A recente lei brasileira que regula a proteção dos dados pessoais Lei nº 13.709/2018 – LGPD, foi criada, em síntese, com o objetivo de garantir aos titulares maior nível de proteção em relação aos seus dados pessoais, exigindo dos agentes que realizam o tratamento desses dados maior controle e comprometimento com a observância dos princípios que norteiam a lei e também maior transparência e segurança em relação aos dados pessoais disponibilizados.
Com a constante veiculação de incidentes de vazamentos de dados ou ataques cibernéticos, é possível constatar a existência de vulnerabilidades das empresas no que se refere ao tema, especialmente no Brasil, onde a preocupação com a proteção dos dados pessoais ainda está sendo difundida e absorvida na sociedade.
Mas afinal, quais são as consequências legais desses incidentes? Que medidas devem ser tomadas para evitar esse risco? Essas são algumas das principais perguntas que afligem as empresas, considerando as responsabilidades envolvidas.
Sem desvalorizar as providências que podem ser adotadas pelos próprios titulares para diminuir o risco desses vazamentos, é importante destacar que a responsabilidade por proteger os dados é daqueles que os recebem e realizam o tratamento, sejam entendidas públicas ou privadas.
Ainda que o tratamento dos dados pessoais seja realizado com enquadramento nas bases legais previstas, será considerado irregular se não proporcionar ao titular a segurança necessária, inclusive em razão da utilização de técnicas inadequadas ou insuficientes para conferir proteção em relação a vazamento de dados.
A LGPD prevê que em caso de infrações às normas poderão ser aplicadas pela autoridade Nacional de Proteção de Dados – ANPD, em face dos agentes de tratamento, sanções administrativas como a aplicação de multa correspondente a 2% do faturamento anual da empresa envolvida em vazamentos como este, limitada a R$ 50 milhões por infração; a publicização da infração; dentre outras penalidades.
Um ponto essencial a ser considerado para afastar as possíveis penalidades decorrentes da violação da LGPD, o que inclui a ausência de cuidados com a correção de possíveis vulnerabilidades, é sem dúvida a ação preventiva. Sobretudo porque a dosimetria da sanção, que ocorrerá de acordo com cada casa concreto, considerará os critérios indicados na própria lei, dentre os quais cabe destacar a gravidade da infração e a adoção reiterada de mecanismos e procedimentos internos capazes de minimizar o dano causado.
Será considerado irregular o tratamento de dados pessoais que deixar de observar a legislação ou que não fornecer ao titular a segurança que ele pode esperar, consideradas, dentre outras circunstâncias relevantes, “as técnicas de tratamento de dados pessoais disponíveis à época em que foi realizado” (Art. 44, III, da LGPD).
Apesar disso, a lei não atrela a segurança exclusivamente à adoção de medidas técnicas. Em linha com que estabelece o princípio da segurança, elencado na LGPD, os agentes de tratamento deverão utilizar-se de “medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão”.
Em resumo, para garantir a efetiva proteção dos dados pessoais não basta a utilização de medidas técnicas, sendo imprescindível também a adoção de medidas de ordem administrativa.
As medidas a serem adotadas não dizem respeito apenas à segurança de informação. Até mesmo porque nem todo vazamento decorre de violação do sistema de segurança, assim como nem todo tratamento incide sobre os dados pessoais on-line/digitais mas também off-line/físicos, sendo possível, portanto, a causa decorrente de culpa ou dolo dos próprios colaboradores.
Isso reflete a necessidade de aplicação das regras de compliance, visando alterar a cultura dos colaboradores, para fins de assegurar a observância das novas exigências legais. Isso corresponde ao incentivo ao desenvolvimento da cultura da privacidade e da proteção de dados pessoais.
A nova lei requer medidas preventivas para evitar a violação dos direitos fundamentais à privacidade e intimidade dos titulares dos dados pessoais.
Foi justamente com base nisso que direcionou uma seção para tratar de boas práticas e governança, por reconhecer como significativa a implementação do que ela intitulou ser o “programa de governança em privacidade”. Não se trata de uma imposição da lei, mas sim de uma possibilidade concedida aos agentes de tratamento e que só traz consequências positivas, em especial considerando-se que a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano decorrente da infração da lei será um item a ser considerado como atenuante no momento de eventual imposição de sanções administrativas.
Para tanto, as organizações públicas e privadas devem estabelecer procedimentos corporativos para que os seus colaboradores sigam as orientações apresentadas em seus códigos de conduta/boas práticas e políticas internas. Isso porque somente poderá ser exigido dos colaboradores o cumprimento das orientações que tenham sido repassadas de forma suficientemente completa e clara.
É indispensável garantir internamente a difusão das regras a serem seguidas, por meio da adoção de mecanismos de compliance e implementação de boas práticas no tratamento dos dados pessoais, de modo a garantir a fixação de controles internos e, via de consequência, a prevenção de condutas em desacordo com os comandos da legislação.
Convém ressaltar, ainda, que para assegurar a eficiência do programa de compliance, é necessária a sua contínua avaliação, com a análise dos riscos e realização de treinamentos visando a orientação sobre a relevância dos cuidados necessários ao tratamento dos dados pessoais.
Ao adotar tais providências, as empresas estarão certamente trilhando rumo a uma adequação efetiva às novas regras impostas pela LGPD e, em decorrência dessas ações, conseguirão também mitigar os riscos de vazamento e outros incidentes de segurança.
Autora: Jeniffer Mayumi Mori
Advogada sênior da área Societária e Empresarial do escritório Gaia Silva Gaede Advogados, em Curitiba, LL.M. em Direito Empresarial pela FIEP e membro da Comissão de Estudos sobre Compliance e Anticorrupção Empresarial da OAB/PR, Seccional de Curitiba.
