismos de supervisão internos e externos; g) conte com planos de resposta a incidentes e remediação; e h) seja atualizado constantemente com base em informações obtidas a partir de monitoramento contínuo e avaliações periódicas.
E, ainda vai além, elencando a obrigação do controlador, enquanto agente a quem compete as decisões referentes ao tratamento de dados pessoais para além de implementar programa de governança em privacidade deve, ainda, demonstrar a sua efetividade.
A liderança institucional, seja no âmbito público ou privado, portanto, deve adotar a estratégia de privacidade nos termos do definido pela legislação e seguir monitorando seu programa. Tudo com o fim de garantir que os processos estruturados para mitigar os possíveis riscos com vistas ao alcance dos objetivos institucionais sejam efetivos.
Deve, ainda, garantir a execução ordenada, ética, econômica, eficiente e eficaz das atividades da organização no tocante a esta temática que tem como origem estrutural o direito à privacidade (Doneda, 2019).
Ainda assim, mesmo diante de todo o detalhamento legal no tocante a estruturação de uma política de governança, percebemos uma grande falha nos planos de adequação de diversos setores à LGPD.
Muitos deles nem sequer mencionam a necessidade de um Programa de Governança em Privacidade e Proteção de Dados Pessoais ao menos após o fim do projeto principal de conformidade à esta legislação, o qual vale lembrar que é obrigação legal de toda e qualquer pessoa jurídica, seja no âmbito público ou privado.
Fato é que sem considerar boas práticas de governança, não há sucesso na implementação da LGPD. Não há governança de dados, sem governança!
Sem o direcionamento coerente de ações para a busca de resultados para a sociedade, encontrando soluções tempestivas e inovadoras para lidar com a limitação de recursos e com as mudanças de prioridades; sem simplificação administrativa, modernização da gestão pública e a integração dos serviços públicos, especialmente aqueles prestados por meio eletrônico e monitoramento do desempenho para assegurar que as diretrizes estratégicas sejam observadas não haverá eficiência na implementação de uma nova cultura de proteção de dados.
Ao pensarmos em governança, consideramos ao menos uma relação com estruturação, organização, transparência, responsabilização, responsabilidade, equidade e prestação de contas, pontos que firmam fácil paralelo com a LGPD. Uma legislação que estabelece como foco as regras para que as pessoas jurídicas ou pessoas físicas com fins econômicos possam tratar dados pessoais e, enfim, utilizá-los para os diversos fins.
Isto porque, em um contexto de sociedade amplamente globalizada e conectada, hoje é basicamente impossível de se mensurar todas as possibilidades de aplicação e utilização de dados pessoais e que podem trazer tanto esplêndidos benefícios, quanto aterrorizantes prejuízos em uma perspectiva individual ou coletiva, preocupação existente desde a década de 1960 (Packard, 1964).
Pensemos que por meio do tratamento de dados pessoais é possível obter diagnósticos mais rápidos de doenças raras que possibilitam salvar vidas, ou ainda promover políticas públicas mais efetivas ao se analisar a realidade de grupos desiguais na sociedade brasileira, assim como contratar serviços e adquirir produtos personalizados.
Organizações do setor privado e instituições do setor público têm que apreender a se utilizar desse material atentando-se, porém, para os reflexos práticos de suas condutas, sempre com a atenção voltada à proteção dos direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
Por outro lado, por meio do tratamento de dados pessoais é possível que se exerça um poder de vigilância de toda a sociedade, bem como manipular inconscientemente a opinião política de alguém, e até mesmo impactar negativamente o desenvolvimento da personalidade de crianças e adolescentes.
Ao passo que o tratamento de dados pessoais possui a abrangência de interesses individuais e coletivos distintos, não há dúvidas que sem governança é meramente impossível que se tenha um cenário justo e democrático.
Quando uma instituição passa pelo processo de adequação à LGPD, basicamente implementa-se as disposições da legislação em todos os seus processos de tratamento de dados pessoais. Mas qualquer especialista da área sabe que é quase inalcançável a visualização de todas as "micro atividades e tarefas" que envolvem o tratamento de dados pessoais dentro de cada processo operacionalizado por uma instituição, por mais detalhista que o projeto seja.
Um bom mapeamento de dados, sem dúvidas, é essencial e fundamental para um plano de adequação à LGPD de qualidade, todavia, apenas o estabelecimento de uma boa governança em privacidade e proteção de dados pessoais garantirá o sucesso duradouro deste trabalho.
Além das fases fundamentais que este processo de transição para uma nova cultura exige, aspectos inerentes de uma boa governança como: conscientização de todos os envolvidos, organização dos dados existentes, estruturação de todos os fluxos de atividades, fortalecimento de princípios, análise e aplicação viável de regulamentações nacionais e internacionais, definição de benefícios coletivos, exigência da conformidade de terceiros, elaboração de planos de ação que minimizem riscos e assistência a direitos de forma definida, são indispensáveis.
A necessidade de estabelecer uma nova cultura de privacidade com viés em proteção de dados pessoais é uma demanda mundial, e fugindo do famoso jargão que "os dados são o novo petróleo", todas essas preocupações se perfazem, pois estamos na realidade falando não só de dinheiro, lucro e avanço da tecnologia, estamos falando de vidas e de qual rumo cada uma delas pode tomar por não entendermos que as pessoas precisam ter acesso ao avanço tecnológico e ele deve acontecer dentre todas suas possibilidades, mas sem que a privacidade seja moeda de troca, ou ainda que as pessoas não tenham mais o efetivo poder sobre suas vidas.
Dentre esses e muitos outros motivos impossíveis de se expor em poucos parágrafos que podemos afirmar: é perigoso e até irresponsável falar em adequação à LGPD sem falar em governança com a instituição de boas práticas bem definidas, ante a amplitude da potencialidade de seus princípios que se relacionam com a verdadeira essência da LGPD.
Referências bibliográficas
Bennet, C. (1992), "Regulating privacy, Data protection and public policy in Europe and the United States", esp. p. 116-150
Doneda, D. (2019), "Da privacidade à proteção de dados pessoais", 2. Ed
Packard, V. (1964), "The naked society", New York: IG Publishing.
Rhodes, R. A. W. (1996), "The New Governance: Governing without Government", Political Studies, 44(4), pp. 652-667
TCU - TRIBUNAL DE CONTAS DA UNIÃO. Referencial básico de governança: aplicável a órgãos e entidades da administração pública. Brasília: TCU; Secretaria de Planejamento, Governança e Gestão, 2014.
Sarlet, I. W. (2020), "Tratado de Proteção de Dados Pessoais", Grupo Gen, pp.40
*Vládia Pompeu é mestre em Direito e Políticas Públicas pelo Centro Universitário de Brasília - UNICEUB (2015). Mestre em Derechos Humanos, Interculturalidad y Desarrolo pela Universidade Pablo de Olavide (Espanha - 2015). Especialista em Estudos de Defesa Nacional pela Escola Superior de Guerra (2020). Pós-graduada em Direito Público pela Universidade de Brasília - UNB (2010). Pós-graduada em Direito e Processo Tributários pela Universidade de Fortaleza - UNIFOR (2005). Professora da Graduação e Pós-Graduação em Direito. Mentora em liderança pela Escola Nacional da Administração Pública (ENAP). Procuradora da Fazenda Nacional desde 2006. Ex- Procuradora do Estado do Pará. Ex-Corregedora da Agência Nacional de Aviação Civil. Ex-Corregedora-Geral da Advocacia da União. Ex-Advogada-Geral da União Adjunta. Atual Assessora Especial do Advogad-Geral da União. Redes sociais: @vladiapompeu
**Karolyne Utomi é advogada especialista em Privacidade, Proteção de Dados Pessoais, Direito Digital, Compliance e Contratos. Sócia fundadora da KR Sociedade de Advogados, escritório especialista em Privacidade e Proteção de Dados Pessoais. Sócia fundadora da Consultoria Kaosu (com foco em Educação Digital). Parecerista e Palestrante em assuntos relacionados a Privacidade, Proteção de Dados Pessoais e Cidadania Digital.