Programas de compliance e a nova lei geral de proteção de dados
A lei geral de proteção de dados, sem sombra de dúvidas, representará uma evolução e uma revolução em diferentes setores, público e privado, entre empregadores e empregados e na forma de conduzir negócios dentro e fora do país.
quinta-feira, 6 de setembro de 2018
Atualizado em 24 de setembro de 2019 15:06
Com o advento da lei 13.709/18, a chamada lei geral de proteção de dados, o Brasil se insere no contexto global de legislação de proteção de dados, alinhando-se com os principais regulamentos do mundo neste tema (principalmente com a recente legislação europeia) e representando verdadeiro marco que certamente viabilizará negócios tanto nacionais como internacionais.
Muito embora a legislação brasileira, de maneira esparsa, já concedesse determinado tratamento para a proteção de dados, como por exemplo, pelo código de defesa do consumidor, o código civil, o marco civil da internet (que fora alterado também pela novel legislação), dentre outras, ter uma lei específica é de suma importância para garantir a transparência e medidas protetivas necessárias de forma a apoiar-se nos demais regulamentos existentes apenas de maneira complementar, em verdadeiro diálogo de fontes, e não mais como um quebra-cabeça ou combinado de diferentes legislações para a solução de um tema.
De maneira geral, a lei geral de proteção de dados destina-se a dar efetividade a uma série de direitos fundamentais da pessoa humana tais como a liberdade, a privacidade, seu desenvolvimento pessoal, pela proteção de seus dados quando os mesmos são disponibilizados a um terceiro (seja pessoa física ou jurídica) que tratará esta informação, seja dentro ou fora do Brasil se os dados forem aqui coletados ou em razão de atividades que perpassem ou se destinem ao território brasileiro. A base de tal proteção está no poder de consentimento de cada pessoa, que decidirá sobre o tratamento de suas informações de acordo com a sua livre vontade, além de amplo acesso a transparência sobre o que é feito com seus dados. Não há mais espaço para que dados sejam tratados à revelia de seu titular.
Eventual descumprimento da lei, ou em outras palavras, o tratamento irregular de dados pessoais acarretará diversas consequências, variando desde multas que podem atingir a cifra de R$ 50 milhões de reais até mesmo a suspensão de atividades de tratamento de dados, além, claro, de trazer severos danos à imagem da empresa em nível global. Considerando estes tipos de impacto, tal marco regulatório certamente agitará a rotina das equipes de compliance das empresas em vistas a coibir ditas sanções, além de adequar processos e procedimentos internos.
Por mais que a lei geral de proteção de dados entre vigor somente em dezoito meses de sua publicação, o que ocorreu no dia 14 de agosto de 2018, aos times de compliance compete, desde já, planejar as estruturas e procedimentos internos adequados, tais como controles, treinamentos, aconselhamentos e até mesmo cargos específicos e responsáveis pelo tratamento de dados, evitando assim surpresas para quando a lei efetivamente passar a vigorar.
De acordo com o texto atual da lei geral de proteção de dados, as empresas, dentre outras medidas, deverão indicar um encarregado para que seja o elo de comunicação entre a empresa e o órgão da administração pública responsável por fiscalizar o cumprimento da lei, receber e processar reclamações além de prover o adequado treinamento dos colaboradores da empresa sobre proteção de dados. O escopo de atuação deste cargo de encarregado, a sensibilidade e impacto que pode trazer para os negócios, faz com que tal área tenha profunda sinergia com o compliance sendo até mesmo uma relação de interdependência.
Isto porque, dentre os pilares do programa de compliance (e seu respectivo escopo) está na atuação preventiva, processamento de informações sensíveis, treinamento dos colaboradores com o fim de monitorar, prevenir e coibir o descumprimento da legislação promovendo um ambiente sustentável e ético. São estes pontos, aliados com os próprios princípios na nova legislação que fazem da mesma, um tema de compliance.
Por mais que a lei, em seu texto originalmente publicado, tenha contido vetos da presidência da república sobre qual autoridade governamental será responsável pela fiscalização da lei, o que traz certa instabilidade sobre que entidade poderá ou não aplicar sanções às empresas, tal fato não deve ser considerado como impeditivo para a elaboração de estruturas para o cumprimento da lei.
É de se notar que, muito embora haja uma demanda legislativa para indicar quem será a entidade governamental responsável pela fiscalização e cumprimento da lei, todas as demais disposições são independentes e não devem sofrer alterações. Sendo assim, é esperado que eventual projeto de lei que crie o órgão governamental competente tenha efeitos dentro do próprio prazo de adaptação da lei geral de proteção de dados, ou se posterior, com efeitos imediatos não desobrigando as empresas de seu cumprimento.
A lei geral de proteção de dados, sem sombra de dúvidas, representará uma evolução e uma revolução em diferentes setores, público e privado, entre empregadores e empregados e na forma de conduzir negócios dentro e fora do país. Diversas ainda serão as questões sobre esta lei e os times de compliance devem estar preparados.
__________
*Paulo Henrique Gomiero é advogado em SP.