GOVERNANÇA DE TECNOLOGIA DA INFORMAÇÃO COM O ADVENTO DA LEI GERAL DE PROTEÇÃO DE DADOS

RENATA ASSALIM FERNANDES

GOVERNANÇA DE TECNOLOGIA DA INFORMAÇÃO COM O

ADVENTO DA LEI GERAL DE PROTEÇÃO DE DADOS

São Paulo 2020

RENATA ASSALIM FERNANDES

GOVERNANÇA DE TECNOLOGIA DA INFORMAÇÃO COM O

ADVENTO DA LEI GERAL DE PROTEÇÃO DE DADOS

São Paulo 2020

GOVERNANÇA DE TECNOLOGIA DA INFORMAÇÃO COM O

ADVENTO DA LEI GERAL DE PROTEÇÃO DE DADOS

Monografia apresentada ao PECE - Programa de Educação Continuada da Escola Politécnica da Universidade de São Paulo como parte dos requisitos para a conclusão do curso de MBA em Tecnologias Digitais e Inovação Sustentável

São Paulo 2020

RENATA ASSALIM FERNANDES

GOVERNANÇA DE TECNOLOGIA DA INFORMAÇÃO COM O

ADVENTO DA LEI GERAL DE PROTEÇÃO DE DADOS

Monografia apresentada ao PECE - Programa de Educação Continuada da Escola Politécnica da Universidade de São Paulo como parte dos requisitos para a conclusão do curso de MBA em Tecnologias Digitais e Inovação Sustentável.

Área de Concentração:

Tecnologias Digitais e Inovação Sustentável

Orientador: Prof. Dr. Fernando Frota Redígolo

São Paulo 2020

RESUMO

Globalmente, a preocupação com a proteção de dados, vem sendo a pauta de discussão atual da sociedade e do poder legislativo de cada país. O conceito de privacidade, como construção social que é, traz consigo a obrigatoriedade de atenção constante a fim de garantir proteção aos cidadãos.

Dessa maneira, tal preocupação, consubstanciada com acontecimentos recentes que nos trouxeram uma realidade do que realmente está ocorrendo mundo afora relacionado ao tratamento de dados e, coadunando-se com o movimento social e legislativo global, especialmente a legislação europeia que corroborou no Regulamento Geral de Proteção de Dados – General Data Protection Regulation – (GDPR), o legislador brasileiro igualmente andou a tratar da criação de uma lei específica para o tema, a Lei Geral de Proteção de Dados (LGPD), uma lei que já traz um impacto econômico, social e regulatório que marcará seu tempo.

Alguns desses impactos já são sentidos pelas empresas que devem adaptar seus processos de tratamento de dados pessoais, fazendo da troca de dados algo responsável e respeitoso, tanto à lei, como aos princípios de dignidade humana, fazendo com que o cenário empresarial se preocupe em implementar processos de governança em tecnologia da informação para o atendimento às disposições da nova Lei.

O presente trabalho, portanto, trata do tema para abordar os conceitos e procedimentos que abrangem a Governança em Tecnologia da Informação sob a ótica da LGPD, bem como analisar aspectos de governança digital e gerenciamento de riscos, apoiados em políticas de compliance com relação à segurança digital e ao tratamento de dados.

ABSTRACT

Globally, the concern with data protection has been the current topic of discussion for society and the legislative power of each country. The concept of privacy, as a social construction that it is, brings with it the obligation of constant attention in order to guarantee protection to citizens.

Thus, this concern, embodied in recent events that brought us a reality of what is really happening worldwide related to data processing and, in line with the global social and legislative movement, especially the European legislation that corroborated in the General Regulation of Data Protection - General Data Protection Regulation - (“GDPR”), the Brazilian legislator has also been dealing with the creation of a specific law for the subject, the General Data Protection Law (“LGPD”), a law that already brings an economic, social and regulatory impact that will mark its time

Some of these impacts are already felt by companies that must adapt their personal data processing processes, making data exchange something responsible and respectful, both to the law and to the principles of human dignity, making the business scenario concerned with implementing governance processes in information technology to comply with the provisions of the new Law.

The present work, therefore, deals with the theme to address the concepts and procedures that cover Information Technology Governance from the perspective of the LGPD, as well as addressing aspects of digital governance and risk management, supported by compliance policies regarding security digital and data processing.

LISTA DE ABREVIATURAS E SIGLAS

Autoridade Nacional de Proteção de Dados Business to Business

Business to Consumer

Data Protection Impact Assessment Data Protection Officer

Grupo dos 20

General Data Protection Regulation Governança, Risco e Compliance

International Organization for Standardization Lei Geral de Proteção de Dados

Organização para Cooperação e Desenvolvimento Econômico Privacy Impact Assessment

Projeto de Lei Complementar União Européia

LISTA DE ILUSTRAÇÕES

SUMÁRIO

1 INTRODUÇÃO... 9

2 GOVERNANÇA CORPORATIVA, GERENCIAMENTO DE RISCOS E COMPLIANCE... 11

2.1 GOVERNANÇA CORPORATIVA ... 11

2.2 GERENCIAMENTO DE RISCOS ... 13

2.3 CONFORMIDADE ... 15

2.4 GOVERNANÇA CORPORATIVA E TECNOLOGIA DA INFORMAÇÃO ... 18

3 LEGISLAÇÃO PARA PROTEÇÃO DE DADOS ... 19

3.1 ACONSTITUIÇÃO FEDERAL E A SEGURANÇA DA INFORMAÇÃO ... 19

3.2 GENERAL DATA PROTECTION REGULATION (GPDR) ... 19

3.3 LEI GERAL DE PROTEÇÃO DE DADOS ... 21

3.3.1 Princípios da LGPD ... 22

3.3.2 Aplicabilidade ... 23

3.3.3 Conceitos ... 24

3.3.4 Autoridade Nacional de Proteção de Dados (ANPD) ... 25

3.3.5 Consentimento ... 26

3.3.6 Direitos dos Titulares... 28

3.3.7 Obrigações dos Agentes ... 29

3.3.8 Penalidades ... 30

4 GOVERNANÇA CORPORATIVA EM TRATAMENTO DE DADOS ... 32

4.1 PROGRAMA DE PRIVACIDADE ... 32

4.2 RELATÓRIO DE IMPACTO À PROTEÇÃO DE DADOS PESSOAIS ... 33

4.3 BOAS PRÁTICAS ... 34

4.4 TRANSFERÊNCIA INTERNACIONAL ... 35

4.5 MEDIDAS APLICÁVEIS ... 36

4.6 INCIDENTE DE SEGURANÇA ... 38

1 INTRODUÇÃO

Os conceitos de Governança, Risco e Compliance (“GRC”) acompanham a transformação da economia e da sociedade, que acabam por guiar a conduta empresarial, a fim de obter resultados mais sustentáveis, com menor possibilidades de crises.

Tais conceitos relacionam-se entre si e providenciam sistemas integrados para tomada de decisões estratégicas para o desenvolvimento do ambiente de negócios, comprometendo a empresa com conceitos éticos e em atendimento à sua missão, visão e valores.

A Governança Corporativa trabalha com a empresa como um todo, estudando seus aspectos mais diversos, prevenindo riscos e estabelecendo procedimentos para incidentes. Nesse sentido, aplica-se às questões societárias, regulatórias, de anticorrupção e compliance. Com o decorrer do tempo, aperfeiçoamento da tecnologia e a dependência das empresas à sua utilização, a necessidade de aplicação dos conceitos de governança para as questões aqui mencionadas, fez-se presente para questões de informática, fazendo nascer mais essa área de governança, a Governança Corporativa aplicada à Tecnologia da Informação (também conhecida por Governança em Tecnologia da Informação ou simplesmente Governança em TI), que se apresente como as regras, métodos e práticas, voltadas para o setor de tecnologia de determinada empresa.

Essa área passa atualmente por um momento de transição, com a Lei Geral de Proteção de Dados (LGPD) em seu período de vacatio legis1, no qual as empresas

que tratam dados pessoais devem se adaptar, entender suas respectivas posições, mapeando suas atividades, criando programas de compliance digital e ajustando seus contratos. Promulgada em 2018, com entrada em vigor prevista para o mês de agosto de 2020, a LGPD dispõe, precipuamente, sobre a proteção de dados pessoais, exigindo, consequentemente, rigoroso controle rigoroso sobre esse tipo de dados, trazendo em seu bojo regras de governança e práticas empresariais adequadas. Exige

1Vacatio legis é uma expressão latina que significa “vacância da lei”, é o prazo legal que a lei demora para entrar em vigor, ou seja, o período que decorre entre o dia de sua publicação até sua vigência, devendo seu cumprimento

ainda a LGPD a criação de novos cargos, como o encarregado, que é mais conhecido pela sua designação em inglês, o Data Protection Officer (“DPO”), bem como prevê, no artigo 50, parágrafo segundo, inciso I, entre as funções do cargo criado, a possibilidade de implementação de programa de governança em privacidade.

Este documento está organizado da seguinte maneira: o capítulo 2 deste documento apresenta os conceitos e aplicabilidade da governança corporativa, gestão de riscos e compliance, enquanto que o capítulo 3 aborda a Lei Geral de Proteção de Dados e suas especificidades Já o capítulo 4 a Governança Corporativa em Tratamento de Dados, diante dessa nova regulamentação.

2 GOVERNANÇA CORPORATIVA, GERENCIAMENTO DE RISCOS

E COMPLIANCE.

2.1 Governança Corporativa

A Governança Corporativa é um conceito amplo, que pode abranger todos os setores de uma empresa, e traduz-se na forma como essas corporações são controladas, guiadas, dirigidas, como são determinados e executados os sistemas de monitoramento e como se dá o incentivo para o cumprimento de regras de compliance. O conceito de governança passa também pela determinação de graus de envolvimento e pode ditar como o relacionamento entre sócios, conselho de administração, diretoria, órgãos de fiscalização e controle e demais partes interessadas deve se desenvolver.

A Governança Corporativa bem executada cria boas práticas, que então se convertem em princípios básicos e recomendações objetivas para as pessoas que dirigem as empresas e para que essas pessoas disseminem a cultura que se forma, alinhando interesses empresariais imediatos com a finalidade de preservar e otimizar a perenidade da organização, sua durabilidade e valorização de todas as pessoas envolvidas.

As melhores práticas de Governança, passam pela integração com a Gestão de Riscos e Compliance, pilares fundamentais que asseguram a boa administração corporativa, inibem, coíbem e punem desvios de conduta e prática de atos ilícitos cometidos por meio de suas estruturas.

A fundação do Instituto Brasileiro de Governança Corporativa (inicialmente denominado Instituto Brasileiro de Conselhos de Administração), cunhou a força em território nacional da expressão “Governança Corporativa”. Tal órgão publica, de tempos em tempos, versões atualizadas do Código Brasileiro das Melhores Práticas de Governança Corporativa, atualmente em sua 5º edição e com primeira publicação no ano de 1999, seguindo o modelo da Organização para a Cooperação e

Desenvolvimento Econômico (OCDE)2, que no mesmo ano de 1999 publicou sua

primeira versão dos Princípios de Governo das Sociedades do G203 e da OCDE.

Esses códigos servem de base para pessoas em posição de liderança e decisão avaliarem e determinar o adequado enquadramento jurídico, regulamentar e institucional das corporações, trazendo orientações quanto à investimentos e atuação em bolsas de valores, em investimentos, tendo um papel fundamental no desenvolvimento de uma boa gestão das empresas. Ainda, buscam estimular o uso consciente e efetivo dos instrumentos de governança, focando a essência de boas práticas, explicitando a importância da ética nos negócios.

A Governança Corporativa fundamenta-se em quatro princípios, também denominados pilares:

a) transparência, como o desejo de disponibilizar às partes interessadas as informações que sejam de seu interesse;

b) equidade, como o tratamento justo de todos os sócios e demais interessados;

c) responsabilidade corporativa, como a procura da sustentabilidade; e d) prestação de contas (accountability), como a responsabilização dos

agentes.

Muito embora e Governança Corporativa tenha se iniciado com enfoque nas questões societárias e de relação com investidores, seus quatro pilares foram estendidos a outras áreas, como tecnologia da Informação, contratos, servindo também como base e impulso para as questões voltadas a Gestão de Riscos, Compliance e Canais Éticos (Fernandes, 2019).

2 Organização para a Cooperação e Desenvolvimento Econômico é uma organização econômica intergovernamental com 36 países membros, fundada em 1961 para estimular o progresso econômico e o comércio mundial

3 G20 (abreviatura para Grupo dos 20) é um grupo formado pelos ministros de finanças e chefes dos bancos centrais das 19 maiores economias do mundo mais a União Europeia. Foi criado em 1999, após as sucessivas crises financeiras da década de 1990.

2.2 Gerenciamento de Riscos

As empresas enfrentam e experimentam em seus negócios cotidianos, um sem número de transformações ao longo dos anos, ao se depararem, cada vez mais com novas tecnologias e novos desafios. Ademais, aquilo que diz respeito ao controle interno acaba por não ser suficiente. Apresentam-se, igualmente, eventos externos que podem impactar negativamente nas atividades e nos resultados de uma empresa. Dessa forma, sócios e colaboradores devem estar treinados e preparados para saberem como agir quando ocorrerem eventos adversos com base em um programa de gerenciamento de riscos.

Há diversas definições sobre gerenciamento de risco. Em Venki (2014), define-se gerenciamento de riscos como “o processo de planejar, organizar, dirigir e controlar os recursos humanos e materiais de uma organização, no sentido de minimizar ou aproveitar os riscos e as incertezas sobre essa organização”. Por sua vez, em FIA (2018), a gestão de riscos é caracterizada como “o conjunto de atividades coordenadas que tem o objetivo de gerenciar e controlar uma organização em relação a potenciais ameaças, seja qual for a sua forma de manifestação”.

A instituição International Organization for Standardization (ISO), principal organização para determinação de normas e padrões, trata de risco em diferentes normas. De acordo com a norma ISO 9001:2015, “o risco pode ser apresentado como o efeito da incerteza nos objetivos (positivo ou negativo)”. Por sua vez a ISO 31000 trata especificamente de gestão de riscos, que é apresentada na norma como a terminologia utilizada para “definir um conjunto de ações estratégicas, como identificação, administração, condução e prevenção dos riscos ligados a uma determinada atividade” (TEIXEIRA, 2015). A norma ISO 31000 traz também diretrizes para os processos de gestão de riscos em organizações, de forma a atuar de maneira preventiva, erradicando possíveis perdas humanas e/ou materiais. Como exemplos de diretrizes pode-se citar (FIA, 2018):

a) não iniciar ou continuar uma atividade que possa aumentar o risco; b) aceitar ou aumentar o risco de forma a aproveitar uma oportunidade; c) remover a fonte do risco ou mudar a probabilidade associada ao mesmo;

d) mudar as consequências associadas a um risco; e) compartilhar o risco com outras partes;

f) reter o risco por decisão informada.

É importante ressaltar que a gestão de riscos não se resume à ação de detectar e controlar os possíveis riscos, mas também permite criar um ambiente de melhorias. Isso é refletido, por exemplo, na norma AS/NZS 4360/2004, que define a gestão de riscos como um processo contínuo a ser aplicada nas seguintes situações (TEIXEIRA, 2015):

a) planejamento de novos trabalhos;

b) necessidade de novos controles devido a condições não previstas inicialmente nos projetos, por exemplo, por conta de falhas no planejamento, alterações significativas durante a execução de projetos ou após a ocorrência de um incidente com potencial de perda ou dano significativos;

c) de forma periódica nas atividades rotineiras, não rotineiras, emergenciais e futuras;

d) quando existirem regulamentos técnicos e legais.

Dessa feita, o risco é efeito da incerteza inerente à execução de projetos, ou seja, um desvio em relação ao caminho e destino planejados, fruto de um evento, circunstância ou condição, como por exemplo um acidente de trabalho e/ou ambiental, uma fraude financeira, a perda de um empregado importante para a estrutura organizacional, alguma situação que prejudique a reputação de uma marca, processos judiciais, entre outros (FIA, 2018).

A gestão de risco não visa simplesmente conhecer a origem de um evento de risco (ou seja, buscando justificativas), mas agir de maneira a evitar que o evento se converta em consequências negativas para a empresa. E, se já houver consequências negativas, o trabalho visa amenizar tais consequências, administrando eventuais crises, bem como gerando ações para prevenção de repetição das mesmas situações no futuro.

Identifica-se, portanto, até aqui, que o risco é composto de três elementos: um evento, uma consequência e uma causa.

Para que uma empresa estabeleça uma política eficiente de gestão de riscos, algumas etapas fundamentais devem ser implementadas (FIA, 2018):

a) organização do ambiente: definir um empregado responsável pela gestão de risco, com capacitação apropriada, e definir processos de gestão de riscos permanentes;

b) identificação dos riscos: reconhecer os riscos pertinentes aos objetivos da empresa que devem ser tratados;

c) mensuração dos riscos: avaliar a importância, probabilidade e possível impacto na organização associado a cada risco, em análises quantitativas e qualitativas;

d) resposta aos riscos: definição das ações a serem tomadas para evitar, e/ou reduzir os riscos, ou ainda para tratá-los como oportunidades ao invés de ameaças;

e) monitoramento de riscos: averiguação de existência de riscos residuais ou verificação de atingimento de resultados esperados, analisando a manutenção ou alteração de estratégia.

Associado à gestão de riscos há um processo para se instituir uma mentalidade de riscos na organização, que deve ser conduzida de forma sistematizada, com indicadores que permitam a monitoração e visualização da melhoria contínua (MORAES, 2010).

2.3 Conformidade

De acordo com FIA (2018), a ética é o “conjunto de valores morais de um indivíduo, grupo ou sociedade”.

Questões éticas são, muitas vezes, polêmicas, uma vez que podem ser subjetivas. A criação de leis, normas e regulamentos foi a forma que se encontrou de conferir objetividade à estas questões. Por meio de tais diretrizes, os comportamentos esperados, como o que se deve ou não fazer, fica claro.

Neste diapasão, entra o que chamamos Compliance, palavra de origem na língua inglesa, do verbo to comply, que significa cumprir, executar, satisfazer, aderir, estar em conformidade com algo, quer em conformidade com a legislação, conformidade com o código de conduta, conformidade com políticas específicas da organização, proteção da imagem e da integridade das organizações.

A fim de fiscalizar e controlar as boas práticas de governança, recomenda-se que as empresas mantenham órgãos de controles internos e externos. Controles são, por sua vez, compostos pelas políticas e procedimentos adotados pelas empresas de forma a minimizar os riscos e incrementar os processos internos. Fernandes (2019) cita que os controles devem ter “foco na prevenção, revisão e atualização contínuas, visando proteger os ativos e a reputação da empresa, disponibilizar informações adequadas, gerando confiabilidade, promover a eficácia operacional e a aderência às leis e regulamentos aplicáveis”.

Existem diversos tipos de controles (FERNANDES, 2019):

a) preventivos, visando a redução da possibilidade de ocorrência de um evento , e consequentes resultados indesejados;

b) detectivos, com relação à eventos já ocorridos;

c) corretivos, tanto dos efeitos de um evento indesejável como das causas de um risco detectado;

d) diretivos ou orientativos, de maneira a de provocar e/ou encorajar a ocorrência de fatos desejáveis;

e) compensatórios das fraquezas de controle em áreas-chave.

Desta maneira, as normas e procedimentos de Compliance são parte essencial de uma boa Governança Corporativa, garantindo que a empresa cumpra com as regras internas/externas. Em particular, no caso de legislação de um dado país, uma

empesa que não esteja em compliance pode sofrer sanções pelo respectivo Estado (FIA, 2018).

As normas que envolvem o Compliance visam garantir que a empresa, por si e e seus integrantes, agindo tanto em nome próprio ou representando a empresa, não pratiquem atos de corrupção ou atos que importem em contrariedade às políticas e normas de conduta.

Como elementos ensejadores para que um programa de compliance atinja seus objetivos desejados e, assim, fortaleça boas práticas de Governança Corporativa é imprescindível que exista na empresa uma cultura top down4, que significa “a

capacidade e disposição de controlar eventos externos, a compreensão da existência de vulnerabilidades, os controles internos adequados, o monitoramento, a conscientização e o treinamento” (FERNANDES, 2019).

Ao seguir os princípios de integridade exarados pela Governança Corporativa a empresas alinha-se a seus objetivos estratégicos ao mesmo tempo em que se adequa ao ambiente legal e regulatório (externo e interno), a padrões de ética, conduta, sustentabilidade e transparência. Isto confere às empresas uma cultura de controles alinhada à visão, missão e valores da organização, com riscos mapeados e controlados e políticas e procedimentos formalizados, permitindo antecipar-se e responder de forma apropriada a situações de crise. Há por consequência uma maior proteção da empresa contra perdas, fraudes e abusos, bem como de sua marca, imagem e reputação perante os stakeholders; gerando maior valorização, competitividade e atratividade do negócio. Uma vez que a LGPD incentiva a cultura da governança, quando falamos em TI, os procedimentos já estão inseridos como parte de tal cultura (FERNANDES, 2019).

2.4 Governança Corporativa e Tecnologia da Informação

Para que a implantação de planos de gestão de riscos para adoção de tecnologias seja bem-sucedida, necessário se faz o envolvimento direto dos conselhos de administração e dos executivos. Todavia, podem ocorrer situações nas quais as pessoas que compõem tais conselhos não detenham o conhecimento, a expertise, surgindo a necessidade da figura da Governança em TI.

A Governança em TI é guiada por diretivas e regras, tais como a ABNT NBR ISO/IEC 27014:2013, elaborada pelo Comitê Brasileiro de Computadores e Processamento de Dados, que fornece orientação sobre conceitos e princípios para a Governança em TI eficiente da segurança da informação, visando os seguintes resultados (FERNANDES, 2019):

a) visibilidade da alta direção sobre a situação da segurança da informação; b) agilidade na tomada de decisões sobre os riscos da informação;

c) investimentos eficientes e eficazes em segurança da informação;

d) conformidade com os requisitos externos (legais, regulamentares ou contratuais).

Atualmente, o desafio da Governança de TI é estar preparada para a entrada em vigor da LGPD, com a realização dos procedimentos de monitoramento, elaboração de políticas, treinamento, ajustes contratuais e monitoramento.

3 LEGISLAÇÃO PARA PROTEÇÃO DE DADOS

3.1 A Constituição Federal e a Segurança da Informação

A Constituição Federal Brasileira é conhecida por seus princípios rígidos, cláusulas pétreas, que priorizam direitos e garantias fundamentais dos cidadãos, como privacidade, impondo, todavia, deveres ao Estado, como o de garantir a segurança pública.

Esse confronto entre direitos e garantias fundamentais e dever do Estado de prover segurança ganha novos ares na era da segurança da informação.

O Poder Público está autorizado a instalar câmeras e garantir a segurança física de seus cidadãos. No entanto, os dados deverão ser armazenados sob medidas adequadas de segurança e descartados após utilização (e/ou se não utilizados). O acesso por terceiros ou cessão dos dados a outras entidades deve ser também proibido. Também não é permitido a discriminação com base em raça ou outras características socioeconômicas relacionada ao tratamento destes dados. Especificamente em relação à questão do consentimento no tratamento de dados, a regra geral da legislação brasileira, aplicável tanto a entes privados quanto públicos, é a necessidade de obtenção do consentimento prévio, expresso e informado dos indivíduos para o tratamento de seus dados pessoais (LEMOS, 2018).

3.2 General Data Protection Regulation (GPDR)

O General Data Protection Regulation (GDPR), vigente desde 25 de maio de 2018, a regulamentação europeia sobre proteção de dados e privacidade de indivíduos dentro da União Europeia (UE), que também trata da exportação de informações pessoais fora dessa área, tem como preocupação principal outorgar aos seus cidadãos o controle sobre seus dados pessoais, que são considerados pela regulamentação como todos os dados que podem ser usados para identificação do indivíduo, direta ou indiretamente. Podemos citar como exemplo de dados pessoais,

nome, foto, endereço de e-mail, dados bancários, postagens em sites e redes sociais, informações médicas, dados de GPS, cookies e até mesmo endereços de IP.

O escopo da regulamentação abrange tanto quem coleta como quem processa os dados, coibindo e punindo eventuais violações. Abrange ainda o escopo, simplificar o ambiente de regulamentação para negócios internacionais, uma vez que unifica a regulamentação sobre o tema na União Europeia (UE).

Alterações relevantes podem ser notadas, mais especificamente no que se refere à outorga de consentimento, facilitação de acesso a informações pessoais pelo titular, conhecimento da destinação das informações cedidas pelo cidadão/usuário, obrigações relativas a níveis de segurança, necessidade expressa de notificação em caso de vazamentos (com prazos formais), transferência internacional de dados e, ainda mais relevante, a disposição acerca da aplicação de multas em casos de violação – que podem chegar a 20 milhões de euros ou 4% do faturamento anual global da empresa.

Um ponto importante da GDPR é a extensão geográfica dessa regulamentação, uma vez que ela pode se aplicar também a organizações que estão localizadas fora da UE. Dessa forma, empresas brasileiras poderão ser atingidas pelos efeitos do GDPR.

Isto é, caso uma empresa brasileira trate dados pessoais de cidadãos ou empresas de países pertencentes à EU, essa empresa brasileira deverá, quer revendo seus contratos, quer obtendo o consentimento expresso de usuário, se adequar a, entre outras novidades trazidas pelo GDPR, questões impostas com relação ao:

a) consentimento para uso de dados pessoais, que deverá se dar de forma clara, acessível, simples, podendo o usuário revogar tal consentimento a qualquer momento, fazendo com que os termos de uso de site se tornem documentos mais concisos e diretos, de forma a permitir a efetiva leitura, compreensão e aceitação pelo usuário; e

b) conhecimento dado ao usuário sobre as informações por ele concedidas ao controlador e ao processador, bem como localização e finalidade desse processamento.

Em território nacional, para traçarmos um paralelo, no Marco Civil da Internet (Lei 12.965/14), as alterações a que podem estar sujeitas algumas empresas brasileiras podem ser consideradas significativas, como por exemplo:

a) notificação em casos de vazamento de dados: o GDPR determina que o usuário e as autoridades sejam informados em até 48 (quarenta e oito) horas, enquanto a legislação brasileira não traz disposição neste sentido; b) transferência internacional de dados pessoais, pelo GDPR, somente são

permitidas se o país destinatário tiver níveis semelhantes de proteção, o que não é determinado pelo Marco; e

c) aplicação de multa que pode chegar a 20 milhões de euros ou até 4% do faturamento anual global da empresa, o que for maior. Pelo Marco, aplicação de advertência, multas de até 10% do faturamento do grupo no Brasil no último exercício, suspensão ou proibição da coleta e processamento de dados.

3.3 Lei Geral de Proteção de Dados

Após oito anos desde a primeira consulta pública promovida pelo Ministério da Justiça, foi sancionada a Lei 13.709/2018, conhecida como Lei Geral de Proteção de Dados (LGPD). A LGPD é advinda do PLC 4.060/2012, que foi convertido no PLC 53/2018, da Câmara dos Deputados, o qual cria um marco regulatório sobre a proteção de dados pessoais em território brasileiro e altera a Lei 12.965/16 (Marco Civil da Internet). Considerando o período de vacatio legis, a lei entrará em vigor em agosto de 2020.

A LGPD visa estimular não apenas o desenvolvimento econômico, mas a proteção dos direitos fundamentais. A LGPD vem para adequar as práticas de empresas brasileiras a estes novos padrões e ao cenário atual, inserindo o Brasil no rol dos mais de 120 países que contam com uma lei de proteção de dados. A proteção de dados de acordo com comunidade internacional facilitará a obtenção da chancela da Comissão Europeia classificando o Brasil como país com nível adequado de proteção de dados.

A LGPD traz em seu bojo novo paradigma na gestão dos dados impactando todos os negócios, sendo necessárias adequações internas, e da construção de uma cultura de proteção de dados, como um novo conjunto de obrigações e responsabilidades a serem adotadas pelos agentes do mercado.

Este novo corpo regulatório, em consonância com as perspectivas internacionais traz segurança jurídica e previsibilidade para o desenvolvimento de novos negócios. Nesse sentido, essas novas regras não trazem apenas ônus, elas permitem o desenvolvimento econômico e sustentável que incentiva a inovação.

Dentro dessa nova perspectiva, as empresas não estão mais autorizadas a tratar os dados pessoais como coisa ou propriedade. E, ao definir dados pessoais, a lei o faz como sendo a informação que seja relacionada à pessoa natural e que possa identifica-la como tal, de forma distinta de outros indivíduos. Traz também o conceito de dados pessoais sensíveis, que exige tratamento diferenciado.

A chegada da LGPD significa um caminho sem volta para as empresas que tratam dados pessoais. Em um mundo digitalizado, isso significa que grande parte das empresas deverá adaptar seus procedimentos relacionados ao fluxo de informação.

Em casos de incidentes de segurança, a LGPD estabelece que a empresa deve garantir a transparência sobre o fato e notificar os potenciais atingidos.

Consubstanciando o princípio da autodeterminação informativa, que determina que as pessoas têm o controle sobre o tratamento de suas informações pessoais, a LGPD exige que as empresas implementem medidas técnicas e organizacionais visando obter um consentimento dos usuários, fornecer-lhes mais justos controles de seus dados e garantir a segurança e proteção dos seus direitos.

3.3.1 Princípios da LGPD

Os princípios são o cerne da LGPD, funcionando como norte para sua aplicação ao definir o intento geral da lei. A conformidade com o espírito desses princípios-chave são alicerce fundamental para uma boa prática de proteção de dados. O não cumprimento dos princípios pode deixar o agente de tratamento sob risco de descumprimento e penalidades.

a) Finalidade: A finalidade deve ser legítima, específica, explícita e informada; b) Adequação: O uso de dados deve ser compatível com as finalidades e o

contexto;

c) Necessidade: Utilização de dados estritamente necessária, proporcional, pertinente e não excessiva;

d) Livre acesso: Garante-se acesso livre, facilitado e gratuito à informação os dados pessoais tratados;

e) Qualidade: Garante-se aos titulares que seus dados sejam verdadeiros, exatos, claros e atualizados;

f) Transparência: Titulares devem ter acesso a informações de forma clara, precisa e fácil sobre tratamentos e agentes de tratamento;

g) Segurança: São necessárias medidas técnicas e administrativas para proteger dados contra acessos não autorizados e situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;

h) Prevenção: Deve-se adotar medidas prévias para evitar danos em virtude do tratamento de dados pessoais;

i) Não discriminação: Proíbe-se o tratamento de dados pessoais privados para fins discriminatórios, abusivos ou ilícitos; e

j) Prestação de Contas - Accountability: Necessárias a prestação de contas e a responsabilização, devendo os agentes de tratamento não apenas aplicar medidas eficazes, mas também comprovar sua adoção.

3.3.2 Aplicabilidade

A LGPD é aplicada para tipos específicos de dados cujo tratamento deverá acontecer seguindo uma série de critérios e exceções, conforme demonstrado a seguir:

a) ao tratamento de dados de pessoas físicas no Brasil, independentemente do meio e/ou da forma de tratamento dos dados, incluindo dados on-line ou

off-line, bem como independentemente de localização da base de dados, sede da empresa e nacionalidade dos titulares;

b) às pessoas físicas ou jurídicas, de direito público e privado, incluindo dados relacionados a relações trabalhistas, de consumo, de Internet, B2B, B2C5,

que (i) realizam a operação de tratamento no Brasil; (ii) oferecem bens ou serviços ao mercado consumidor brasileiro; e/ou (iii) coletam e tratam dados de pessoas localizadas no território brasileiro;

c) às empresas que realizam operações de tratamento de dados fora do Brasil quando (i) os dados pessoais forem coletados no Brasil; (ii) os dados sejam relacionados a indivíduos localizados no território brasileiro; e/ou (iii) tiver por objetivo a oferta de produtos e/ou serviços ao público brasileiro; e d) em conjunto com normas setoriais que também regulamentam dados

pessoais.

3.3.3 Conceitos

A LGPD introduz os seguintes conceitos:

a) Dado Pessoal: Informação que seja relacionada à pessoa natural que possa identifica-la como tal, de forma distinta de outros indivíduos;

b) Dado Pessoal Sensível: Dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, saúde, vida sexual, dado genético ou biométrico etc;

c) Pseudonimização: Tratamento que impede a associação de um dado a um indivíduo, senão pelo uso de informação adicional mantida em separado pelo controlador;

d) Anonimização: Processo que impede que dado seja associado a uma pessoa de forma irreversível, quando dado pode não ser considerado como pessoal privado;

e) Controlador: Pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais; f) Operador: Pessoa natural ou jurídica, de direito público ou privado, que

realiza o tratamento de dados pessoais em nome do controlador.

g) Tratamento: Operação relacionada a um dado pessoal: coleta, classificação, reprodução, transmissão, exclusão, processamento, acesso, armazenamento;

h) Data Protection Officer (DPO): Pessoa natural ou jurídica que cuida da política de proteção de dados e privacidade em empresas, fazendo a ponte entre titular dos dados e um órgão da administração pública denominado Autoridade Nacional de Proteção de Dados (ANPD), aceitando comunicações e auxiliando funcionários.

3.3.4 Autoridade Nacional de Proteção de Dados (ANPD)

A ANPD foi criada como órgão da administração pública federal, integrante da Presidência da República, responsável por por zelar, implementar e fiscalizar o cumprimento da LGPD. No entanto, sua natureza jurídica poderá ser transitória, pois o Executivo deverá reavaliá-la em até 2 anos da data de entrada em vigor da estrutura regimental da ANPD, quando a autoridade poderá ser transformada em entidade da administração pública federal indireta, submetida a regime autárquico especial, funcionando como uma agência reguladora.

Com funções regulatórias, sancionadoras e normativas, a ANPD fornecerá orientações para a melhor aplicação da lei, incluindo sobre as seguintes questões:

a) Portabilidade dos dados a outro fornecedor de serviço ou produto;

b) Limites da responsabilidade do Data Protection Officer (DPO) e hipóteses de sua dispensa;

c) Critérios para aplicação do legitimo interesse do controlador de dados como base jurídica para tratamento de dados pessoais;

e) Compartilhamento de dados pessoais sensíveis entre controladores com objetivo de obter vantagem econômica;

f) Avaliação do nível de proteção a dados pessoais conferido por país ou órgão internacional;

g) Elaboração pelo controlador de relatório de impacto à proteção de dados pessoais; e

h) Sanções administrativas a infrações.

3.3.5 Consentimento

De forma geral, o consentimento é mecanismo fundamental para o tratamento dos dados pessoais. A LGPD traz uma nova luz ao mecanismo do consentimento ao estabelecer não apenas seus critérios objetivos, mas também ao determinar outras hipóteses legais para tratamento legal de dados pessoais.

O indivíduo dá uma manifestação livre, informada e inequívoca pela qual concorda com o tratamento de seus dados pessoais para uma finalidade determinada. A solicitação de consentimento deverá ser feita de forma clara, para que a pessoa saiba exatamente qual a finalidade e forma de uso de seus dados pessoais.

Para o tratamento legítimo destes dados, a finalidade não pode considerar apenas o ganho econômico da organização, mas também as expectativas e liberdades das pessoas; já os dados pessoais devem ser estritamente necessários para o tratamento. Assim, caso a finalidade mude, é necessário novo consentimento; caso os dados não sejam mais necessários, deverão ser apagados. Deve ainda haver ratificação do consentimento prévio, até que seja solicitada a eliminação.

O tratamento de dados pessoais de crianças e de adolescentes deverá ser realizado em seu melhor interesse. No caso específico do tratamento de dados pessoais de crianças, este deverá ser realizado com o consentimento específico e em destaque dado por pelo menos um dos pais ou pelo responsável legal.

Cabe à organização privada ou pública o ônus da prova de que o consentimento foi obtido em conformidade.

No entanto, algumas situações excetuadas na LGPD permitem o tratamento sem consentimento, quais sejam:

a) Cumprimento de obrigação legal ou regulatória pelo controlador: quando o processamento é necessário para execução de tarefa que vise ao interesse público ou ao cumprimento de lei;

b) Execução de políticas públicas: tratamento pela administração pública para execução de políticas previstas em leis ou regulamentos, ou mesmo em instrumentos contratuais devidamente autorizados;

c) Exercício regular de direitos em processo: tratamento necessário para processo judicial, administrativo ou arbitral;

d) Execução de instrumento contratual: tratamento necessário para a execução de contrato ou de procedimentos preliminares dos quais o titular seja parte;

e) Proteção da vida ou da incolumidade física: do titular ou de terceiro;

f) Tutela da saúde: tratamento realizado por profissionais da área da saúde ou por entidades sanitárias;

g) Interesses legítimos: tratamento necessário para interesses legítimos do (i) titular, quando do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais; ou (ii) do controlador, para interesses específicos, claramente definidos e vinculados ao escopo de suas atividades, em situações concretas e não hipotéticas, desde que não se sobreponham aos direitos e liberdades fundamentais dos titulares dos dados;

h) Proteção de crédito: tratamento deverá ainda considerar legislação específica aplicável;

i) Prevenção à fraude e a segurança do titular: tratamento de dados sensíveis nos processos de identificação e autenticação de cadastro em sistemas

eletrônicos, exceto no caso de preponderância dos direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais;

j) Contatar pai ou responsável legal: coleta de dados pessoais de crianças necessária para contatar pais ou o responsável legal, utilizados uma única vez e sem armazenamento, ou para sua proteção, e em nenhum caso poderão ser repassados a terceiro sem o consentimento; e

k) Realização de estudos e pesquisas: tratamento feito por órgão de pesquisa e garantida, que deve manter, sempre que possível, a anonimização dos dados pessoais.

3.3.6 Direitos dos Titulares

A LGPD garante às pessoas maior poder sobre suas informações pessoais, equilibrando a relação com prestadores de serviços e mitigando que eles incorram em práticas abusivas. Para consubstanciar os princípios sobre os quais está embasada e resguardar os direitos fundamentais de liberdade e privacidade, a LGPD estabelece uma série de direitos aos titulares de dados pessoais:

a) Consentimento: o titular pode limitar o tratamento de seus dados pessoais, sendo sua prerrogativa dar ou não o consentimento. Nesse sentido, ele pode pedir a revogação de consentimento a qualquer momento de forma gratuita e facilitada, incluindo quando há mudança de finalidade;

b) Acesso a dados: acesso facilitado às informações sobre o tratamento de dados de forma clara, adequada e ostensiva, incluindo sobre uso e compartilhamento de dados, existência de tratamento e possibilidade de não os fornecer. Mediante requisição, o titular poderá obter uma confirmação de existência ou o acesso a seus dados pessoais, em formato simplificado, imediatamente; ou, por meio de declaração que indique a origem dos dados, a inexistência de registro, os critérios utilizados e a finalidade do tratamento, observados os segredos comercial e industrial, em até 15 (quinze) dias da data do requerimento do titular;

c) Compartilhamento: o responsável deve informar imediatamente a agentes com quem compartilhou dados para repetirem o procedimento no caso de correção, eliminação, anonimização ou bloqueio. Além disso, o titular tem direito de saber com quais entidades públicas e privadas foram compartilhados seus dados pessoais;

d) Portabilidade: o titular tem direito à portabilidade dos dados a outro fornecedor de serviço ou produto;

e) Retificação: o titular tem direito a manter seus dados acurados, completos e exatos, podendo pedir a retificação dos dados sempre que eles não cumprirem com esses requisitos;

f) Oposição: o titular tem direito a se opor a qualquer tratamento que não estejam de acordo com a lei. Caso exista descumprimento de disposições da LGPD, o titular dos dados pode executar uma das hipóteses de dispensa de consentimento. Vale dizer que o titular pode opor-se ao tratamento automatizado de seus dados pessoais com base em perfil comportamental (profiling), hipótese na qual o titular pode solicitar a informações sobre os procedimentos utilizados pelo controlador e até mesmo a revisão de tal tratamento; e

g) Exclusão: além de poder exigir a exclusão dos dados quando da revogação do consentimento, ressalvadas hipóteses de guarda para cumprimento legal, o titular pode ainda pedir a exclusão de dados desnecessários, excessivos ou tratados em desacordo com a LGPD.

3.3.7 Obrigações dos Agentes

Na medida em que define direitos dos titulares dos dados pessoais, a LGPD também estabelece responsabilidades para os agentes de tratamento:

a) Provar consentimento: o controlador deve provar que o consentimento foi obtido em conformidade com a LGPD, devendo informar ao operador eventual pedido de revogação de consentimento e/ou eliminação de dados pelo respectivo titular;

b) Proteger dados: Controlador e operador devem implementar medidas de segurança para proteger dados pessoais de acessos não autorizados, inadequados ou ilícitos, e de situações acidentais, de destruição, perda e alteração;

c) Indicar DPO: o agente deve indicar encarregado pelo tratamento dos dados pessoais, cujas informações deverão ser divulgadas publicamente de forma clara e objetiva, preferencialmente no seu site. Dentre as atividades do encarregado, ressaltamos: (i) Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências; (ii) Receber comunicações da autoridade nacional e adotar providências; (iii) Orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; (iv) Executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

d) Confirmar tratamento: Controlador deve confirmar, mediante requisição do titular, a origem dos dados, a inexistência de registro, os critérios utilizados e a finalidade do tratamento em até 15 (quinze) dias da data do requerimento;

e) Manter registro: Obrigação do controlador e do operador em manter registro das operações de tratamento de dados pessoais. A ANPD pode exigir relatório de impacto à proteção dos dados.

3.3.8 Penalidades

Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas na LGPD, estão sujeitos a sanções administrativas aplicáveis pela ANPD.

Em caso de infração legal, o agente de tratamento será primeiramente advertido ou multado; caso ele reincida na mesma irregularidade, a ANPD poderá aplicar suspensões do funcionamento de banco de dados até proibições das atividades de tratamento do agente. As sanções serão aplicadas após procedimento

administrativo que possibilite a ampla defesa, de forma gradativa, isolada ou cumulativa, quando a ANPD deverá fundamentar a aplicação de eventual sanção.

Para tal, a ANPD deve sempre considerar: a gravidade e a natureza das infrações e dos direitos pessoais afetados; a boa-fé do infrator; a vantagem auferida ou pretendida; a condição econômica do infrator; a reincidência; a cooperação do infrator; a adoção de mecanismos e boas práticas para minimizar o dano; a pronta adoção de medidas corretivas; e a proporcionalidade entre a gravidade da falta e a intensidade da sanção. A ANPD poderá, ainda, definir regulamento próprio com as metodologias para o cálculo do valor-base das sanções administrativas:

a) Bloqueio e/ou Eliminação: Bloqueio dos dados até a sua regularização ou mesmo eliminação dos dados pessoais privados relacionados àquela determinada infração.

b) Advertência: Advertência, incluindo a possibilidade de exigir prazo para o agente infrator adotar as medidas corretivas necessárias.

c) Publicização: Transparência é regra. O infrator deve tornar pública a ocorrência de infração apurada e confirmada, tanto para a ANPD quanto ao titular lesado.

d) Multa: De até 2% do faturamento líquido da empresa, grupo ou conglomerado no último exercício, até R$50.000,00 (cinquenta mil reais) por infração. Possibilidade de aplicar multa diária, respeitado o limite. e) Suspensão: Suspensão do funcionamento de banco de dados ou mesmo

da atividade de tratamento por 6 meses prorrogáveis, até a regularização; f) Proibição: Proibição de atividades relacionadas ao tratamento de dados

4 GOVERNANÇA CORPORATIVA EM TRATAMENTO DE DADOS

Os agentes de tratamento, sejam públicos ou privados, devem pautar suas atividades nos princípios basilares da LGPD, prevenção, segurança, transparência e prestação de contas. Para tal, devem documentar as atividades de tratamento dados pessoais e comprovar o cumprimento das obrigações estabelecidas pela LGPD.

Agentes de tratamento devem atentar para (i) auditorias internas sobre segurança da informação; (ii) adequação dos contratos à LGPD; (iii) revisão de procedimentos internos para gerar uma cultura de segurança entre funcionários e colaboradores; (iv) indicação de DPO e equipe multidisciplinar, para cuidar da área de proteção de dados e ser como ponte para agente de tratamento; (v) prestação de contas, a chamada accountability, ou seja, a obrigação e capacidade de demonstrar cumprimento.

4.1 Programa de Privacidade

De acordo com a LGPD:

O controlador poderá implementar programa de governança em privacidade que, no mínimo:

a) demonstre o comprometimento do controlador em adotar processos e políticas internas que assegurem o cumprimento, de forma abrangente, de normas e boas práticas relativas à proteção de dados pessoais; b) seja aplicável a todo o conjunto de dados pessoais que estejam sob seu

controle, independentemente do modo como se realizou sua coleta; c) seja adaptado à estrutura, à escala e ao volume de suas operações, bem

como à sensibilidade dos dados tratados;

d) estabeleça políticas e salvaguardas adequadas com base em processo de avaliação sistemática de impactos e riscos à privacidade;

e) tenha o objetivo de estabelecer relação de confiança com o titular, por meio de atuação transparente e que assegure mecanismos de participação do titular;

f) esteja integrado a sua estrutura geral de governança e estabeleça e aplique mecanismos de supervisão internos e externos;

g) conte com planos de resposta a incidentes e remediação; e

h) seja atualizado constantemente com base em informações obtidas a partir de monitoramento contínuo e avaliações periódicas” (LGPD, 2018).

4.2 Relatório de Impacto à Proteção de Dados Pessoais

Previamente à sanção da LGPD, o Brasil já contava com mais de 40 (quarenta) normas setoriais de proteção de dados, como o Código de Defesa do Consumidor, Código Civil, Marco Civil da Internet. Todavia, o relatório de impacto ganha sua primeira referência legislativa no Brasil, quando inserida no texto da LGPD, ao contrário do que ocorre na União Européia, onde existe há mais de 20 (vinte) anos, a qual foi uma das fontes de inspiração para a LGPD.

No caso, os primeiros Privacy Impact Assessment (PIA)6 foram previstos na

Diretiva 95/46/EC (Diretiva)7 e estavam relacionados à prevenção e mitigação de

riscos envolvendo possíveis violações aos direitos dos titulares. Interessante notar que a base regulatória está ligada e foi inspirada na ideia de risco ambiental na EU. Isto é, a base regulatória europeia do relatório de impacto está intimamente associada a uma perspectiva de risco, ou seja, identificar, mitigar e, principalmente, prevenir riscos ao meio ambiente e a indivíduos que possam ser afetados. Portanto, a ideia fundamental do relatório é um diagnóstico de prevenção e não de reparação.

Em 2016, o GDPR regulamenta os Data Protection Impact Assessment (DPIA)8,

que serviram de fonte inspiradora para a criação da ferramenta do relatório de impacto

6 União Europeia. Diretiva n. 95/46/EC. Consideranda n. 46: “whereas these measures must ensure an appropriate level of security, taking into account the state of the art and the costs of their implementation in relation to the risks inherent in the processing and the nature of the data to be protected”.

7 A Diretiva era a legislação geral de proteção de dados da EU e que foi substituída pelo GDPR. 8 União Europeia. Regulamento 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de

na LGPD que, por sua vez, tem como objetivo a identificação, mitigação e prevenção de riscos e atos riscos aos titulares de dados.

De acordo com o art. 5, inciso XVII, da LGPD, “o relatório de impacto à proteção de dados é uma documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação desses riscos” (LGPD, 2018).

O relatório de impacto à proteção de dados pessoais deverá conter “a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como as medidas, salvaguardas e mecanismos de mitigação de risco” (LGPG, 2018). Apesar de este relatório ser apenas obrigatório caso requerido pela ANPD, sua elaboração vai ao encontro da ideia de governança corporativa esperada dos agentes de tratamento, sendo de uso em caso de auditoria dos procedimentos de tratamento.

Os relatórios de impacto, em uma perspectiva de adequação à LGPD e sem a intenção de exaurir a análise desse tema, são, em síntese, o resultado de uma avaliação de impacto que tem como objetivo avaliar, mapear, planejar, implementar e monitorar todo o processo de conformidade com as leis gerais e setoriais de proteção de dados. Tudo isso como forma de demonstrar conformidade com as obrigações da lei e, mais ainda, como uma das formas de demonstrar responsabilidade e prestação de contas perante a ANPD.

Não podemos enxergar, portanto, o relatório de impacto como uma ferramenta burocrática, mas sim como uma documentação que reflete um processo de aprendizado por agentes de tratamento, que é o de realizar a governança corporativa.

4.3 Boas Práticas

O compartilhamento de dados, embora indispensável à sociedade da informação, precisa ser delimitado. Entretanto, o conflito de interesses entre a proteção individual da privacidade e a proteção social do acesso à informação precisa

ser resolvido mediante a existência de normas jurídicas compatíveis como se dá com a LGPD.

Além das razões de ordem pública e de interesse social que justificam a delimitação da atividade de compartilhamento, proporcionando-se ao intérprete a análise da regra implícita de conduta, qual seja, a boa-fé objetiva, que as partes deverão ter a respeito do uso e tratamento de dados, levando-se em consideração a circunstância do caso (LISBOA, 2019).

Os agentes de tratamento de dados pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança de em forma de políticas, desde a utilização de aparelhos e dispositivos, regras de verificação de, prevenção e tratamento de incidentes, de comunicação com clientes, consumidores, de forma minimizar os impactos para a empresa.

4.4 Transferência Internacional

Em geral, a LGPD somente permite a transferência internacional caso sejam cumpridos determinados requisitos. Ressalta-se que caberá à ANPD averiguar se um país ou organismo internacional oferece grau adequado de proteção de dados. Dessa feita, segundo a lei, os seguintes casos são permitidos:

a) para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado ao à LGPD;

b) quando o controlador oferecer e comprovar garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados na forma de cláusulas contratuais específicas para determinada transferência, normas corporativas globais, selos, certificados e códigos de conduta regularmente emitidos;

c) quando a transferência for necessária para a cooperação jurídica internacional entre órgãos públicos de inteligência, de investigação e de persecução, de acordo com os instrumentos de direito internacional;

d) quando a transferência for necessária para a proteção da vida ou da incolumidade física do titular ou de terceiro;

e) quando a ANPD autorizar a transferência;

f) quando a transferência resultar em compromisso assumido em acordo de cooperação internacional;

g) quando a transferência for necessária para a execução de política pública ou atribuição legal do serviço público, sendo dada publicidade;

h) quando o titular tiver fornecido o seu consentimento específico e em destaque para a transferência, com informação prévia sobre o caráter internacional da operação, distinguindo claramente esta de outras finalidades;

i) quando necessário para o cumprimento de obrigação legal ou regulatória pelo controlador;

j) quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a seu pedido; e

k) para o exercício regular de direitos em processo judicial, administrativo ou arbitral (LGPD, 2018).

4.5 Medidas Aplicáveis

De forma geral, para cumprir com a LGPD, os agentes de tratamento deverão fazer a gestão dos riscos associados ao fluxo de informação, priorizando medidas organizacionais tendo em vista os custos relacionados com sua implantação.

O programa de compliance deverá agregar medidas multidisciplinares, formuladas por profissionais com expertise jurídica e conhecimento de tecnologia da informação. A LGPD estabelece uma série de obrigações para os agentes de tratamento, as quais exigirão não apenas a reestruturação de medidas organizacionais internas, mas também a existência de medidas técnicas que permitam o cumprimento prático das regras estabelecidas pela lei.

Medidas Organizacionais:

a) Políticas de proteção de dados, tanto para uso interno (funcionários) quanto para uso externo (usuários de website), como por exemplo os Termos de Uso e Política de Privacidade;

b) Politicas de segurança da informação, de acordo com o modelo de negócios e tipo de organização, na medida em que o fluxo da informação difere de empresa para empresa;

c) Código de condutas para utilização de equipamentos, definindo como funcionários e/ou terceiros devem agir para garantir a proteção da informação quando da utilização dos equipamentos, como por exemplo computadores pessoais;

d) Código de conduta para trabalho remoto, em razão do uso de informação fora dos perímetros da empresa;

e) Planos de conscientização, visando ao treinamento dos parceiros internos e externos.

Medidas Técnicas:

a) Tecnologias de criptografia e pseudoanonimização, essenciais para cumprimento de regras da LGPD;

b) Sistema de segurança de autenticação, para garantir que apenas o titular dos dados ou terceiro por ele autorizado possa ter acesso ao dado pessoal privado;

c) Ferramentas de monitoramento, que possam identificar qualquer tipo de movimentação ilícita ou indevida nos sistemas de tratamento de dados; d) Sistemas de controle dos dados, para que a empresa possa acessar e

modificar as informações armazenadas de uma pessoa;

e) Ferramentas contra ataques cibernéticos, que possam atuar caso efetivamente exista vazamento de dados.

4.6 Incidente de Segurança

Os incidentes de segurança são definidos como um simples ou mais eventos de segurança da informação indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operações do negócio de uma organização (JIMENE, 2019).

A LGPD não define expressamente o que é um incidente de segurança, mas lista de forma exemplificativa possíveis situações que se encaixam nesse conceito. Assim, vale dizer ainda que “em uma interpretação harmônica da LGPD, pode-se interpretar ‘incidente de segurança’ como um acontecimento indesejado ou inesperado, que seja hábil a comprometer a segurança dos dados pessoais de modo a expô-los a acessos não autorizados e a situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito” (SIS, 2020).

A anomalia de segurança traduz uma situação pré-incidente, ou seja, enquanto impacto dentro da organização não é confirmado, fala-se em anomalia em vez de incidente, podendo esta ser classificada como anomalia comportamental, que é a diferença negativa no comportamento dos usuários, protocolo, relacionada ao mau comportamento na internet ou no padrão de tráfego, detectado por meio de estatísticas no uso dos dados do usuário. O incidente de segurança pode ou não se dar em razão de uma anomalia presente na organização (CARVALHO, 2019).

O agente deverá comunicar à ANPD e ao titular a ocorrência de incidente de segurança da informação que possa acarretar risco ou dano relevante aos titulares. É importante não apenas a remediação, mas também a transparência em relação ao incidente.

A comunicação deverá ser feita em prazo razoável, a ser definido pela ANPD, e conter no mínimo: (a) a descrição da natureza dos dados pessoais afetados; (b) as informações sobre os titulares envolvidos; (c) a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial; (d) os riscos relacionados ao incidente; (e) os motivos da demora, no caso

de a comunicação não ter sido imediata; e (f) as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.

A ANPD avaliará a gravidade do incidente e determinará: (a) a divulgação do fato; (b) medidas para reverter ou mitigar os efeitos do incidente; (c) as medidas técnicas adequadas que tornem os dados ininteligíveis para terceiros; (d) o prazo razoável para responder a incidentes.

4.7 Roteiro para Conformidade com a LGPD

De uma maneira geral, para atender os requisitos da LGPD é necessário seguir um conjunto de passos:

Figura 1: Roteiro para conformidade com a LGPD Fonte: elaborada pela autora (2020)

a) estudar: entender a LGPD para se averiguar se ela se aplica à empresa. Demonstrar a necessidade de cumprir a LGPD por quem cuida do fluxo de dados, com treinamentos e workshops;

b) mapear: o fluxo de dados, para descobrir os riscos e as exposições da empresa quando trata dados e criar relatórios com recomendações;

c) criar: estabelecer um plano de ação para criar um programa de compliance, que inclua medidas de segurança e atividades para gerenciamento de dados e fluxo de informações; Criar Estudar Mapear Executar Monitorar Inovar

d) executar: o programa de compliance, respeitando direitos dos titulares, adequando contratos e revisando procedimentos internos, de boas práticas e de governança corporativa. Indicação do DPO e sua equipe multidisciplinar;

e) monitorar: cumprir com a accountability, agindo com transparência, diligência e ética. Garantir proteção de dados em nível adequado e responder a incidentes de segurança no prazo;

f) inovar: na criação de novos sistemas, meios e processos, deve-se ter sempre em mente o privacy by design.

5 CONSIDERAÇÕES FINAIS

Com o avanço da mobilidade digital e a entrada em vigor da Lei Geral de Proteção de Dados, a indústria de segurança de dados tem fortalecido seu relacionamento com o ecossistema de inovação para assegurar maior proteção aos usuários. Isso implica na criação de programas de mentoria ou contato mais estreito com os agentes do sistema.

Em uma sociedade na qual as fintechs tem ganhado espaço no mercado financeiro, com destaque ao surgimento de bancos em que os correntistas fazem tudo pelo celular ou pelo computador. O desafio de oferecer segurança de dados ganha atenção especial. Formar cultura interna e ter contato estreito com universidades e especialistas externos formam a receita.

A segurança de dados não envolve apenas troca de informações ou investimentos em cibersegurança, mas do conhecimento de quem utiliza e de quem disponibiliza as informações.

Nesse contexto, as empresas deverão se adequar aos mandamentos da LGPD, desde a indicação de um encarregado, como a elaboração e implantação de procedimentos internos, aproveitando-se já do conceito de governança corporativa já implementados para outras áreas da administração.

Tal desafio pode ser livremente inspirado no GDPR e sua vasta regulamentação e até mesmo casos já tratados, levando-se em conta o contexto global de transações e transferência de dados, não nos olvidando, todavia, de que estamos tratando, em última análise e, acima de tudo, de um direito humano fundamental, que é o direito à privacidade.

REFERÊNCIAS

AURUM. Arthur Bobsin. Qual a relação entre Compliance e LGPD? Acesso em 09/04/2019. Disponível em: https://www.aurum.com.br/blog/compliance-e-a-lgpd/

BEVILÁQUA, Clóvis. Código Civil Comentado Comentado. Edição Histórica. Rio de Janeiro: Rio, 1979.

BOFF, Salate Oro. Proteção de Dados e Privacidade. Lumen Juris, 2018. CARVALHO, Andre Castro. Manual do Compliance. Editora Forense, 2018.

CARVALHO. André Castro. SOUZA, Vinícius Lobianco. Segurança da informação e resposta a incidentes de vazamento no contexto da Lei Geral de Proteção de Dados. in: Revista do Advogado n. 144. Nov 2019. P. 154

DINIZ, Maria Helena. Curso de Direito Civil Brasileiro. Vol. 3. 27 ed. São Paulo: Saraiva, 2011.

FERNANDES. R. A. Governança Corporativa no Cenário Brasileiro. Disponível

em:

https://swisscam.com.br/publicacao/doing-business-in-brazil/5-governanca-corporativa-no-cenario-brasileiro/. 2019. Acesso em: 01/02/2020

FIA. O que é gestão de risco? 2018. Acesso em 09/04/2019. Disponível em:

https://fia.com.br/blog/gestao-de-risco/

FOULSHAM, Mark. GDPR: Guiding Your Business to Compliance: A practical guide to meeting GDPR regulations. Amazon, 2018.

FOULSHAM, Mark. How to achieve and maintain Compliance. Routledge, 2018. GOMES. Maria Cecilia de Oliveira. Relatório de Impacto à proteção de dados pessoais. Uma breve análise da sua definição e papel na LGPD. In. Revista do Advogado n. 144. Nov 2019. P. 174

GONÇALVES, Carlos Roberto. Responsabilidade civil. 13ª ed. São Paulo: Saraiva, 2011.