O termo compliance, numa acepção objetiva, remete à ideia de conformidade com os regramentos aplicáveis. No Brasil, o primeiro marco legislativo foi a Lei n. 12.846/2013, que ficou conhecida como “Lei Anticorrupção” e trata da responsabilização civil e administrativa por prática de atos contra a administração pública. A ela se seguiram outros atos, em especial as normativas da ABNT (Associação Brasileira de Normas Técnicas) NBR 19600, 19601 e 37001.
Embora correta a percepção de que as políticas de compliance objetivam a mitigação de riscos atrelados à prática de corrupção, estamos diante de um segundo paradigma de conformidade, qual seja, a Lei Geral de Proteção de Dados (Lei n. 13.709/2018, reconhecida pela sigla LGPD). Inspirada no regramento europeu (GDPR), a norma disciplina o uso ético e responsável dos dados pessoais – faceta essa da personalidade que está em vias de se tornar direito fundamental.
A inovação normativa, que terá eficácia plena a partir de agosto/2020, já está trazendo relevante impacto, em especial para as empresas que precisarão adotar as novas regras de conduta. Afinal, não bastasse a inexistência de uma cultura de proteção de dados, somos um dos países que mais têm usuários compartilhando toda a espécie de informações nas redes sociais (em número de usuários, o Brasil é o segundo no Instagram e o terceiro no Facebook).
Num contexto de recentes vazamentos de dados, é evidente que o tema da segurança digital adquira relevância. Engana-se, porém, quem imagina que a LGPD cuida apenas de dados armazenados em meios eletrônicos e/ou que circulam na internet.
Por disposição expressa, a LGPD regula a coleta, o armazenamento, o tratamento e o descarte de dados pessoais em qualquer meio, ou seja, não apenas o digital. A título ilustrativo, imagine-se um contrato de locação de prédio urbano, para o qual dentre os diversos documentos solicitados do locatário e dos garantidores, comumente constam as últimas declarações de imposto de renda. Seja a imobiliária que intermedia a contratação, sejam os representantes do proprietário-locador, todos aqueles que tiverem acesso aos dados pessoais compartilhados terão responsabilidades no que respeita à conservação e manipulação dos mesmos.
Dentre os fundamentos da LGPD, destacam-se os de promover o respeito à privacidade, à liberdade de expressão e de informação, bem como o desenvolvimento econômico e tecnológico e a inovação. O ponto de partida para tanto será o consentimento do titular dos dados. Logo, como o desempenho das atividades empresariais implica a manipulação de dados do indivíduo, desde os mais triviais (ex: a qualificação, com nome, documentos e endereço) até os mais sensíveis (ex: biométricos, genéticos, etc.), recomenda-se a obtenção de autorização para novos cadastros e a renovação para aqueles já existentes.
Segundo determina a lei, as corporações precisarão se estruturar de forma a estabelecer os responsáveis pelo controle e pela operação dos dados, os quais farão a interlocução com a Autoridade Nacional de Proteção de Dados (criada por meio da Lei n. 13.853/2019). Tarefas até então consideradas de menor relevância, como por exemplo a digitalização e armazenamento, demandarão maior atenção de todos os envolvidos.
As consequências para quem não se adequar a essas novas regras já podem ser sentidas. E não consistem somente na possibilidade de imposição de elevadas multas. Já se tem notícias de ações ajuizadas pelo Ministério Público do Distrito Federal com base na LGPD, além de penalizações à grandes empresas por motivo de vazamentos de dados. Destaque-se, ainda, que a exigência de programas de compliance já é realidade em contratações públicas, sem prejuízo de notícia de suspensão de licitação do Estado do Paraná motivada na necessidade de adequação à LGPD.
Nesse contexto, recomenda-se que o diagnóstico das medidas a serem empreendidas tenha início o quanto antes. E que a respectiva execução considere a necessária interação entre as áreas de tecnologia da informação, jurídica e de processos internos, de modo que sejam instituídas boas práticas em termos de proteção de dados pessoais.
Elton Baiocco, OAB/PR 53.402.