LGPD e compliance: o encarregado de dados e o canal de denúncias nas organizações da sociedade civil

A lei 13.709/18, mais conhecida como Lei Geral de Proteção de Dados Pessoais ("LGPD"), entrou em vigor em agosto de 2020 e desde então tem sido amplamente debatida nas empresas, órgãos públicos e organizações da sociedade civil (OSC). Os impactos da LGPD nas OSC são vários e recaem na gestão de dados pessoais contidos, por exemplo, em cadastros, mailings, sítios eletrônicos, relatórios e pesquisas, além daqueles obtidos em atuação junto aos usuários.

Por esta razão, é muito importante que as organizações conheçam detalhadamente os fluxos de dados e os tratamentos que realizam. Isto é, que gerenciem e registrem o trajeto das informações que coletam, do momento que estas adentram suas estruturas até o descarte e tenham clareza da base legal que utilizam para cada tratamento. Para tanto, é necessário que sejam sistematizadas e adotadas diretrizes claras em relação a forma de gerir esses fluxos de dados.  

Para cuidar do tema, há necessidade de adoção pela entidade de um ponto focal imprescindível cuja lei chama de encarregado de proteção de dados. É o ponto de contato entre os titulares de dados e a entidade, além de ser o responsável por monitorar e garantir o funcionamento da estrutura de governança de dados da LGPD.

Por hora, não há exceção. Todos precisam nomear. Mas vale dizer que é possível que, no futuro, a Autoridade Nacional de Proteção de Dados (ANPD) estabeleça normas complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados, de acordo com o expresso no artigo 41 da LGPD.

De toda forma, independente da proporcionalidade que lei induz, importante refletir sobre as funções dessa figura na governança interna das organizações. Sua existência tem por intuito viabilizar o exercício de direitos por parte dos titulares - como aceitar reclamações e comunicações, prestar esclarecimentos e adotar providências como exclusão e alteração de dados - e garantir a legitimidade do tratamento dos dados pessoais em poder da organização ao receber comunicações da ANPD, além de orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais.  

Paralelamente à LGPD, no âmbito do terceiro setor, têm sido cada vez mais importante o debate relativo à lei 12.846/13, conhecida como Lei Anticorrupção, que trata da probidade da conduta empresarial e impacta também o campo da sociedade civil organizada.

Esta Lei busca promover uma cultura organizacional que estimula a conduta ética e o compromisso de cumprimento das leis ao alterar o paradigma de responsabilização, da subjetividade para a objetividade. Nesse sentido, Lei Anticorrupção dispõe de medidas necessárias que devem ser tomadas pelas pessoas jurídicas no sentido de se acautelarem contra os atos ilícitos nela previstos.

Entre elas, destaca-se a existência de um Programa de Compliance efetivo com canal de denúncias ativo como parâmetro para diminuição da pena de pessoa jurídica questionada por eventual ato de seus funcionários ou prepostos. Neste sentido, as duas leis se aproximam bastante. A LGPD também prevê a necessidade de respeito ao princípio da prestação de contas que enseja  a criação de mecanismos eficientes e aptos a demonstrar a preocupação do agente de tratamento de dados com a adoção de patamares seguros e legítimos para tratar os dados em seu poder. A adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados, a adoção de política de boas práticas e governança, e a pronta adoção de medidas corretivas são também parâmetros a serem levados em consideração na definição na sanção.

Frise-se que, no geral, não é uma obrigação legal para as organizações da sociedade civil ter um Programa de Compliance, mas pode haver alguma lei ou decreto específico em cada ente federado que exija previamente a contratualização com a Administração Pública, como é o caso do Distrito Federal. Porém, como as penalizações da Lei Anticorrupções são severas, que vão desde multas a perda de bens, suspensão ou interdição das atividades e até mesmo a dissolução compulsória da pessoa jurídica, após um devido processo legal, tem se tornado cada vez mais comum, como prática preventiva, a adoção de Programas de Compliance aderentes à realidade de cada organização. Da mesma forma, a LGPD não prevê a necessidade expressa da criação de Políticas de Privacidade ou de realização de um mapeamento de dados, mas a criação de uma estrutura de governança de dados é apontada como um dos parâmetros para a aplicação de sanções mais brandas em caso de violação à lei.

A formalização de boas práticas de transparência, ética e integridade também têm sido cada vez mais exigida por financiadores privados como forma de mitigação de riscos decorrentes das relações jurídicas, principalmente riscos reputacionais, o que torna a sua presença também um diferencial no processo de mobilização de recursos.     

Portanto, estruturar um bom Programa de Compliance, que trate de questões éticas e de conduta, e que ao mesmo tempo considere a LGPD entre outras Leis que incidem sobre o campo, de forma customizada, a partir do mapeamento de riscos e de contribuições pela escuta ativa de integrantes e da alta gestão, é extremamente relevante para apoiar a administração das organizações da sociedade civil.

Com um Programa de Compliance implementado, que respeite e enderece os temas da LGPD, as organizações têm acesso a ferramentas adicionais de gestão como regras para lidar com conflito de interesses, manifestações em redes sociais, respeito à diversidade, compras e contratações, entre outras, o que garante mais clareza para conduzirem temas sensíveis e para reagirem nas hipóteses concretas que venham a existir, instituindo controles e práticas relevantes. São ferramentas que permitem às organizações atuarem preventivamente, mitigando riscos e adotando medidas cabíveis quando situações que requerem um posicionamento institucional, ocorrerem.

Devido às inovações trazidas por essas duas leis, , em nossos estudos e práticas com o terceiro setor, temos sugerido sobre mecanismos para a implementação tanto do encarregado de proteção de dados da LGPD, quanto do canal de denúncias da Lei Anticorrupção, a criação de um Comitê de Ética e Dados como uma instância de governança que alia as duas leis, nos termos da legislação vigente. É uma solução interessante que integra a governança das entidades e concilia o desenvolvimento de boas práticas de compliance com a necessidade de indicação, por parte dos agentes de tratamento de dados, de uma pessoa que seja a/o encarregada/o de proteção de dados pessoais da organização.

A instância que propomos deve ter como atribuições possíveis zelar pela implementação e monitoramento do Programa de Compliance e da Política de Proteção de Dados; receber e apurar eventuais denúncias referentes a condutas praticadas por integrantes da organização e/ou terceiros, garantindo o direito à ampla defesa e ao contraditório e sugerindo as medidas disciplinares aplicáveis ao caso concreto; receber e responder demandas de titulares de dados; observar a efetividade das diretrizes emanadas, propondo ajustes e revisões caso entenda necessário; averiguar a necessidade de realização de treinamentos direcionados às(aos) Integrantes da organização, contendo orientações sobre a legislação e a discussão de casos concretos que propiciem reflexão sobre como lidar com situações na prática; além de exercer, em conjunto, o encargo de responsável pela proteção de dados da instituição, tendo sob sua coordenação as atribuições previstas no artigo 41 da LGPD e eventuais futuras diretivas emitidas pela ANPD.

O Comitê de Ética e Dados pode, ademais de ter suas atribuições descritas com funções específicas entre seus membros, promover reflexões conjuntas de forma colegiada e estratégica, podendo essa previsão ser feita inclusive por alteração estatutária, além da sua aposição em política específica. Este caminho, se adotado, não apenas cumpre a obrigação legal de apontar um encarregado de proteção de dados, como também a boa prática de ter um "compliance officer", reunindo diferentes perfis em mais um relevante órgão de governança da organização da sociedade civil.

Para que não pairem dúvidas sobre a subsunção do fato à norma em vigor, dentro do Comitê é importante destacar a atribuição formal do cargo de encarregado de proteção de dados. Este colegiado poderá ser composto por pessoas de áreas diversas e, dentre elas, ser eleito ou designado um dos integrantes para exercer as atribuições do cargo de encarregado, compartilhando com os demais as decisões, formulações e encaminhamentos. Esta opção aponta formalmente uma pessoa como encarregado e forma um comitê com atribuições de proteção de dados que, coletivamente, apoia a pessoa no exercício de suas funções e na tomada de decisão. Não apenas viabiliza a tomada de decisão em formato coletivo e multidisciplinar, mas também não desafia a interpretação de que essa atribuição deve estar a cargo de um indivíduo, numa hermenêutica mais estrita da lei.

Alternativamente, pode-se criar um órgão encarregado de proteção de dados, como foi feito, por exemplo, pela Defensoria Pública de São Paulo, ainda que sem a designação específica de uma pessoa encarregada, podendo esta ser atribuição do colegiado inteiro que assume as responsabilidades de tomar decisões para guiar a organização em direção à conformidade com a LGPD.

Já é sabido que, ao a LGPD dizer que o encarregado é uma "pessoa", a lei não se refere especificamente a uma pessoa jurídica ou natural. É possível contratar uma empresa ou escritório de advocacia, com profissionais especialistas no assunto, que podem realizar as funções de encarregado de proteção de dados ("DPO as a service"), conforme previsto recentemente pela ANPD no "Guia orientativo para definições dos agentes de tratamento de dados pessoais e do encarregado". Esta também é uma opção para as organizações que queiram contar com apoio externo.

Independentemente do formato escolhido de nomear uma pessoa física, contratar uma empresa ou escritório de advocacia como um "DPO as a service", constituir um comitê para tratar das questões de proteção de dados ou unir as competências com um comitê que também trate dos temas de integridade, "a identidade e as informações de contato do encarregado deverão ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no sítio eletrônico do controlador".

Ademais, é importante que esta nova peça fundamental da engrenagem da governança seja associada a um processo interno de planejamento, implementação e monitoramento da aplicação das leis correspondentes na organização - LGPD e a Lei Anticorrupção. Otimizar os recursos existentes e tratar esses processos novos de compliance e proteção de dados maneira conjunta e coletiva nos parece uma medida interessante e racional para organizações da sociedade civil. Tem apoiado a melhoria dos processos internos, das respostas externas e da confiança dos financiadores que apoiam seu trabalho.  

Seguir os caminhos da legislação vigente e da ética é esperado de todas as organizações da sociedade civil. Devem ter transparência e obter resultados a partir de uma gestão ativa que zele pelos fluxos e processos da organização como um todo. Merece especial atenção para terem respostas mais claras e imediatas sobre situações vindouras aquelas que são mais politicamente expostas. Em tempos difíceis, principalmente para quem atua de maneira crítica na esfera pública, proteger sua "casa" e mantê-la em ordem é fundamental. A conformidade legal é uma reposta concreta que a gestão das organizações da sociedade civil pode ofertar.