Designed by @sentavio / freepik
Todo o cenário de aumento de casos de vazamentos de dados e de informações envolvendo a manipulação e a divulgação de dados, assim como, o crescente uso das tecnologias, fez com que fosse necessário pensar medidas que visassem resguardar os indivíduos de terem seus dados tratados e expostos sem a sua autorização, violando a sua intimidade e a sua privacidade.
Nesse sentido, foi elaborada a Lei Geral de Proteção de Dados – Lei nº 13.709 de 2018, que se inspirou no Regulamento Geral de Proteção de Dados – RGPD – da União Europeia Regulamento (UE) nº 2016 / 679 referente à proteção das pessoas singulares com relação ao tratamento de dados pessoais e à livre circulação desses dados.
O RGPD adotado em maio de 2016 foi elaborado para preparar a Europa para a era digital, reforçar os direitos fundamentais dos cidadãos, bem como, facilitar a atividade comercial, por intermédio da simplificação das normas aplicáveis às empresas no mercado digital único.
Este artigo informa sobre o compliance digital e as boas práticas de governança, englobando os critérios que deverão ser respeitados para o tratamento e o uso de dados, bem como, os pilares que devem ser respeitados nas políticas de privacidade e de segurança da informação.
A Governança corporativa pode ser entendida como o sistema que dirige, monitora e incentiva as empresas, abarca os relacionamentos entre os sócios, o conselho de administração, a diretoria, os órgãos de fiscalização e de controle e as partes interessadas.
De acordo com o IBCG (2015) as boas práticas de governança corporativa transformam os princípios básicos em recomendações objetivas, envolvendo interesses com o intuito de preservar e otimizar o valor econômico a longo prazo da organização, facilitando o seu acesso a recursos e contribuindo para a qualidade da gestão da organização, da longevidade e do bem comum. Os princípios básicos de governança perpassam a transparência, a equidade, a prestação de contas (accountability) e a responsabilidade corporativa.
O artigo 50, § 3º, da LGPD prevê a formulação de regras de boas práticas e de governança nas organizações, que devem ser publicadas e atualizadas de forma periódica e poderão ser reconhecidas e divulgadas pela Autoridade Nacional de Proteção de Dados Pessoais – ANPD.
Conforme indicado pela Doutoranda em Direito (2019) Manuella Santos de Castro, o compliance digital objetiva analisar os riscos e a adoção de medidas preventivas para adequar a organização às regras aplicáveis às tecnologias da informação.
A situação indicada se mostra necessária no cenário atual, em que as empresas necessitam zelar pela boa imagem e pela reputação e a ética deve nortear a conduta da organização e de seus colaboradores.
O tratamento de dados é uma operação realizada com os dados pessoais que tem início com a coleta, passa pelo armazenamento, pelo controle e alcança a difusão ou extração. Os agentes de tratamento são o controlador e o operador.
As atividades de tratamento de dados pessoais devem respeitar a boa-fé e os princípios da finalidade, da adequação, da necessidade, do livre acesso, da qualidade dos dados, da transparência, da segurança, da prevenção, da não discriminação e da responsabilização e da prestação de contas.
O tratamento de dados pessoais deve estar em conformidade com o disposto do artigo 7º ao 10, da Lei nº 13.709 de 2018. O dado pessoal sensível deve passar por um tratamento especial e respeitar as disposições do artigo 11 ao 13, da Lei nº 13.709 de 2018. Com relação aos dados de crianças e de adolescentes deve-se atentar para as indicações do artigo 14, da Lei nº 13.709 de 2018.
Outrossim, cabe informar que o tratamento de dados pelo poder público deve ser realizado com o objetivo de atender à finalidade pública, na busca pelo interesse público, com o intuito de executar as competências legais ou cumprir as atribuições do serviço público. As regras sobre o tratamento de dados pelo poder público estão dispostas do artigo 23 ao 30, da LGPD.
O controlador e o operador devem registrar as operações sobre tratamento de dados pessoais. A ANPD pode determinar que o controlador elabore relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis, no que se refere às operações de tratamento de dados, com base no regulamento, respeitado o segredo comercial e industrial.
A criação de medidas e de regras de boas práticas e de governança é essencial para que todos os requisitos necessários à proteção de dados sejam efetivados. O controlador e o operador ao elaborarem regras de boas práticas, devem levar em consideração, em relação ao tratamento e aos dados, a natureza, o escopo, a finalidade, a probabilidade e a gravidade dos riscos e dos benefícios resultantes de tratamento de dados do titular.
Na aplicação dos princípios, o controlador deve observar a estrutura, a escala, o volume de suas operações, a sensibilidade dos dados tratados, entre outros. A implementação do programa de governança em privacidade deve demonstrar o comprometimento do controlador em adotar políticas internas para garantir a proteção de dados pessoais e a segurança da informação; pode ser aplicável em todos os dados que estiverem sob a responsabilidade do controlador; deve ser adaptado ao dado – estrutura, volume, sensibilidade -; ser atualizado constantemente, ou seja, deve ser capaz de adaptar às mudanças, entre outros.
As regras devem ser atualizadas e publicadas de maneira periódica, podendo serem reconhecidas e divulgadas pela autoridade nacional. A ANPD deve estimular a adoção de padrões técnicos que facilitem o controle pelos titulares de dados pessoais.
Para a criação de um Programa de Privacidade e de Proteção de Dados eficiente deve-se conhecer previamente a empresa e o modelo de negócio adotado; mapear os dados que são coletados e usados pela empresa, identificar os riscos e criar mecanismos com o intuito de proteger os dados contra ameaças; treinar todos os colaboradores e demonstrar a importância de seguir as normas e os procedimentos criados em conformidade com a LGPD. A gestão e a atualização contínua do programa também são pontos importantes que devem ser considerados.
Além disso, para que boas práticas sejam de fato buscadas e efetivadas, é importante que o controlador e o operador respeitem as disposições da LGPD, como os princípios indicados na legislação, os deveres e as responsabilidades. Salienta-se que a prestação de contas – accountability – é um dos princípios da governança corporativa e um dos princípios que também foi incorporado à LGPD, no artigo 6º, inciso X.
Embora haja incerteza quanto à data da entrada em vigor da LGPD, as empresas devem se preparar e se adequar o quanto antes. A adequação à LGPD além de visar garantir a proteção de direitos fundamentais, como é feito pelo RGPD Europeu, melhora a reputação da empresa e gera impacto positivo no desenvolvimento das atividades e nos contratos comerciais.
CASTRO, Manuella Santos de. Compliance em meio digital: análise de casos icônicos de responsabilidade civil. In: MESSA, Ana Flávia.; ESTEVES, João Luiz Martins.;
DOMINGUES, Paulo de Tarso. Governança, compliance e corrupção. São Paulo: Almedina, 2019.
Código das Melhores Práticas de Governança Corporativa. IBGC. 5 ed. São Paulo: IBGC, 2015.
Lei nº 13.709 de 2018.
Proteção de Dados na UE. Comissão Europeia.
Original de Direito Real
Nos siga no
Participe do nosso grupo no
Existem diversos motivos para um trabalhador faltar ao seu serviço, mas se eles estiverem previstos…
Se você já tentou acessar o Caixa Tem e deu de cara com algum erro,…
Se você acha que receber uma herança é só assinar alguns papéis e comemorar o…
Se você está esperando uma boa notícia para o bolso, aqui está: o poder de…
A reforma tributária finalmente saiu do papel, mas será que veio para resolver ou para…
Escolher um curso superior não é tarefa fácil. Mas se a ideia for apostar em…