COLUNAS

  1. Home >
  2. Colunas >
  3. Migalhas de IA e Proteção de Dados >
  4. Certificarte: a arte da certificação em LGPD

Certificarte: a arte da certificação em LGPD

sexta-feira, 11 de setembro de 2020

Atualizado em 14 de setembro de 2020 15:13

Quando uma legislação possui normas de conteúdo programático, principiológico, aspiracional e sancionador a ponto de significar um verdadeiro marco regulatório  sobre o seu  objeto, levando àqueles que estarão sobre os seus efeitos, a tomarem providencias várias de adaptabilidade  e planejarem-se econômico e financeiramente para que possam bem cumprir o seu conteúdo e evitar a ação estatal sancionadora, mormente quando a norma não se encontra diretamente relacionada ao seu objetivo ou objeto social de atuação, diz-se que ocorreu uma externalidade negativa onde, objetivando a perenização das atividades praticadas pelo agente econômico, deve imediatamente ser internalizada, com margem de cautela, observando-se uma programação plena e eficiente para a absorção interna destes impactos gerados pela norma, independentemente dos eventuais sacrifícios econômicos a serem efetivados.  Com a LGPD vigorante, acompanhada das normas de estruturação regimental da recém-criada Autoridade Nacional de Proteção de Dados (decreto 10.474/20), não será diferente.

Todavia, estas reflexões procurarão demonstrar que o advento destas normas de caráter protetivo, se trata sim de uma externalidade, porém,  positiva na medida em  que contribuirá não só para a harmonização de mercados e melhor proteção da privacidade da pessoa, como também, gerará segurança sistêmica e imporá claros limites na atuação das empresas e entes institucionais públicos ou privados,  a quem a norma se destina.

Dentro deste escopo, pretende-se  apresentar, mesmo em visão absolutamente simplista,  algumas das  razões pelas quais,  devem empresas e instituições, independente das suas  naturezas jurídicas, familiarizarem-se com a cultura de proteção de dados e certificarem-se internamente acerca dos reflexos da LGPD sobre as suas atividades, revisando todos os seus processos e sistemas, buscando eventuais gaps de segurança, analisando setores, coletas e formas de tratamento de dados, preparando pessoal interno ou externo para vivenciar esta  realidade, contribuindo para a especialização e  sustentabilidade  no tratamento dos dados, em sintonia com os  princípios da prevenção, responsabilização e prestação de contas aos entes públicos regulatórios1.

A outro lado, procurar-se-á demonstrar a necessidade de se incluir no contexto da adequação sistêmica esperada, o desenvolvimento da cultura da certificação  externa,  para com relação aos processo e  cautelosos procedimentos  que serão efetivados com vistas à adequabilidade à citada lei, não como forma de burocratizar ou onerar  as atividades organizacionais que já são por demais complexas, mas sim,  como forma de contribuir preventivamente para a contenção de danos, efetivando-se a  necessária proteção ao cidadão, gerando a possibilidade de   redução da  potencialização de riscos, danos e  impactos nocivos, com reflexos na eventual  aplicação  de  sanção decorrente de evento e/ou  incidente de vazamento  no tratamento ou na exposição de dados.

A partir do momento em que houve a atualização pelo Supremo Tribunal Federal, da proteção constitucional do direito à proteção de dados como categoria autônoma no rol de direitos fundamentais do cidadão2, com conteúdo normativo independente dos direitos até então praticados com base na proteção ao sigilo das comunicações, não se pode dizer que uma norma de caráter protetivo que representa um minissistema completo, na sua pretensão e função social e econômica, possa ser visto como uma externalidade negativa cuja entronização na corporação,  deva ser efetivada apenas e tão só  como parte do cumprimento de regras de compliance ou para se evitar expressivas  perdas econômicas futuras.

Trata-se, na realidade, da colaboração de todos os agentes e cidadãos para a construção de uma sociedade justa e solidária, observados os princípios cooperativos e  preceitos voltados para a proteção da ordem econômica. E será neste ambiente que o agente responsável, econômico ou institucional, independente de sua natureza, deverá certificar-se da adequabilidade da operação sobre o seu controle, com relação a todos os aspectos protetivos previstos em LGPD,  de maneira que possa ter melhor certeza de que terá dado guarida  ao direito fundamental do cidadão à proteção de dados.

Esta certificação primária lhes compete,  não só em razão dos deveres de diligencia próprios daqueles que possuem  atividades empresarias3,  onde há a preponderância  legislativa de incentivos à criação de estruturas e programas voltados para o cumprimento de regras de compliance, como também por parte de todos os entes públicos e privados que, de alguma forma, tratam dados pessoais de terceiros.

Estas condutas preventivas, acabam por contribuir para a melhoria da própria atividade e ou dos serviços ofertados, gerando clara responsividade por parte dos titulares dos dados, quer em razão destes passarem a ter ciência de que há real interesse dos agentes de qualquer natureza na sua proteção, quer porque são sabedores de que existem normas rígidas de caráter protetivo que podem penalizar excessivamente o não tratamento; a falha de tratamento ou qualquer problema que possa atingi-los, em razão de não terem  adequadamente manifestado a sua vontade ou, ainda, obtido  o necessário  respeito ao domínio de sua opção voltada para a concordância na utilização de seus dados  no âmbito de uma  finalidade especifica, direito de cancelamento, suspensão, modificação ou alteração no nível de seu consentimento.

Se  a autonomia da pessoa jurídica a quem cabe realizar o tratamento de dados, não pode ser considerada como elemento de justificação de falhas ou negligencia na administração, a ponto de mitigar as consequências de um tratamento ineficiente de dados, é fato que  tanto os próprios dados, como seu sistema de tratamento e forma de utilização,  estão sendo vistos como ativos monetizáveis de tal natureza que, a depender dos métodos classificatórios e analíticos empregados, podem ressignificar os valores intangíveis de um estabelecimento empresarial.

Também será fato que,  quanto mais o agente de tratamento se certificar de que as suas bases coletadoras estão eficientemente adequadas e seguras, no que tange aos riscos próprios do ambiente informacional e a necessária  obtenção de consentimento, quando for pertinente, ou de aplicação de outras bases legais autorizadoras de uso trazidas pela lei,  mais terá contribuído para a proteção dos titulares e o fomento e monetização deste importante ativo imaterial.

Caberá assim,  aos agentes econômicos e institucionais que responsáveis pela efetivação da coleta e do tratamento de dados, entre outras verificações,  certificarem-se  de que este tratamento é regular e observa a legislação4, fornecendo e adotando as medidas de segurança esperadas, com a observância do modo de realização, resultados e  riscos inerentes, sempre lastreados nas  técnicas de tratamento de dados disponíveis à época.

Quando da certificação interna, é de se adotar os necessários cuidados,  na qualificação e formação do  quadro de agentes de tratamento de dados composto pelo controlador e operador, como também, na contratação de encarregado (DPO-Data Protection Officer) interno ou externo, que  desenvolverá, além dos seus serviços regulares,  a integração  com a ANPD - Autoridade  Nacional de Proteção de Dados.

E será neste ambiente que poderá ocorrer a certificação primária,  rigorosa e eficiente dos processos e procedimentos internos, voltados para a verificação da  qualidade dos dados, sistemas informáticos e de segurança, nível de adequação no  tratamento de dados sensíveis, de crianças e de idosos, eventuais falhas sistêmicas, além da análise nas operações de compartilhamento e ou de  transferência internacional de dados, implantando-se o necessário  sistema de  governança de dados5.

A outro lado, não se pode descuidar das atividades a serem realizadas pelos agentes de qualquer natureza,  com vistas a gerar segurança na proteção de dados e a clara participação nas políticas públicas institucionais deste segmento, atividades estas,   voltadas para a obtenção  de  níveis  de  certificações institucionais.

As certificações institucionais cumprem importante papel quando vigorantes as normas de natureza programática e com viés regulatório e sancionador, pois,  além de  atestarem níveis de segurança e de capacitações sistêmicas no tratamento de dados, também poderão certificar experiências pessoais, institucionais  ou empresariais e, ainda, o "estado da arte" com vistas a detectar um certo momento tecnológico, suas  evoluções ou, ainda,  lacunas e condições sistêmicas específicas como detalharemos oportunamente.

A certificação institucional pode assim, ser entendida como uma comprovação realizada por uma Instituição ou ente independente, relativa a processos, produtos, serviços,  sistemas e pessoas.

Seu objetivo maior é apontar se determinada empresa, instituição ou agente econômico, cumpre os padrões e normas técnicas exigidos e regularmente aceitos, gerando a comprovação da conformidade, com reflexos positivos  na  confiabilidade do produto ou do serviço ofertado, bem como, nos sistemas, pessoas  e processos envolvidos. 

A certificação de adequabilidade com relação às normas e processos previstos em LGPD, deve abranger todo o ecossistema, gerando resultados de excelência e agregando valor econômico.   

A outro lado, a certificação institucional de pessoas objetiva comprovar determinadas competências daqueles que pretendam obtê-la como forma precedente ao exercício de atividades técnicas específicas.

Neste contexto, caberá às entidades certificadoras que possuam tal escopo, conceder certificados em vários níveis ao interessado, com prazos de duração e de validade especificados, mediante o cumprimento de determinados  critérios técnicos estabelecidos e parâmetros específicos e objetivos  a serem cumpridos pelo candidato.

Como mencionado, há vários níveis de certificações possíveis e, ainda, várias espécies de entidades certificadoras, algumas independentes e autônomas e outras vinculadas a instituições nacionais ou internacionais, com objetivos certificatórios e tecnologias específicas, voltadas ao que pretendem realizar neste segmento. 

Os parâmetros de certificação podem estar relacionados tanto à normas internas da entidade certificadora pública ou privada, como também a padrões internacionais, a exemplo das regras técnicas editadas pela International Organization for Standardization - ISO que proporciona especificações para produtos, serviços e sistemas visando assegurar a qualidade, eficiência e segurança com benefícios ao comércio internacional6.

 No que se refere a certificação e acreditação inclusive de pessoa, registra-se a experiência europeia na geração de ferramenta que permite aos profissionais interessados, a confirmação de suas aptidões, habilidades e conhecimentos,  atestando-as em face de terceiros e  proporcionando maior comprometimento e segurança.

Dentro deste escopo situa-se a  ENAC - Entidad Nacional de Acreditación, entidade fundada há mais de vinte anos, vinculada  a um ecossistema global de certificação, reconhecido em mais de sessenta países, cuja representante europeia é a entidade denominada EA-European Accreditation que opera na instrumentalização da certificação a nível internacional, como forma de medir competências.   

No Brasil, entidades públicas ou privadas que pretendam instrumentalizar as certificações de sistemas, processo, serviços, produtos ou de pessoas, de forma  vinculada a entes públicos certificatórios,  devem  cumprir não só as  disposições do SBC-Sistema Brasileiro de Certificação que possui como organismo de acreditação Inmetro - Instituto Nacional de  Metrologia, Qualidade e Tecnologia,  como também, às eventuais normas a serem editadas pela  ANPD - Autoridade Nacional de Proteção de Dados,  que possam estar voltadas para a acreditação ou para a   certificação em seus diversos níveis.

As entidades que se habilitarem e se credenciarem para conduzir e conceder a  certificação de conformidade, com base nos princípios e políticas adotados no âmbito do SBC e nos critérios, procedimentos e regulamentos estabelecidos pelo Inmetro (autarquia Federal vinculada ao Ministério da Economia), são designadas por  Organismo de Certificação Credenciado - OCC.

Estes  Organismos de Certificação Credenciados pelo Inmetro, por sua vez, podem fazer acordos de reconhecimento de suas atividades com organismos de outros sistemas estrangeiros, para que suas certificações sejam aceitas mutuamente, desde que haja garantia de que tais certificações sejam realizadas segundo regras equivalentes às utilizadas no SBC. Na área de certificação voluntária, o OCC pode buscar o reconhecimento de entidades estrangeiras similares por meio de convênios, associações e subcontratações.

Todavia, o OCC deve  atender continuamente os requisitos de acreditação estabelecidos pelo Inmetro e é  vedada a  sua participação na atividade de consultoria, de acordo com as normas e guias ABNT ISO/IEC e as recomendações dos foros internacionais, devendo exercer e acompanhar as atividades de certificação de acordo com os princípios e rotinas estabelecidos no âmbito do SBC- Sistema Brasileiro de Certificação.

Qualquer entidade, independentemente de sua origem, pode ser credenciada como organismo de certificação, desde que atenda aos princípios e políticas do SBC e os critérios, regulamentos e procedimentos estabelecidos pelo Inmetro.

Com o advento do Decreto nº. 10.474/2020, os assuntos relacionados à certificação em ambiente de proteção de dados, foram carreados ao Conselho Diretor, a quem compete, entre outras atividades, designar e fiscalizar organismos de certificação para a verificação da permissão para a transferência de dados internacional, como também, definir o conteúdo de cláusulas padrão e verificar, diretamente ou mediante designação de organismo de certificação, a garantia de cláusulas contratuais específicas, normas corporativas globais ou selos, certificados e códigos de conduta para transferência internacional por controlador de dados pessoais.

O Conselho Diretor da ANPD funcionará, também, como revisor dos atos realizados por organismos de certificação, podendo, inclusive,  anulá-los quando forem tomados em descumprimento das disposições da LGPD.

Tanto as certificações institucionais como as acreditações são voluntárias e,  além de um papel  contributivo na informação técnica acerca do objeto da análise, serão ferramentas auxiliares  dos agentes econômicos, quando eventualmente demandados, tanto administrativamente como civil ou  penalmente,  para comprovação de regularidades.

 A exemplo temos o regramento do art. 43 da LGPD que trata da não responsabilização do agente quando este provar que não realizou o tratamento dos dados pessoais que lhe fora atribuído; embora tenha realizado o tratamento de dados pessoais, não violou a legislação de proteção de dados ou, ainda,  que o dano informado, decorreu de culpa exclusiva do titular dos dados ou de terceiros.

Considerando-se, também, o elenco de sanções administrativas previsto no  art. 52 da LGPD,  a ser aplicado pela ANPD que compreende desde simples advertência buscando medidas corretivas, até a imposição de multas de variadas espécies e valores;  bloqueio ou eliminação de dados, além da suspensão parcial do funcionamento do banco de dados, até regularização da atividade infratora, chegando a suspensão total ou proibição desta atividade de tratamento de dados, é fato que a lei prestigia o pleno contraditório   ao mencionar a aplicabilidade de  sanções administrativas, deve ocorrer  somente após um procedimento que possibilite a oportunidade de ampla defesa, de forma gradativa, isolada ou cumulativa, de acordo com as peculiaridades do caso concreto.

Esta regra é objetiva e propugna pela consideração, na aplicação da sanção, dos seguintes  parâmetros e critérios: gravidade e natureza das infrações e   dos direitos pessoais afetados,  boa-fé do infrator,  vantagem auferida ou pretendida pelo infrator,  sua condição econômica,  cooperação, reincidência e grau de dano, além da  adoção de políticas de boas práticas e governança.

A Adoção demonstrada e reiterada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados, na forma da lei e, ainda,  a implantação de medidas corretivas associada a verificação da proporcionalidade entre a gravidade da falta e a intensidade da sanção, são elementos complementares deste critério e  contribuem para demonstrar, em seu conjunto, a clara necessidade e a busca da habitualidade nos procedimentos de certificações institucionais concernentes às  atividades voltadas para o tratamento de dados.

No Brasil, a ANPD, como órgão de regulação responsável por elaborar as diretrizes da Política Nacional de Proteção de Dados Pessoais e da Privacidade,  contribuirá, como mencionado, não só na  fiscalização e edição de  normas disciplinatórias no âmbito da certificação,  apresentando caminhos e rumos para o aprimoramento das entidades certificadoras públicas e privadas, como também, promover as ações cooperadas para a execução destas políticas,  em cumprimento de sua missão estimuladora da adoção de padrões que facilitem o exercício de controle dos titulares sobre os seus dados pessoais.  

Neste contexto, anseia-se pela colaboração indistinta da sociedade,  na construção do ideário protetivo de dados pessoais, com a necessária especialização daqueles que pretendem atuar nesta área, facilitando o acesso às  certificações e  atestados profissionalizantes, assim como nas atividades e ofertas de serviços, produtos e soluções, de forma tal que possa se propiciar a preservação e as esperada proteção no tratamento de dados.

A importância de os agentes adotarem a prática da obtenção das certificações institucionais regulares e perenes, a ponto de  poder se situar o  exato "estado da arte", encontra-se na própria lei a exemplo do que dispõe o art. 44 ao afirmar que o tratamento de dados pessoais será irregular quando deixar de observar a legislação ou quando não fornecer a segurança que o titular dele pode esperar, consideradas as circunstâncias relevantes, entre as quais o modo de realização, os resultados e riscos que razoavelmente dele se esperam e as técnicas de tratamento de dados pessoais disponíveis à época em que foi realizado.

Desta forma, uma instituição que possa certificar e/ou atestar as condições tecnológicas  e o exato momento em que os fatos relacionados aos dados pessoais ocorreram, a partir de uma  verificação criteriosa, lastreada em metodologia apropriada, estará demonstrando o que denominamos de "estado da arte", contribuindo para com o sistema protetivo de dados de forma ativa, além de reduzir incertezas probantes.

E a necessidade de se captar e de se  obter as "fotografias tecnológicas  de época", gerando  segurança na construção da caracterização  deste importante momento captador de um fato e de suas circunstâncias, permeia a LGPD.

O art. 46, a exemplo, que trata de medidas de  segurança e  sigilo de dados no capítulo das  boas práticas,  já efetiva a previsão do que será o futuro ao dispor claramente sobre dois princípios: i) Padrões técnicos Mínimos: A autoridade Nacional poderá dispor sobre padrões técnicos mínimos para tornar aplicável as medidas de segurança disposta, considerados a natureza das informações tratadas, as características especificas do tratamento e o estado atual da tecnologia, especialmente no caso de dados pessoais sensíveis, assim como os princípios previstos no caput do art. 6º da lei  e, ii) privacy by design: Representa o emprego de mecanismos e soluções de privacidade e de  medidas protetivas, que  devem ser observadas desde a fase de concepção do produto,  até a sua execução e colocação no mercado. 

Assim é que as entidades certificadoras institucionais devem se especializar para que possam bem cumprir a parcela informativa da LGPD, registrando, certificando e atestando o que for pertinente às necessidades dos agentes econômicos e aos interesses da comunidade, inclusive acerca do mencionado "estado da arte" para com relação aos  processos, sistemas tecnológicos e aos programas de boas práticas e de governança, levando-se em conta o princípio da atualização periódica contido na regra.

E é desta forma que propugnamos por uma visão aberta e multidisciplinar da certificação institucional em que, as entidades voltadas  a estes objetivos, possam bem entender a importância de também  se habilitarem para certificações pontuais e temporais de temáticas variadas, todas relacionadas aos propósitos protetivos da LGPD, prestando serviço de utilidade pública de excelência e contribuindo para a redução das incertezas e  apaziguação social.

As certificações internas, efetivadas primariamente pelos gestores e agentes de tratamento de dados, incrementadas pelas certificações institucionais,   desenvolvidas  a partir de técnicas e metodologias apropriadas, a nosso ver, se  assemelham  à  verdadeira  arte da certificação, tanto no contexto da percepção da relevância do fato e sensibilidade  na detecção do necessário para gerar a adequação prevista pelo legislador, como no conjunto de atividades humanas coordenadas e sincronizadas,  visando a formação de um processo criativo original,  eis que cada elo deste sistema possui particularidades e sinais  a serem   expressados  como resultado final da certificação, que se harmonizará com o todo, proporcionando  um significado protetivo único, embora diferente.

*Adalberto Simão Filho é professor titular dos programas de mestrado e doutorado em Direitos Coletivos e Cidadania da UNAERP/RP. Obteve os títulos de mestre e de doutor em direito das relações sociais pela PUC/SP e de pós-doutor em Direito e Educação pela Universidade de Coimbra.  Diretor Jurídico do Instituto Avançado de Proteção de Dados - IAPD. É autor de obras temáticas envolvendo o direito da sociedade da informação e a nova empresarialidade.

**Janaina de Souza Cunha Rodrigues é advogada com mais de quinze anos de experiencia em departamentos jurídicos empresariais e escritórios de advocacia, com atuação na área empresarial e tecnológica. Associada fundadora e membro da Comissão permanente de assuntos Jurídicos do Instituto Avançado de Proteção de Dados - IAPD.  Pesquisadora externa em grupo de estudo voltado para o Direito e a Tecnologia. 

__________

1  De Lucca, Newton et  Maciel,Renata Mota. A lei 13.709 de 14 de agosto de 2018: a disciplina normativa que faltava. Direito e Internet IV - Sistema de proteção de dados pessoais. Coordenação: Newton De Lucca, Adalberto Simão Filho.Cintia Rosa Pereira de Lima. Renata Mota Maciel. Quartier Latin: São Paulo, 2019, pag.21.

2 A eficácia da MP 954/2020  que permitia o compartilhamento de dados de usuários de telecomunicações com o Instituto Brasileiro de Geografia e Estatística  (IBGE), durante a pandemia,  foi suspensa nas ADINS 6387  da OAB e 6388 a 6393 de  Partidos Políticos.

3 Coelho,Fabio Ulhoa et Lotufo, Mirelle Bittencourt. A lei geral de proteção aos dados pessoais e as investigações internas das empresas. Direito e Internet IV - Sistema de proteção de dados pessoais. Coordenação: Newton De Lucca, Adalberto Simão Filho.Cintia Rosa Pereira de Lima. Renata Mota Maciel. Quartier Latin: São Paulo, 2019, pag.225 a 233.

4 Lima,Cintia Rosa Pereira de et Peroli, Kelvin. A aplicação da lei geral de proteção de dados do Brasil no tempo e no espaço. Comentários a lei geral de proteção de dados. Coordenação:Cintia Rosa Pereira de Lima. Editora Almedina: São Paulo, 2020,pág. 69.

5 Simão Filho, Adalberto. Regime jurídico do banco de dados- Função econômica e reflexos na monetização. Direito e Internet IV - Sistema de proteção de dados pessoais. Coordenação: Newton De Lucca, Adalberto Simão Filho.Cintia Rosa Pereira de Lima. Renata Mota Maciel. Quartier latin: São Paulo, 2019, pags.167- 189.

6 Gayo.Miguel Recio. El estatuto jurídico del data protection officer. Wolters Kluwer España:Madrid, 2019, pág. 224.