Certificarte: a arte da certificação em LGPD
sexta-feira, 11 de setembro de 2020
Atualizado em 14 de setembro de 2020 15:13
Quando uma legislação possui normas de conteúdo programático, principiológico, aspiracional e sancionador a ponto de significar um verdadeiro marco regulatório sobre o seu objeto, levando àqueles que estarão sobre os seus efeitos, a tomarem providencias várias de adaptabilidade e planejarem-se econômico e financeiramente para que possam bem cumprir o seu conteúdo e evitar a ação estatal sancionadora, mormente quando a norma não se encontra diretamente relacionada ao seu objetivo ou objeto social de atuação, diz-se que ocorreu uma externalidade negativa onde, objetivando a perenização das atividades praticadas pelo agente econômico, deve imediatamente ser internalizada, com margem de cautela, observando-se uma programação plena e eficiente para a absorção interna destes impactos gerados pela norma, independentemente dos eventuais sacrifícios econômicos a serem efetivados. Com a LGPD vigorante, acompanhada das normas de estruturação regimental da recém-criada Autoridade Nacional de Proteção de Dados (decreto 10.474/20), não será diferente.
Todavia, estas reflexões procurarão demonstrar que o advento destas normas de caráter protetivo, se trata sim de uma externalidade, porém, positiva na medida em que contribuirá não só para a harmonização de mercados e melhor proteção da privacidade da pessoa, como também, gerará segurança sistêmica e imporá claros limites na atuação das empresas e entes institucionais públicos ou privados, a quem a norma se destina.
Dentro deste escopo, pretende-se apresentar, mesmo em visão absolutamente simplista, algumas das razões pelas quais, devem empresas e instituições, independente das suas naturezas jurídicas, familiarizarem-se com a cultura de proteção de dados e certificarem-se internamente acerca dos reflexos da LGPD sobre as suas atividades, revisando todos os seus processos e sistemas, buscando eventuais gaps de segurança, analisando setores, coletas e formas de tratamento de dados, preparando pessoal interno ou externo para vivenciar esta realidade, contribuindo para a especialização e sustentabilidade no tratamento dos dados, em sintonia com os princípios da prevenção, responsabilização e prestação de contas aos entes públicos regulatórios1.
A outro lado, procurar-se-á demonstrar a necessidade de se incluir no contexto da adequação sistêmica esperada, o desenvolvimento da cultura da certificação externa, para com relação aos processo e cautelosos procedimentos que serão efetivados com vistas à adequabilidade à citada lei, não como forma de burocratizar ou onerar as atividades organizacionais que já são por demais complexas, mas sim, como forma de contribuir preventivamente para a contenção de danos, efetivando-se a necessária proteção ao cidadão, gerando a possibilidade de redução da potencialização de riscos, danos e impactos nocivos, com reflexos na eventual aplicação de sanção decorrente de evento e/ou incidente de vazamento no tratamento ou na exposição de dados.
A partir do momento em que houve a atualização pelo Supremo Tribunal Federal, da proteção constitucional do direito à proteção de dados como categoria autônoma no rol de direitos fundamentais do cidadão2, com conteúdo normativo independente dos direitos até então praticados com base na proteção ao sigilo das comunicações, não se pode dizer que uma norma de caráter protetivo que representa um minissistema completo, na sua pretensão e função social e econômica, possa ser visto como uma externalidade negativa cuja entronização na corporação, deva ser efetivada apenas e tão só como parte do cumprimento de regras de compliance ou para se evitar expressivas perdas econômicas futuras.
Trata-se, na realidade, da colaboração de todos os agentes e cidadãos para a construção de uma sociedade justa e solidária, observados os princípios cooperativos e preceitos voltados para a proteção da ordem econômica. E será neste ambiente que o agente responsável, econômico ou institucional, independente de sua natureza, deverá certificar-se da adequabilidade da operação sobre o seu controle, com relação a todos os aspectos protetivos previstos em LGPD, de maneira que possa ter melhor certeza de que terá dado guarida ao direito fundamental do cidadão à proteção de dados.
Esta certificação primária lhes compete, não só em razão dos deveres de diligencia próprios daqueles que possuem atividades empresarias3, onde há a preponderância legislativa de incentivos à criação de estruturas e programas voltados para o cumprimento de regras de compliance, como também por parte de todos os entes públicos e privados que, de alguma forma, tratam dados pessoais de terceiros.
Estas condutas preventivas, acabam por contribuir para a melhoria da própria atividade e ou dos serviços ofertados, gerando clara responsividade por parte dos titulares dos dados, quer em razão destes passarem a ter ciência de que há real interesse dos agentes de qualquer natureza na sua proteção, quer porque são sabedores de que existem normas rígidas de caráter protetivo que podem penalizar excessivamente o não tratamento; a falha de tratamento ou qualquer problema que possa atingi-los, em razão de não terem adequadamente manifestado a sua vontade ou, ainda, obtido o necessário respeito ao domínio de sua opção voltada para a concordância na utilização de seus dados no âmbito de uma finalidade especifica, direito de cancelamento, suspensão, modificação ou alteração no nível de seu consentimento.
Se a autonomia da pessoa jurídica a quem cabe realizar o tratamento de dados, não pode ser considerada como elemento de justificação de falhas ou negligencia na administração, a ponto de mitigar as consequências de um tratamento ineficiente de dados, é fato que tanto os próprios dados, como seu sistema de tratamento e forma de utilização, estão sendo vistos como ativos monetizáveis de tal natureza que, a depender dos métodos classificatórios e analíticos empregados, podem ressignificar os valores intangíveis de um estabelecimento empresarial.
Também será fato que, quanto mais o agente de tratamento se certificar de que as suas bases coletadoras estão eficientemente adequadas e seguras, no que tange aos riscos próprios do ambiente informacional e a necessária obtenção de consentimento, quando for pertinente, ou de aplicação de outras bases legais autorizadoras de uso trazidas pela lei, mais terá contribuído para a proteção dos titulares e o fomento e monetização deste importante ativo imaterial.
Caberá assim, aos agentes econômicos e institucionais que responsáveis pela efetivação da coleta e do tratamento de dados, entre outras verificações, certificarem-se de que este tratamento é regular e observa a legislação4, fornecendo e adotando as medidas de segurança esperadas, com a observância do modo de realização, resultados e riscos inerentes, sempre lastreados nas técnicas de tratamento de dados disponíveis à época.
Quando da certificação interna, é de se adotar os necessários cuidados, na qualificação e formação do quadro de agentes de tratamento de dados composto pelo controlador e operador, como também, na contratação de encarregado (DPO-Data Protection Officer) interno ou externo, que desenvolverá, além dos seus serviços regulares, a integração com a ANPD - Autoridade Nacional de Proteção de Dados.
E será neste ambiente que poderá ocorrer a certificação primária, rigorosa e eficiente dos processos e procedimentos internos, voltados para a verificação da qualidade dos dados, sistemas informáticos e de segurança, nível de adequação no tratamento de dados sensíveis, de crianças e de idosos, eventuais falhas sistêmicas, além da análise nas operações de compartilhamento e ou de transferência internacional de dados, implantando-se o necessário sistema de governança de dados5.
A outro lado, não se pode descuidar das atividades a serem realizadas pelos agentes de qualquer natureza, com vistas a gerar segurança na proteção de dados e a clara participação nas políticas públicas institucionais deste segmento, atividades estas, voltadas para a obtenção de níveis de certificações institucionais.
As certificações institucionais cumprem importante papel quando vigorantes as normas de natureza programática e com viés regulatório e sancionador, pois, além de atestarem níveis de segurança e de capacitações sistêmicas no tratamento de dados, também poderão certificar experiências pessoais, institucionais ou empresariais e, ainda, o "estado da arte" com vistas a detectar um certo momento tecnológico, suas evoluções ou, ainda, lacunas e condições sistêmicas específicas como detalharemos oportunamente.
A certificação institucional pode assim, ser entendida como uma comprovação realizada por uma Instituição ou ente independente, relativa a processos, produtos, serviços, sistemas e pessoas.
Seu objetivo maior é apontar se determinada empresa, instituição ou agente econômico, cumpre os padrões e normas técnicas exigidos e regularmente aceitos, gerando a comprovação da conformidade, com reflexos positivos na confiabilidade do produto ou do serviço ofertado, bem como, nos sistemas, pessoas e processos envolvidos.
A certificação de adequabilidade com relação às normas e processos previstos em LGPD, deve abranger todo o ecossistema, gerando resultados de excelência e agregando valor econômico.
A outro lado, a certificação institucional de pessoas objetiva comprovar determinadas competências daqueles que pretendam obtê-la como forma precedente ao exercício de atividades técnicas específicas.
Neste contexto, caberá às entidades certificadoras que possuam tal escopo, conceder certificados em vários níveis ao interessado, com prazos de duração e de validade especificados, mediante o cumprimento de determinados critérios técnicos estabelecidos e parâmetros específicos e objetivos a serem cumpridos pelo candidato.
Como mencionado, há vários níveis de certificações possíveis e, ainda, várias espécies de entidades certificadoras, algumas independentes e autônomas e outras vinculadas a instituições nacionais ou internacionais, com objetivos certificatórios e tecnologias específicas, voltadas ao que pretendem realizar neste segmento.
Os parâmetros de certificação podem estar relacionados tanto à normas internas da entidade certificadora pública ou privada, como também a padrões internacionais, a exemplo das regras técnicas editadas pela International Organization for Standardization - ISO que proporciona especificações para produtos, serviços e sistemas visando assegurar a qualidade, eficiência e segurança com benefícios ao comércio internacional6.
No que se refere a certificação e acreditação inclusive de pessoa, registra-se a experiência europeia na geração de ferramenta que permite aos profissionais interessados, a confirmação de suas aptidões, habilidades e conhecimentos, atestando-as em face de terceiros e proporcionando maior comprometimento e segurança.
Dentro deste escopo situa-se a ENAC - Entidad Nacional de Acreditación, entidade fundada há mais de vinte anos, vinculada a um ecossistema global de certificação, reconhecido em mais de sessenta países, cuja representante europeia é a entidade denominada EA-European Accreditation que opera na instrumentalização da certificação a nível internacional, como forma de medir competências.
No Brasil, entidades públicas ou privadas que pretendam instrumentalizar as certificações de sistemas, processo, serviços, produtos ou de pessoas, de forma vinculada a entes públicos certificatórios, devem cumprir não só as disposições do SBC-Sistema Brasileiro de Certificação que possui como organismo de acreditação Inmetro - Instituto Nacional de Metrologia, Qualidade e Tecnologia, como também, às eventuais normas a serem editadas pela ANPD - Autoridade Nacional de Proteção de Dados, que possam estar voltadas para a acreditação ou para a certificação em seus diversos níveis.
As entidades que se habilitarem e se credenciarem para conduzir e conceder a certificação de conformidade, com base nos princípios e políticas adotados no âmbito do SBC e nos critérios, procedimentos e regulamentos estabelecidos pelo Inmetro (autarquia Federal vinculada ao Ministério da Economia), são designadas por Organismo de Certificação Credenciado - OCC.
Estes Organismos de Certificação Credenciados pelo Inmetro, por sua vez, podem fazer acordos de reconhecimento de suas atividades com organismos de outros sistemas estrangeiros, para que suas certificações sejam aceitas mutuamente, desde que haja garantia de que tais certificações sejam realizadas segundo regras equivalentes às utilizadas no SBC. Na área de certificação voluntária, o OCC pode buscar o reconhecimento de entidades estrangeiras similares por meio de convênios, associações e subcontratações.
Todavia, o OCC deve atender continuamente os requisitos de acreditação estabelecidos pelo Inmetro e é vedada a sua participação na atividade de consultoria, de acordo com as normas e guias ABNT ISO/IEC e as recomendações dos foros internacionais, devendo exercer e acompanhar as atividades de certificação de acordo com os princípios e rotinas estabelecidos no âmbito do SBC- Sistema Brasileiro de Certificação.
Qualquer entidade, independentemente de sua origem, pode ser credenciada como organismo de certificação, desde que atenda aos princípios e políticas do SBC e os critérios, regulamentos e procedimentos estabelecidos pelo Inmetro.
Com o advento do Decreto nº. 10.474/2020, os assuntos relacionados à certificação em ambiente de proteção de dados, foram carreados ao Conselho Diretor, a quem compete, entre outras atividades, designar e fiscalizar organismos de certificação para a verificação da permissão para a transferência de dados internacional, como também, definir o conteúdo de cláusulas padrão e verificar, diretamente ou mediante designação de organismo de certificação, a garantia de cláusulas contratuais específicas, normas corporativas globais ou selos, certificados e códigos de conduta para transferência internacional por controlador de dados pessoais.
O Conselho Diretor da ANPD funcionará, também, como revisor dos atos realizados por organismos de certificação, podendo, inclusive, anulá-los quando forem tomados em descumprimento das disposições da LGPD.
Tanto as certificações institucionais como as acreditações são voluntárias e, além de um papel contributivo na informação técnica acerca do objeto da análise, serão ferramentas auxiliares dos agentes econômicos, quando eventualmente demandados, tanto administrativamente como civil ou penalmente, para comprovação de regularidades.
A exemplo temos o regramento do art. 43 da LGPD que trata da não responsabilização do agente quando este provar que não realizou o tratamento dos dados pessoais que lhe fora atribuído; embora tenha realizado o tratamento de dados pessoais, não violou a legislação de proteção de dados ou, ainda, que o dano informado, decorreu de culpa exclusiva do titular dos dados ou de terceiros.
Considerando-se, também, o elenco de sanções administrativas previsto no art. 52 da LGPD, a ser aplicado pela ANPD que compreende desde simples advertência buscando medidas corretivas, até a imposição de multas de variadas espécies e valores; bloqueio ou eliminação de dados, além da suspensão parcial do funcionamento do banco de dados, até regularização da atividade infratora, chegando a suspensão total ou proibição desta atividade de tratamento de dados, é fato que a lei prestigia o pleno contraditório ao mencionar a aplicabilidade de sanções administrativas, deve ocorrer somente após um procedimento que possibilite a oportunidade de ampla defesa, de forma gradativa, isolada ou cumulativa, de acordo com as peculiaridades do caso concreto.
Esta regra é objetiva e propugna pela consideração, na aplicação da sanção, dos seguintes parâmetros e critérios: gravidade e natureza das infrações e dos direitos pessoais afetados, boa-fé do infrator, vantagem auferida ou pretendida pelo infrator, sua condição econômica, cooperação, reincidência e grau de dano, além da adoção de políticas de boas práticas e governança.
A Adoção demonstrada e reiterada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados, na forma da lei e, ainda, a implantação de medidas corretivas associada a verificação da proporcionalidade entre a gravidade da falta e a intensidade da sanção, são elementos complementares deste critério e contribuem para demonstrar, em seu conjunto, a clara necessidade e a busca da habitualidade nos procedimentos de certificações institucionais concernentes às atividades voltadas para o tratamento de dados.
No Brasil, a ANPD, como órgão de regulação responsável por elaborar as diretrizes da Política Nacional de Proteção de Dados Pessoais e da Privacidade, contribuirá, como mencionado, não só na fiscalização e edição de normas disciplinatórias no âmbito da certificação, apresentando caminhos e rumos para o aprimoramento das entidades certificadoras públicas e privadas, como também, promover as ações cooperadas para a execução destas políticas, em cumprimento de sua missão estimuladora da adoção de padrões que facilitem o exercício de controle dos titulares sobre os seus dados pessoais.
Neste contexto, anseia-se pela colaboração indistinta da sociedade, na construção do ideário protetivo de dados pessoais, com a necessária especialização daqueles que pretendem atuar nesta área, facilitando o acesso às certificações e atestados profissionalizantes, assim como nas atividades e ofertas de serviços, produtos e soluções, de forma tal que possa se propiciar a preservação e as esperada proteção no tratamento de dados.
A importância de os agentes adotarem a prática da obtenção das certificações institucionais regulares e perenes, a ponto de poder se situar o exato "estado da arte", encontra-se na própria lei a exemplo do que dispõe o art. 44 ao afirmar que o tratamento de dados pessoais será irregular quando deixar de observar a legislação ou quando não fornecer a segurança que o titular dele pode esperar, consideradas as circunstâncias relevantes, entre as quais o modo de realização, os resultados e riscos que razoavelmente dele se esperam e as técnicas de tratamento de dados pessoais disponíveis à época em que foi realizado.
Desta forma, uma instituição que possa certificar e/ou atestar as condições tecnológicas e o exato momento em que os fatos relacionados aos dados pessoais ocorreram, a partir de uma verificação criteriosa, lastreada em metodologia apropriada, estará demonstrando o que denominamos de "estado da arte", contribuindo para com o sistema protetivo de dados de forma ativa, além de reduzir incertezas probantes.
E a necessidade de se captar e de se obter as "fotografias tecnológicas de época", gerando segurança na construção da caracterização deste importante momento captador de um fato e de suas circunstâncias, permeia a LGPD.
O art. 46, a exemplo, que trata de medidas de segurança e sigilo de dados no capítulo das boas práticas, já efetiva a previsão do que será o futuro ao dispor claramente sobre dois princípios: i) Padrões técnicos Mínimos: A autoridade Nacional poderá dispor sobre padrões técnicos mínimos para tornar aplicável as medidas de segurança disposta, considerados a natureza das informações tratadas, as características especificas do tratamento e o estado atual da tecnologia, especialmente no caso de dados pessoais sensíveis, assim como os princípios previstos no caput do art. 6º da lei e, ii) privacy by design: Representa o emprego de mecanismos e soluções de privacidade e de medidas protetivas, que devem ser observadas desde a fase de concepção do produto, até a sua execução e colocação no mercado.
Assim é que as entidades certificadoras institucionais devem se especializar para que possam bem cumprir a parcela informativa da LGPD, registrando, certificando e atestando o que for pertinente às necessidades dos agentes econômicos e aos interesses da comunidade, inclusive acerca do mencionado "estado da arte" para com relação aos processos, sistemas tecnológicos e aos programas de boas práticas e de governança, levando-se em conta o princípio da atualização periódica contido na regra.
E é desta forma que propugnamos por uma visão aberta e multidisciplinar da certificação institucional em que, as entidades voltadas a estes objetivos, possam bem entender a importância de também se habilitarem para certificações pontuais e temporais de temáticas variadas, todas relacionadas aos propósitos protetivos da LGPD, prestando serviço de utilidade pública de excelência e contribuindo para a redução das incertezas e apaziguação social.
As certificações internas, efetivadas primariamente pelos gestores e agentes de tratamento de dados, incrementadas pelas certificações institucionais, desenvolvidas a partir de técnicas e metodologias apropriadas, a nosso ver, se assemelham à verdadeira arte da certificação, tanto no contexto da percepção da relevância do fato e sensibilidade na detecção do necessário para gerar a adequação prevista pelo legislador, como no conjunto de atividades humanas coordenadas e sincronizadas, visando a formação de um processo criativo original, eis que cada elo deste sistema possui particularidades e sinais a serem expressados como resultado final da certificação, que se harmonizará com o todo, proporcionando um significado protetivo único, embora diferente.
*Adalberto Simão Filho é professor titular dos programas de mestrado e doutorado em Direitos Coletivos e Cidadania da UNAERP/RP. Obteve os títulos de mestre e de doutor em direito das relações sociais pela PUC/SP e de pós-doutor em Direito e Educação pela Universidade de Coimbra. Diretor Jurídico do Instituto Avançado de Proteção de Dados - IAPD. É autor de obras temáticas envolvendo o direito da sociedade da informação e a nova empresarialidade.
**Janaina de Souza Cunha Rodrigues é advogada com mais de quinze anos de experiencia em departamentos jurídicos empresariais e escritórios de advocacia, com atuação na área empresarial e tecnológica. Associada fundadora e membro da Comissão permanente de assuntos Jurídicos do Instituto Avançado de Proteção de Dados - IAPD. Pesquisadora externa em grupo de estudo voltado para o Direito e a Tecnologia.
__________
1 De Lucca, Newton et Maciel,Renata Mota. A lei 13.709 de 14 de agosto de 2018: a disciplina normativa que faltava. Direito e Internet IV - Sistema de proteção de dados pessoais. Coordenação: Newton De Lucca, Adalberto Simão Filho.Cintia Rosa Pereira de Lima. Renata Mota Maciel. Quartier Latin: São Paulo, 2019, pag.21.
2 A eficácia da MP 954/2020 que permitia o compartilhamento de dados de usuários de telecomunicações com o Instituto Brasileiro de Geografia e Estatística (IBGE), durante a pandemia, foi suspensa nas ADINS 6387 da OAB e 6388 a 6393 de Partidos Políticos.
3 Coelho,Fabio Ulhoa et Lotufo, Mirelle Bittencourt. A lei geral de proteção aos dados pessoais e as investigações internas das empresas. Direito e Internet IV - Sistema de proteção de dados pessoais. Coordenação: Newton De Lucca, Adalberto Simão Filho.Cintia Rosa Pereira de Lima. Renata Mota Maciel. Quartier Latin: São Paulo, 2019, pag.225 a 233.
4 Lima,Cintia Rosa Pereira de et Peroli, Kelvin. A aplicação da lei geral de proteção de dados do Brasil no tempo e no espaço. Comentários a lei geral de proteção de dados. Coordenação:Cintia Rosa Pereira de Lima. Editora Almedina: São Paulo, 2020,pág. 69.
5 Simão Filho, Adalberto. Regime jurídico do banco de dados- Função econômica e reflexos na monetização. Direito e Internet IV - Sistema de proteção de dados pessoais. Coordenação: Newton De Lucca, Adalberto Simão Filho.Cintia Rosa Pereira de Lima. Renata Mota Maciel. Quartier latin: São Paulo, 2019, pags.167- 189.
6 Gayo.Miguel Recio. El estatuto jurídico del data protection officer. Wolters Kluwer España:Madrid, 2019, pág. 224.