A Lei Geral de Proteção de Dados (LGPD) e o compliance

O dia internacional da proteção de dados é comemorado anualmente em 28 de janeiro. Este é um tema de grande importância porque afeta a vida do cidadão, especialmente com a onipresença da internet, ambiente no qual a coleta e o processamento de dados torna-se cada vez maior e mais comum. Assim como os eventuais "vazamentos" de dados, que geram insegurança sobre a maneira como as empresas e órgãos públicos tratam os dados por eles colhidos.

Levando isso em conta, vários países começaram a criar legislações específicas para proteção dos seus cidadãos. Até o ano de 2018, os dados pessoais não estavam solidamente protegidos pela legislação brasileira. Eram regidos apenas por leis esparsas, muito restritas ou genéricas.

Foi somente com o Marco Civil da Internet (lei 12.965/14) que o assunto ganhou maior atenção. Essa legislação prevê a proteção de dados pessoais como um de seus princípios no art. 3º, inciso III, mas também não entrava em detalhes a respeito do assunto. Vale lembrar que o CDC (lei 8.078/90) previa regras específicas sobre bancos de dados de consumidores em seus arts. 43 e 44, mas não conferia ampla proteção aos dados pessoais.

Devido à notória insuficiência dessas disposições legais, o ônus da construção de um sistema de proteção de dados pessoais no Brasil recaiu durante vários anos sobre a doutrina jurídica. Tais esforços levaram a um projeto de lei que foi discutido por um longo tempo, resultando na lei 13.079/18, LGPD.

A nova lei passou a reconhecer o direito específico à proteção de dados pessoais. Em seu art. 5.º, inciso I, define dados pessoais como dados relativos à pessoa física identificada ou identificável. A limitação da proteção aos dados relativos à pessoa física confirma a estreita conexão entre proteção de dados, privacidade e dignidade humana, preconizada pela doutrina jurídica brasileira.

A LGPD prevê uma proteção especial aos chamados dados sensíveis, ou seja, informações relacionadas aos aspectos mais íntimos da pessoa, definidas por lei como dados pessoais relativos a origem racial ou étnica, crenças religiosas, opiniões políticas, filiação a sindicatos ou organizações religiosas, filosóficas e políticas, dados relativos à saúde ou à vida sexual e dados genéticos ou biométricos, quando relativos à pessoa física, nos termos do art. 5.º, inciso II. A lei condiciona o tratamento destes dados a um consentimento específico e sublinhado do titular, vinculado a finalidades específicas, conforme observa o art. 11.

A proteção de dados pessoais tem seu escopo definido no art. 3º da LGPD, que assegura a proteção contra qualquer operação de tratamento realizada por pessoa física ou jurídica de direito público ou privado, independentemente do meio, no país de sua sede ou no país onde os dados estão localizados. Os entes públicos também possuem uma legislação específica aplicável a respeito do acesso público à informação (como vista, a lei 12.527/11), que fornece diretrizes para o armazenamento de dados pelos entes da Administração Pública. A lei Federal 12.527/11 não exclui as entidades públicas de seguir a LGPD: ambas as leis são aplicáveis.

Portanto, faz-se necessária cada vez mais uma preocupação com o compliance de dados. Nesse sentido, a LGPD estabelece que o titular dos dados deve ser informado sobre qualquer incidente de segurança que possa causar risco ou dano relevante aos titulares de dados pessoais e à autoridade nacional. A lei determina que a notificação deve ser feita em tempo razoável e deve conter detalhes sobre o incidente, por exemplo, a natureza dos dados afetados, riscos relacionados à violação, medidas de segurança adotadas para proteger os dados, entre outros, nos termos do art. 48.

Além disso, a legislação atribui um papel relevante às autoridades de supervisão em casos de falha de segurança. Cabe ao conselho fiscal verificar a gravidade do incidente, garantir os direitos do titular e determinar as medidas para mitigar os danos, em conformidade ao art. 48, §2.º.

No que diz respeito à lei aplicável à responsabilidade por danos, é claro que se os danos são causados no Brasil então se aplica a legislação brasileira. A legislação brasileira, entretanto, não esclarece onde os danos serão considerados causados em caso de processamento ilegal de dados pessoais envolvendo sistemas localizados em jurisdições diferentes. Os tribunais costumam aplicar a lei brasileira nesses casos sempre que a vítima estiver morando no Brasil no momento em que o dano é causado.

Empresas e órgãos públicos devem tomar medidas para cumprir os regulamentos de privacidade de dados com base na LGPD, uma vez que a lei já está em vigor em sua plenitude. Inclusive a Agência de Proteção de Dados já está formada e pode começar a autuar os veículos societários através das sanções da referida lei.

Dessa forma, acredita-se na associação entre o compliance e a LGPD, buscando-se a proteção dos usuários contra o uso disfuncional de seus dados ou informações. A Lei, como visto, garante poder para fiscalização e controle de informações pessoais, devendo, as empresas e instituições, promoverem atualizações em seus códigos de condutas, dentro da esfera de autorregulação, adaptando seus procedimentos internos às exigências legais que visam à proteção de dados e à segurança da informação. Nesse cenário, cumpre à relação entre Estado e iniciativa privada o desenvolvimento de estratégias voltadas à gestão da divulgação e compartilhamento de informações de seus colaboradores e usuários.

Internamente, caberá aos departamentos de compliance promoverem regulamentos e políticas de conformidade, bem como a retenção de informações, observada a capacidade da instituição de realizar seu objeto social sem problemas de segurança e de governança, atendidos os requisitos legais. A criptografia, dentre outros métodos, é um mecanismo de controle e governança da iniciativa privada, no contexto virtual de coleta e tratamento de dados, observada a necessidade de auditagem em face do risco de espoliação.

A vigência da LGPD, aliado as boas práticas de compliance podem proteger tanto usuários quanto empresas de prejuízos que vão da imagem até o bloqueio no tratamento de dados, além de multas. Nesse sentido, dentro do espectro de governança corporativa, gerenciamento de riscos e compliance, a responsabilidade das empresas é estimulada pela LGPD e pelo compliance, surtindo efeitos positivos para toda a sociedade.