Por Gabriel Fortes* – Em vigor desde 2020, a Lei Geral de Proteção de Dados (LGPD) criou uma constelação bastante complexa de regras, estabelecendo uma série de normas “ásperas” sobre como as empresas devem lidar com informações de pessoas, sejam clientes, colaboradores, acionistas, parceiros, leads, etc.
Desde então, tem se falado muito no mercado sobre “compliance de dados”, uma ideia-prática de implementar políticas, normas e mecanismos de adequação das empresas às novas regras da LGPD, de modo a proteger suas operações e blindar a organização contra erros, multas e indenizações.
Assim, o “compliance de dados” vem se tornando uma peça-chave para criar uma estrutura de segurança e mitigar riscos legais, financeiros e reputacionais, ou seja, uma ferramenta essencial no gerenciamento de riscos e na prevenção de danos às empresas.
É importante lembrar que toda empresa está sempre executando alguma forma de gestão de riscos, sejam quais forem os tipos de eventos adversos aos quais ela está exposta (riscos trabalhistas, ambientais, operacionais, de infraestrutura etc.). E, consequentemente, diante do cenário descrito pela LGPD, com suas obrigações e sanções, a gestão de riscos ligados à proteção de dados também vem à tona.
Isso envolve identificar, avaliar e controlar ameaças que possam afetar a organização. E é nesse ponto que um programa de compliance de dados pode ser vital.
Além disso, o compliance de dados auxilia na construção de uma cultura organizacional voltada para a privacidade, envolvendo treinamentos, políticas e auditorias periódicas. Dessa forma, as empresas não apenas cumprem com as exigências legais, mas também fortalecem a confiança de clientes e parceiros.
A partir da LGPD, as empresas precisam garantir que os dados pessoais sejam tratados com segurança e transparência, evitando vazamentos e utilização indevida. Acontece, porém, que a lei não faz gradações para as punições a serem aplicadas, nem faz correspondência entre infrações e sanções. Ou seja, teoricamente, o descumprimento de qualquer regra da lei pode ensejar qualquer uma das penalidades previstas no seu art. 52, que vão desde advertências formais, até a proibição total do exercício de atividades relacionadas ao tratamento de dados, passando por multas etc.
Mas nem tudo são trevas. Existe previsão na própria LGPD de alguns critérios a serem levados em conta pela fiscalização, para que, no momento de aplicar as sanções legais, possa avaliar a postura da organização perante a lei, de maneira objetiva. Dentre esses parâmetros figura a “adoção de política de boas práticas e governança” (art. 52, § 1º).
“Boas práticas e governança” são termos aos quais a LGPD faz referência em outro ponto, no seu artigo 50, onde o legislador estimula que todas as organizações instituam o seu “programa de governança em privacidade”.
Esse programa seria justamente o compliance de dados antes mencionado. Nesse ponto, a LGPD trouxe algumas determinações conceituais para orientar como montar essa estrutura de governança.
O programa de compliance de dados, além de servir como estratégia de adequação e prevenção, vai ajudar a atenuar eventuais penalidades em caso de infrações que tenham escapado ao radar. Mas, para que seja considerado como efetivamente instituído na empresa, ele deve cumprir alguns requisitos (art. 50, § 2º, I). Vamos rapidamente explorá-los aqui.
Em primeiro lugar, é necessário comprovar que a organização vem adotando políticas, mecanismos e procedimentos internos que assegurem o cumprimento das normas e boas práticas relativas à proteção de dados pessoais (art. 50, § 2º, I, “a”).
Ademais, o programa deve ser aplicável a todo o conjunto dos dados pessoais que estão sob controle da organização, sendo adaptado à estrutura, à escala e ao volume de suas operações (art. 50, § 2º, I, “b” e “c”).
Políticas e salvaguardas adequadas, baseadas em processo de avaliação sistemática de impactos e riscos à privacidade, devem também ser adotadas pela organização, contando com planos de resposta a incidentes (art. 50, § 2º, I, “d” e “g”).
Ademais, o programa deve ser objeto de monitoramento contínuo e avaliações periódicas, o que deve se revelar na sua constante atualização (art. 50, § 2º, I, “h”).
Tudo isso convergindo para que seja demonstrado o objetivo central de estabelecer uma relação de confiança com os titulares dos dados, por meio de atuação transparente da organização (art. 50, § 2º, I, “e”).
E, por fim, nada disso será possível, claro, se o programa não estiver integrado à estrutura geral de governança da organização, com mecanismos efetivos de supervisão internos e externos (art. 50, § 2º, I, “f”).
Como se pode ver, embora não seja obrigatório, o programa de compliance de dados é essencial para as organizações que pretendem executar a gestão de riscos em nível estratégico. Afinal, a sua adoção somente será considerada legalmente efetiva se estiver integrada à sua estrutura geral de governança.
Portanto, o programa de privacidade previsto na LGPD pode não apenas minimizar as penalidades, mas também funcionar, por si só, como ferramenta adequada para a gestão dos próprios riscos de segurança e conformidade legal na lida com dados pessoais, garantindo integridade à organização.
*Gabriel Fortes, Advogado na área de proteção de dados e segurança digital do escritório Fortes Nasar Advogados. Pós-Graduado em Direito Digital e Compliance. MBA em Liderança Estratégica e Gestão Financeira. Mestre em Direito Constitucional. CPC-PD ©.