Por Camila Murta
A Lei Geral de Proteção de Dados (LGPD) passou a vigorar no dia 18 de setembro de 2020, consolidando a necessidade de adequação de pessoas físicas, empresas privadas e órgãos públicos à proteção de dados pessoais.
Referida Lei Federal possui, no seu corpo, princípios, fundamentos e ações que todas as pessoas, empresas e governos que tratem dados pessoais devem seguir e coloca o dono da informação como figura central: o titular dos dados é o foco.
Dentre as ações destacadas na legislação está a formulação de uma política de governança de proteção dos dados, prevista no artigo 50 da Lei 13.709/2018, senão vejamos:
Art. 50. Os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.
§ 1º Ao estabelecer regras de boas práticas, o controlador e o operador levarão em consideração, em relação ao tratamento e aos dados, a natureza, o escopo, a finalidade e a probabilidade e a gravidade dos riscos e dos benefícios decorrentes de tratamento de dados do titular.
§ 2º Na aplicação dos princípios indicados nos incisos VII e VIII do caput do art. 6º desta Lei, o controlador, observados a estrutura, a escala e o volume de suas operações, bem como sensibilidade dos dados tratados e a probabilidade e a gravidade dos danos para os titulares dos dados, poderá:
I – implementar programa de governança em privacidade que, no mínimo:
a) demonstre o comprometimento do controlador em adotar processos e políticas internas que assegurem o cumprimento, de forma abrangente, de normas e boas práticas relativas à proteção de dados pessoais;
b) seja aplicável a todo o conjunto de dados pessoais que estejam sob seu controle, independentemente do modo como se realizou sua coleta;
c) seja adaptado à estrutura, à escala e ao volume de suas operações, bem como à sensibilidade dos dados tratados;
d) estabeleça políticas e salvaguardas adequadas com base em processo de avaliação sistemática de impactos e riscos à privacidade;
e) tenha o objetivo de estabelecer relação de confiança com o titular, por meio de atuação transparente e que assegure mecanismos de participação do titular;
f) esteja integrado a sua estrutura geral de governança e estabeleça e aplique mecanismos de supervisão internos e externos;
g) conte com planos de resposta a incidentes e remediação; e
h) seja atualizado constantemente com base em informações obtidas a partir de monitoramento contínuo e avaliações periódicas;II – demonstrar a efetividade de seu programa de governança em privacidade quando apropriado e, em especial, a pedido da autoridade nacional ou de outra entidade responsável por promover o cumprimento de boas práticas ou códigos de conduta, os quais, de forma independente, promovam o cumprimento desta Lei.
§ 3º As regras de boas práticas e de governança deverão ser publicadas e atualizadas periodicamente e poderão ser reconhecidas e divulgadas pela autoridade nacional.
Como se vê, a LGPD, em seu bojo, já traz as ações necessárias para a adequação ao regramento, os itens em destaques (grifos nossos) demonstram ações que, muito embora possam ser consideradas complexas, são necessárias para a correta governança dos dados pessoais.
Nesse sentido, antes de adentrar aos termos da LGPD, apresentam-se breves considerações sobre a governança corporativa, que abarca os desdobramentos de gestão e controle previstos na Lei 13.709/18.
Os conceitos de governança corporativa pública remontam desde antes da Lei das S.A’s (Lei Federal nº 6.404/76), a qual trouxe aspectos importantes e norteadores das boas práticas de governança, esculpidos nos artigos 153 a 157, destacando os deveres e responsabilidades dos gestores, como os deveres de diligência, de sigilo, de lealdade e de divulgação dos atos. E,
especialmente, destaca a responsabilidade civil e criminal dos atos praticados decorrentes da gestão.
Assim, considerando que a governança corporativa nas empresas públicas estatais visa a estabelecer o conjunto de papéis e as relações entre acionistas e gestores, bem como suas obrigações, e levando em consideração o papel da empresa estatal de braço empresarial do governo na atuação do Estado como empreendedor, é fato que será merecedor de maior regulação e mecanismos de controle, sem impedir o desempenho qualitativo de sua atuação.
Com o advento da Lei das Estatais (Lei Federal nº 13.303/2016), a qual supriu uma omissão legislativa de regulamentação do art. 173, §1º da CF/19881, a Governança Corporativa, enfim, obteve o devido reconhecimento com legislação especifica para as empresas públicas, das sociedades de economia mista e subsidiárias.
A Lei 13.303/2016 traz 04 pilares da Governança, aplicáveis tanto às empresas privadas, quanto às públicas, sendo eles: responsabilidade corporativa, transparência, prestação de contas, equidade.
Dentre os pilares, o da transparência abarca diversos instrumentos de governança, a exemplo citam-se: Carta Anual de Política de Governança Corporativa, Código de Conduta e Integridade, Relatório Anual das Contas, Regimento Interno dos Conselhos e Comitê, Política de Divulgação de Informações, dentre outros.
Percebe-se que as regras de governança previstas na Lei das Estatais tem por voga a profissionalização dos gestores, dando enfoque às decisões a serem tomadas pela Diretoria e pelo Conselho de Administração da empresa e para que essas decisões sejam tomadas de forma transparente, pautada na eficiência.
O Instituto Brasileiro de Governança Corporativa – IBGC² define governança corporativa como sendo: o sistema pelo qual as empresas e demais organizações são dirigidas, monitoradas e
incentivadas, envolvendo os relacionamentos entre sócios, conselho de administração, diretoria, órgãos de fiscalização e controle e demais partes interessadas.
As boas práticas de governança corporativa convertem princípios básicos em recomendações objetivas, alinhando interesses com a finalidade de preservar e otimizar o valor econômico de longo prazo da organização, facilitando seu acesso a recursos e contribuindo para a qualidade da gestão da organização, sua longevidade e o bem comum.
Assim, as regras, processos, procedimentos e controles efetivados pela governança corporativa importam seus conceitos e estrutura para a governança de dados e, mais precisamente, para a governança de dados pessoais e da privacidade, ora em voga, pelo instituto da Lei Geral de Proteção de Dados.
A governança de dados, segundo Daniela Cabella (3) , se relaciona com o gerenciamento de dados confluindo para o planejamento, monitoramento e execução dos dados como ativos. Tendo por objetivo: gerenciar os dados; definir, aprovar, comunicar e implementar princípios, políticas, procedimentos, métricas, ferramentas e responsabilidades para gerenciamento de dados; e monitorar e orientar atividades de conformidade com políticas, uso de dados e gerenciamento. Neste caso, a governança se dá tanto nos dados considerados pessoais, como nos dados não pessoais (dados estatísticos, anonimizados, estratégias empresariais, indicadores etc.).
A governança de dados pessoais e de privacidade está intimamente ligada ao princípio Constitucional da Privacidade. Mais do que isso, em recente decisão acerca das ADIs n.º 6387, 6388, 6389, 6390 e 6393, o STF reconheceu a Proteção de Dados como Direito Fundamental. Assim, levando em conta os quatro pilares da governança, as empresas públicas e privadas devem assumir a responsabilidade pelos tratamentos realizados com dados pessoais, pela transparência das informações de tratamento, prestar contas ao Titular e, por fim, garantindo a equidade, independentemente de como os dados foram coletados ou são tratados (todos previstos na LGPD!). Conforme explica Giovannnini Junior (4), “O cuidado com o tratamento de dados pessoais deverá fazer parte da operação da empresa, intimamente ligado com seus processos internos, visando fornecer a segurança que os titulares dos dados pessoais esperam (…)”.
Podemos complementar ainda, que além da segurança esperada pelo titular, fica patente a obrigação da empresa pública em conscientizar seus empregados e funcionários sobre o
tema, a importância da participação da alta direção (Tone from the Top) e a transparência – tanto ativa, como passiva – junto aos stakeholders (5), principalmente, o Titular.
Nesse sentido, ocorrerá uma espécie de autorregulação dos agentes de tratamentos – ao menos até o início das atividades da Autoridade Nacional de Proteção de Dados (ANPD) –
com a definição de boas práticas de acordo com seu tamanho (estrutura, escala e volume das operações de tratamento de dados pessoais), o escopo, riscos e benefícios que o tratamento pode trazer ao titular.
Ou seja, o programa de governança de privacidade deve estar intimamente ligado ao programa de governança das empresas estatais, à sua missão e aos valores, definindo papéis e responsabilidades, demonstrando o comprometimento com o tema, definindo políticas e normas, sendo atualizados de forma constante e, principalmente, manter a relação de confiança com o Titular e com os demais stakeholders.
Conclui-se que a governança de dados e de privacidade está sob o comando da governança corporativa, compondo um sistema que dirige a empresa por meio de boas práticas que contribuem para sua gestão e longevidade, e, principalmente, para o bem comum.
Camila Murta é advogada na área de licitações e contratos com atuação junto ao tribunal de contas do estado de SP e atuante com governança digital e inovação tecnológica para governo.
Referências
1 Art. 173. Ressalvados os casos previstos nesta Constituição, a exploração direta de atividade econômica pelo Estado só será permitida quando necessária aos imperativos da segurança nacional ou a relevante interesse coletivo, conforme definidos em lei. § 1º A lei estabelecerá o estatuto jurídico da empresa pública, da sociedade de economia mista e de suas subsidiárias que explorem atividade econômica de produção ou comercialização de bens ou de prestação de serviços, dispondo sobre: I – sua função social e formas de fiscalização pelo Estado e pela sociedade; II – a sujeição ao regime jurídico próprio das empresas privadas, inclusive quanto aos direitos e obrigações civis, comerciais, trabalhistas e tributários; III – licitação e contratação de obras, serviços, compras e alienações, observados os princípios da administração pública; IV – a constituição e o funcionamento dos conselhos de administração e fiscal, com a participação de acionistas minoritários; V – os mandatos, a avaliação de desempenho e a responsabilidade dos administradores.
2 https://www.ibgc.org.br/conhecimento/governanca-corporativa
3 CABELLA, Daniela M.M.S. Afinal de contas: o que é a “Governança em Privacidade” da LGPD?. Migalhas – 03/07/2020. Disponível em: https://migalhas.uol.com.br/depeso/330230/afinal-de-contas-o-que-e-agovernanca-em-privacidade-da-lgpd
4 GIOVANNINI JUNIOR, J.L. Fase 4: governança de dados pessoais in LGPD Lei Geral de Proteção de Dados Manual de Implementação. Viviane Nóbrega Maldonado coordenação – São Paulo: Thomson Reuters Brasil. 2019.
5 Stakeholders ou Interessados: São os indivíduos e organizações que sofram impactos, tenham interesse ou sejam influenciados pelas tomadas de decisão dos gestores.