O compliance digital nas empresas
A aplicabilidade da LGPD e o Poder sancionatório da ANPD
quarta-feira, 8 de fevereiro de 2023
Atualizado às 09:30
As empresas globais vêm sofrendo alterações nas suas metodologias de crescimento sinérgico com o advento de medidas regulatórias de órgãos competentes, que asseguram o compliance diante o consumidor final e/ou titulares de dados pessoais. Assim as entidades privadas reduzem os riscos, atuando com boas práticas de governança e risk assessment nas suas parcerias comerciais, aduzindo ao mercado a prática de um sistema corporativo de controles, como auditorias internas às áreas de alta vulnerabilidade, gerando um ecossistema de conscientização harmônica e sinestésica entre os colaboradores em prol da ética empresarial e profissional.
O compliance as medidas anticorrupção originárias do direito comparado americano, são princípios propedêuticos vinculados principalmente após a lei 12.846/13, que tem como finalidade a mitigação das práticas indecorosas vindas dos setores industriais, tanto privados, quanto públicos. Além do mais, a própria lei tornou-se legítima instrumentalizações do direito italiano para o ordenamento pátrio, como o caso da colaboração premiada entre o infrator perante o Ministério Público Federal, que se trata de acordo previamente celebrado entre as partes, que o poder de Estado negocia com os infratores de forma autônoma. Desta forma, mitigará as devidas punições caso a colaboração seja de valia para a Res Publica, consequentemente, o Estado perde a eficácia de punir o infrator. Assim, socialmente pela hermenêutica jurídica, pode ser considerado como forma de criação de uma certa impunidade social.
Destarte, a comprovação de políticas, treinamentos e normas internas sobre métodos eficazes de compliance digital, como a adequação das empresas à lei Geral de Proteção de Dados, assegurando que os dados pessoais dos titulares, que normalmente são os consumidores de um determinado produto ou serviço, estão sendo tratados em plataformas criptografadas e monitoradas com as melhores práticas de segurança da informação. E ainda deve-se estipular as devidas bases legais, respeitando a finalidade do processamento desses dados pessoais durante um determinado intervalo de tempo desde a coleta. Dessa maneira, as empresas particulares e públicas estarão em conformidade com as orientações aduzidas pelas entidades fiscalizadoras, evitando quaisquer indícios de penalizações por descumprimento da lei.
Compliance Digital:
A Era Digital e o direito à privacidade, como forma de tutela dos direitos difusos, desde a positivação na Constituição Federal de 1988, é uma prática de proteção da personalidade do indivíduo como ser, que tem como principal objetivo resguardar a sua individualidade perante a sociedade, protegendo a sua dignidade da pessoa humana.
A origem da etimologia da palavra "privacidade" no âmbito jurídico advém do princípio estadunidense, "right do privacy", que é o direito de ficar sozinho e permanecer dessa forma, um direito potestativo e subjetivo a existência do indivíduo. Contudo, nota-se que tal embasamento jurídico não é uno e objetivo, deve ser relativizado pelo Estado em casos excepcionais que relevante interesse público.
Percebe-se que há uma diferenciação entre o direito à intimidade e o direito à vida privada, como asseverava o jurista italiano Adriano De Cupis, que denominada como "diritti del riservatezza è il segretezza". Portanto, o direito à intimidade é assegurado para todos que detém plenitude de usufruir dos seus direitos personalíssimos sem descriminações de terceiros.
Lei Geral de Proteção de Dados e suas nuances no Mercado:
A lei Geral de Proteção de Dados ("LGPD"), lei 13.709/18 que dispõe sobre a proteção e privacidade de dados pessoais, é um marco histórico para o Brasil, já que as entidades nacionais modificaram suas realidades para se adequar ao mundo globalizado, conectado na rede cibernética, com alta rotatividade de transferência de dados pessoais. A LGPD foi inspirada nas diretrizes legais positivadas na Europa com a GDPR e algumas orientações da Comissão Europeia.
Resumidamente a lei fomenta mecanismos essenciais para criar maior segurança jurídica no tratamento dos dados pessoais na ótica empresarial, limitando as responsabilidades civis dos agentes de tratamento, denominados de Controlador ("Controller") e Operador ("Processor") no caso de incidentes de cibersegurança ("Data Breach"), fiscalização e auditoria perante o tratamento dos dados pessoais, adequação dos contratos de parceria da empresa com cláusulas prevendo o fluxo de dados pessoais estipulado para a prestação do serviço, cumprimento de requisições de direito dos titulares de dados e/ou consumidores finais, elaboração do mapeamento de dados pessoais ("Data Mapping"), Risk Assessment da transferência dos dados pessoais internacionalmente e/ou nacionalmente, indicação das devidas bases legais para o processamento dos dados pessoais, realização de testes de legitimo interesse, entre outras medidas de adequação/compliance à lei.
Nota-se que o poder beligerante teve como intuito primordial a tutela das manifestações de interesse dos indivíduos, titulares de dados pessoais, sob as empresas, que poderão requerer seus direitos a qualquer momento. Por sua vez, o Controlador deve, por obrigação legal, cumprir a requisição imediatamente, ex vis legis:
Art. 18. O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição:
- confirmação da existência de tratamento;
- acesso aos dados;
- correção de dados incompletos, inexatos ou desatualizados;
- anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta lei;
- portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial;
- eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 desta lei;
- informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;
- informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
- revogação do consentimento, nos termos do § 5º do art. 8º desta lei.
Os direitos dos titulares supracitados no artigo 18 da lei 13.709/18, que teve vigência a partir de 2020, são: (I) confirmação da existência de tratamento; (II) acesso aos dados; (III)correção de dados pessoais; (IV) anonimização, bloqueio ou eliminação de dados desnecessários; (V) portabilidade dos dados (VI) eliminação dos dados pessoais tratados com o consentimento; (VII) informação das entidades públicas e privadas com as quais o Controlador realizou uso compartilhado de dados; (VIII) informação sobre a possibilidade de não fornecer consentimento e sobre consequências da negativa, (IX) revogação do consentimento.
Diante tais direitos, o titular de dados pessoais estará assegurado que as empresas, independentemente da sua natureza jurídica, estarão processando seus dados pessoais em conformidade com as boas práticas do mercado, e não haverá tratamento de dados pessoais indevidos, já que serão sujeitas a fiscalização da Autoridade Nacional de Proteção de Dados ("ANPD"), podendo apresentar multas sancionatórias para as empresas que realizarem qualquer tratamento sem base legal, como veremos mais adiante.
Mas quais são as bases legais na ótica da LGPD? Primeiramente deve entender que base legal é o amparo jurídico que gera uma linha argumentativa propedêutica para o tratamento dos dados pessoais no caso de prequestionamento oriundo de órgão regulador. No mais, as bases legais estão previstas no artigo 7º da lei Geral de Proteção de Dados, que são elas: (I) consentimento pelo titular; (II) cumprimento de obrigação legal ou regulatória pelo controlador; (III) execução de políticas públicas; (III) realização de estudos por órgão de pesquisa; (IV) execução de contrato, (V) exercício regular de direitos em processo judicial, administrativo ou arbitral; (VI) proteção da vida; (VII) tutela da saúde; (VIII) atender aos interesses legítimos do controlador, (IX) proteção do crédito.
Logo, as empresas poderão realizar o tratamento dos dados pessoais dos titulares se tiverem estipuladas claramente as bases legais para o processamento de dados, isto é, devem legalmente estabelecer previamente as bases legais para a prestação do serviço que esteja determinada no escopo contratual das partes. Assim, mesmo que ocorra uma requisição de direito de titular, dependendo da base legal que estiver prevista no Data Mapping da empresa, o Controlador não terá a obrigação de cumprir tal requisição. Por exemplo, no caso de requisição de titular cujo o direito seja a eliminação dos dados pessoais localizados no host e/ou cloud do prestador de serviço, que será o Controlador nesse caso. Entretanto, o Controlador mantém aqueles dados pessoais armazenados para cumprimento de uma obrigação regulatória diante a Receita Federal, portanto o Controlador deve informar o titular para qual finalidade os dados pessoais estão sendo armazenados mesmo sem o consentimento do titular de dados. Assim, nota-se que quanto mais bases legais o Controlador possuir para tratamento de determinados dados pessoais coletados haverá mais embasamento para permanecer realizando o processamento dessas informações das pessoas físicas.
Tratamento de dados pessoais:
A lei Geral de Proteção de Dados aduz certos certames sobre o tratamento dos dados pessoais de forma devida, previsto no artigo 5º, X da lei 13.709/18, que descreve como uma operação de uma empresa deve ser realizada referente o fluxo de dados pessoais, ex vis legis:
"Art. 5º Para os fins desta lei, considera-se:
(...)
X - Tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração."
Dessa forma, o tratamento de dados para ser legítimo, deve respeitar certos princípios, sendo eles: (I) finalidade, (II) adequação, (III) necessidade, (IV) livre acesso, (V) qualidade dos dados, (VI) transparência, (VII) Segurança, (VIII) prevenção, (IX) não discriminação, (X) responsabilização e (XI) prestação de contas
Assim, a finalidade, adequação e necessidade real do uso dos dados pessoais para uma prestação de serviço tem como objetivo limitar o uso dos dados, portanto o tratamento apenas ocorrerá com os que realmente são necessários para a prestação dos serviços, sem a coleta desses dados não há outra forma de cumprir com a obrigação junto ao titular de dados.
Agora os princípios de livre acesso, qualidade dos dados pessoais compartilhados e a transparência funcionam como uma garantia ao titular que ele poderá ter acesso integralmente aos seus dados pessoais.
Há diversas formas de assegurar os dados pessoais, como por exemplo, as empresas devem adotar medidas de segurança, como adequação da ISO 27001, firewalls, treinamentos sobre malware para seus colaboradores, principalmente referente a phishing, conscientização dos colaboradores sobre Privacy by Design, criação de avaliação de risco e mapeamento de nível de criticidade do uso dos dados pessoais por área corporativa, entre outras medidas.
A definição legal dos dados pessoais e dados pessoais sensíveis conforme a LGPD:
Com influência do ordenamento sobre privacidade europeia, a famosa General Data Protection Regulation ("GDPR"), o artigo 5º, I da LGPD assevera sobre a definição de dados pessoais, sendo uma informação relacionada a pessoa natural identificada ou identificável, ou seja, dados pessoais são caracteres personalíssimos dos indivíduos.
Conforme o Professor Dr. Danilo Doneda, as informações pessoais são aquelas que:
"Vinculada a uma pessoa, revelando ou podendo revelar algum aspecto objetivo desta"
Por conta disso, dados pessoais são micro informações dos indivíduos, que podem revelar informações subjetivas deles, como hábitos, costumes, culturas, entre outras especificidades, que podem, caso aglutinadas a outras informações, até ser consideradas como dados sensíveis, que geram discriminações.
Por assim dizer, os dados sensíveis, conforme previsão taxativa no artigo 5º, II da LGPD, são dados referente a (I) origem racial ou étnica, (II) convicção religiosa, (III) opinião política, (IV) filiação a sindicato, a organização de caráter religioso, filosófico ou político, (VI) dados referente à saúde ou à vida sexual, (VII) dados genéticos ou biométricos, quando vinculado a uma pessoa natural. Portanto, são as informações intrínsecas aos indivíduos que podem gerar certas discriminações perante a sociedade.
No mais, os dados pessoais, inclui-se dados sensíveis, podem sofrer anonimizações para realização do processamento dessas informações. Anonimização é uma técnica de segurança da informação para o tratamento dos dados, alterando informações bases que possam identificar o titular de dados. Assim sendo uma forma de evitar violações de cibersegurança corporativa numa empresa.
A finalidade da Autoridade Nacional de Proteção de Dados e seu poder sancionatório conforme a LGPD
A Autoridade Nacional de Proteção de Dados ("ANPD") é uma autarquia de natureza especial criada com a finalidade de fiscalizar o cumprimento das empresas referente a Lei Geral de Proteção de dados e o funcionamento do processamento de dados pessoais vigente, com poder discricionário de sancioná-las em caso de inadequação à lei.
A composição da ANPD está prevista no artigo 55-C da LGPD.
O órgão competente por assunto de Privacidade e Proteção de Dados no Brasil é responsável por elaborar orientações e diretrizes para regulamentar o funcionamento do tratamento de dados pessoais. Além de fiscalizar as empresas por uso indevido e descumprimento de alguma obrigação legal, como não atendimento de requisição de titular de dados imediatamente.
Por fim, caso a empresa seja penalizada pela Autoridade Nacional, as sanções podem variar entre: (I) advertência simples, com multa de 2% do valor do faturamento da empresa ou grupo econômico no último exercício, (II) bloqueio ou exclusão dos dados envolvidos na ocorrência e (III) suspensão ou proibição do acesso ao tratamento de dados pessoais, conforme artigo 52 da lei Geral de Proteção de Dados.
LGPD na prática nas empresas
O ambiente corporativo das empresas que estão na jurisdição da LGPD, ou seja, em todo território nacional, estão adaptadas a essa nova realidade globalizada, veem com o decorrer dos anos criando métodos de boa governança para estarem em compliance com diretrizes aduzidas na LGPD, como a contratação interna de profissionais especializados em Programa de compliance digital com foco em adequação à LGPD.
As empresas devem realizar certas alterações estruturais, com a criação de treinamentos de segurança da informação e Privacy By Design, que evitarão o uso indevido dos colaboradores de dados pessoais não necessários para seus respectivos trabalhos, mas para isso deve-se entender o nível de maturidade que a empresa detém com relação à privacidade e proteção de dados com relação ao mercado.
Na sequência, caso não exista, a empresa deverá investir na elaboração do Data Mapping, que consiste num relatório detalhado com as informações de fluxo de dados pessoais que acontece na empresa como um todo. Desta forma, o profissional de privacidade poderá entender a realidade da empresa e aconselhar diretrizes estratégicas para mitigar essa vulnerabilidade constatada, que certamente seria verificada em auditoria externa pela Autoridade Nacional. No mais, a empresa seguirá com a indicação das bases legais que cada fluxo de dados pessoais deve considerar, legitimando assim o uso dos dados pessoais dos titulares.
Importantíssimo, caso exista transferência internacional de dados pessoais, a empresa deve buscar o entendimento para quais localidades esses dados deverão ser compartilhados fora do território nacional, tendo a sensibilidade de verificar se os países envolvidos detêm o mesmo grau de cibersegurança que o Brasil ou até são considerados mais seguros. Portanto, deve ser realizado análise de riscos diante tal transferência.
No tocante aos fornecedores e parceiros comerciais da empresa, atentar-se-á com a atualização contratual mediante uso de anexo de privacidade que estipule a limitação da responsabilidade civil dos agentes de tratamento de dados pessoais, cláusula sobre auditoria do Controlador sob o Operador, entre outras questões.
Por fim, as empresas só têm a ganhar com a LGPD na prática, além de ficarem mais seguras, aumentando assim a confiabilidade do mercado nos seus serviços prestados, aumentará a credibilidade diante os clientes, crescendo assim a probabilidade de prospectar novos clientes cada vez mais. Percebe-se que estar em compliance com as diretrizes na era digital é um ótimo negócio para as empresas.