Outsourcing e proteção de dados: cinco estratégias que toda empresa de tecnologia precisa considerar
Nos últimos anos, o modelo de trabalho em outsourcing tem ganhando cada vez mais defensores…
As constantes evoluções tecnológicas fizeram com que a sociedade atingisse a chamada “Era da Informação”, na qual existe um comércio antes nunca explorado, o de venda de dados. Diversos empresários criaram modelos de negócio para esse nicho de mercado, praticando a comercialização de dados pessoais sensíveis ou não, de pessoas físicas ou jurídicas, adquirindo um grande capital com a comercialização dessas informações. Apesar da existência desse cenário nacional e internacional, até o começo do ano de 2018, não havia nenhuma legislação pátria específica que tratasse especificamente dessa temática.
Em 14 de agosto de 2018, foi sancionada, no Brasil, a Lei Geral de Proteção de Dados, inspirada no Regulamento Europeu e com a finalidade de tutelar e proteger os dados pessoais de maneira adequada. Dessa forma, surgiram diversas obrigações para as empresas quanto a coleta, uso, armazenamento e garantia de completude dos dados pessoais fornecidos pelas pessoas físicas ou jurídicas, sob pena de severas sanções.
Também trouxe, aos titulares dos dados, o direito de propor, contra as empresas ou entidades públicas, uma demanda judicial, a fim de ressarci-los do mau uso de suas informações. Portanto, é de suma importância que tais detentores tenham um programa de compliance efetivo, com a finalidade de proteção para a sua vida empresarial.
Este artigo visa apresentar um breve relato acerca da Lei Geral de Proteção de Dados, que ainda é uma novidade para muitos empresários. Você verá:
Boa leitura!
A Lei 13.709/2019 passa a regulamentar no Brasil a informação por intermédio de dados na era digital, classificando o que é sensível do que não é sensível, o que poderá ser público e privado, sendo que a Lei Geral de Proteção de Dados define essa tipificação da seguinte forma:
I – dado pessoal: informação relacionada a pessoa natural identificada ou identificável;
II – dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
Esses dados pessoais são concernentes ao direito da vida privada e a privacidade da informação do ser humano. Dessa forma, o direito à privacidade consiste em um direito fundamental e o qual assegura, ao seu titular, que seus dados pessoais, sejam eles sensíveis ou não, não sejam submetidos, sem a sua devida autorização, à publicidade, ou, ainda, ao comércio, com terceiros interessados.
Em suma, para que ocorresse o implemento da Lei 13.709/2018, foi necessário um amplo debate com a sociedade e com especialistas. Tudo isso, para que houvesse a junção do entendimento jurídico ao entendimento técnico acerca da especificidade da temática da nova Lei junto ao legislativo.
No Brasil, até o começo do ano de 2018, não existia nenhuma legislação específica que tratasse sobre a temática de proteção de dados pessoais, sejam eles dados de pessoas físicas ou jurídicas, o que ocasionava uma grande lacuna nesse importante campo de tutela de direitos, de forma especial, naquilo que diz respeito à venda de informações no mundo digital. Dessa forma, eram usadas legislações esparsas para que esses “vazios” fossem preenchidos.
A Constituição Federal de 1988 prevê, em seu artigo 1°, inciso III, um dos fundamentos do Estado Democrático de Direito, a Dignidade da pessoa humana. Um pouco mais adiante, em seu art. 5°, o inciso X retrata que “são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurado o direito a indenização pelo dano material ou moral decorrente de sua violação”.
No mesmo sentido, o Código Civil de 2006, dispõe que:
“A vida privada da pessoa natural é inviolável, e o juiz, a requerimento do interessado, adotará as providências necessárias para impedir ou fazer cessar ato contrário a essa norma”.
O Código de Defesa do Consumidor também era utilizado para dispor sobre a temática da proteção de dados. Em seu art. 43, ele apresenta os preceitos a serem seguidos a respeito do acesso do proprietário dos dados às suas informações arquivadas em cadastros, fichas, dados pessoais e de consumo.
Em 2014, houve um pequeno avanço na legislação interna do país, quando entrou em vigor o denominado Marco Civil da Internet. Entretanto, tal disposição não gerou grandes impactos acerca da tutela da proteção dos dados pessoais, considerando o fato de que ele dispôs brevemente sobre o tema em seu art. 11:
Art. 11. Em qualquer operação de coleta, armazenamento, guarda e tratamento de registros, de dados pessoais ou de comunicações por provedores de conexão e de aplicações de internet em que pelo menos um desses atos ocorra em território nacional, deverão ser obrigatoriamente respeitados a legislação brasileira e os direitos à privacidade, à proteção dos dados pessoais e ao sigilo das comunicações privadas e dos registros.
Como vimos, as legislações acima não tratam, de maneira objetiva e específica, acerca dos dados pessoais, principalmente ao abordar a coleta e o armazenamento de dados em um ambiente separado do tratamento deles, visto que o armazenamento e a coleta são uma das várias formas de tratamento de dados pessoais.
Entretanto, tem-se, então, no ano de 2018, a ascensão da temática em território brasileiro, com a promulgação da Lei Geral de Proteção de Dados – 13.709/2018, que trata unicamente sobre uma política nacional para a proteção de dados pessoais. É incontestável que apenas a regulamentação legal não é suficiente para esgotar todas as lacunas existentes na temática. Assim, é de suma importância que a sociedade, em especial os interessados, no caso os empresários, permaneçam vigilantes sobre a aplicabilidade da legislação, bem como aos pareceres dos tribunais, a fim de que seja consolidado os futuros preceitos acerca de como o mercado deverá se comportar frente as alterações, trazendo, ao Brasil, uma realidade já existente em outros países.
Em síntese, é notória a preocupação do legislador em buscar assegurar, para a pessoa física ou jurídica, o direito à privacidade e à intimidade concernente aos seus dados pessoais. Por isso, pode-se afirmar que a Lei Geral de Proteção de Dados é um marco no judiciário brasileiro, considerando que é ela quem irá determinar como as empresas deverão negociar, gerenciar, administrar e proteger os dados que estiverem sob seus cuidados. Em consequência desse fato, é de suma importância que os empresários tenham implantado uma efetiva política de compliance acerca das informações obtidas de seus clientes, a fim de evitar a aplicação das sanções dispostas em Lei.
A palavra “Compliance” vem do verbo em inglês “to comply”, ou seja, agir de acordo com uma ordem, ou, ainda, “cumprimento de algo” ou “de acordo com algo”. Atualmente, ela vem sendo utilizada para dar sentido ao que chamam de integridade corporativa, englobando o regramento que as empresas e instituições, públicas ou privadas, devem seguir.
Um compliance efetivo faz jus ao cumprimento das Leis e dos regramentos internos e externos, com a finalidade de atender as legislações existentes, bem como cumprir os regulamentos internos da própria empresa. Ademais, entende-se, por normativas internas, aquelas existentes justamente para garantir a execução do regramento externo.
É evidente que, no Brasil, existe a política da livre concorrência. Entretanto, é sabido, também, que o mercado, em geral, é regulado por diversos fatos. Por isso, a existência de um compliance efetivo é um excelente insumo para que existam as melhores tomadas de decisão, fazendo com que exista uma efetiva execução estratégica para uma empresa, trazendo-lhes os melhores resultados.
Com a promulgação da Lei Geral de Proteção de Dados, o Brasil adentrou no quadro dos países com uma legislação especifica no tema, equiparando-se aos principais regulamentos dos demais países da Europa, por exemplo, o que, certamente, propiciará, aos empresários, a abertura de mercado, com a celebração de novos negócios, nacionais e internacionais. Cabe destacar, também, que o texto sancionado terá aplicabilidade até nas empresas com sede em outros países, desde que a operação e o tratamento de dados sejam realizados em âmbito nacional.
A própria legislação estabelece, em seus artigos, a maneira pela qual deve-se dar uma minuciosa aplicação de uma política de compliance, visando proteger os direitos antes mencionados, em especial no que concerne a gestão de riscos, conforme nota-se em seu artigo 46:
Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
A legislação é autoexplicativa acerca da importância da elaboração de um programa de governança. Não só, mas é direta ao estabelecer que os agentes de tratamento dos dados pessoais deverão adotar um esquema de segurança efetivo, o qual deverá ser feito por meio do gerenciamento dos riscos referentes à sua atividade especifica, a fim de evitar que pessoas não autorizadas tenham acesso aos dados sensíveis ou não.
Caso esse acesso ocorra, pode ser aplicada uma sanção civil, que pode chegar a uma multa no teto de R$ 50.000.000,00 (cinquenta milhões de reais) por incidente, sem prejuízo no âmbito criminal que será tratado caso a caso. Em contrapartida, cabe destacar que aquelas empresas que exercerem um Compliance de Dados de fato, poderão ter sua a pena atenuada ou extinta.
Na implantação de um sistema de compliance, o Mapeamento dos Riscos é uma das fases de maior importância para o desenvolvimento de uma política de integridade, visto que é nessa etapa que se toma conhecimento de todos os riscos relevantes, bem como as consequências que eles podem gerar. Em outras palavras, é de extrema importância que a empresa tenha conhecimento dos riscos de seu negócio, para que possa obter êxito em uma política preventiva, tendo, como objetivo, ser uma instituição que seja referência no mercado em relação ao seu comprometimento e segurança.
Caberá, a cada empresa, criar os seus próprios critérios na avaliação dos riscos. Assim, o seu grau de complexidade deverá ser proporcional às atividades desempenhadas e deve-se levar em consideração, também, o porte da empresa, se atende apenas o mercado nacional ou se tem público no mercado internacional. Um dos meios efetivos para que a empresa esteja adequada a todos os mercados é a certificação da ISO 37001, uma normativa internacional utilizada para classificar uma instituição como adequada para a gestão de riscos, incluindo tomadas de decisões em todos os níveis.
A implantação de um sistema de compliance de dados deverá atender o que dispõe a própria Lei 13.709/2018, estando compatível a todos os princípios dispostos nela, a saber:
Art. 6º As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:
I – Finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
II – Adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
III – Necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
IV – Livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
V – Qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
VI – Transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;
VII – Segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
VIII – Prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
IX – Não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;
X – Responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.
Para o desenvolvimento de uma metodologia eficaz para a avaliação dos riscos em uma empresa, devem ser seguidos alguns passos, conforme retrata a sequência a seguir:
1º passo: Seleção e Estudo do Processo para a Gestão de Riscos, ou seja, declaração das intenções e diretrizes gerais de uma organização relacionadas à gestão de riscos;
2º passo: Identificação dos riscos, ou seja, encontrar a sua origem e as suas consequências potenciais;
3º passo: Análise de Riscos, determinando seu nível, que é medido por probabilidade x impacto;
4º passo: Avaliação dos Riscos, comparando os resultados da análise com os critérios de riscos, a fim de determinar se o risco e/ou sua magnitude é aceitável ou tolerável;
5ª passo: Tratamento dos Riscos, que nada mais é, senão o procedimento adotado para a modificação do risco;
6º passo: Comunicação e Monitoramento, para que ocorra uma constante reavaliação dos riscos, seja em função de denúncias recebidas ou não cumprimento de requisitos ou mudanças significativas no negócio.
Dessa forma, é notório que o empresário que tiver o gerenciamento dos riscos de seu negócio estará a frente de seus concorrentes quando haver a entrada em vigor da Lei Geral de Proteção de Dados. Em especial, ele estará a salvo de que pessoas não autorizadas invadam o seu banco de dados.
Segundo o que foi exposto, pode-se observar a importância da Lei Geral de Proteção de Dados, que gerou um significativo avanço no ordenamento em relação ao tratamento dos dados pessoais. Ainda que a referida Lei tenha sido promulgada com alguns vetos, especialmente no que diz respeito às Autoridades Fiscalizadoras, em 27 de dezembro de 2018, foi sancionada pelo Presidente da República a Medida Provisória nº869, que criou a Autoridade Nacional de Proteção de Dados, o órgão fiscalizador responsável por exercer as competências estabelecidas no decorrer da Lei 13.709/2018.
É valido ressaltar que a nova Lei trará um grande desenvolvimento em todos os seguimentos, sejam eles públicos ou privados, na maneira de conduzir e gerenciar os negócios dentro do Brasil ou no mercado externo. Por essa motivação, é de suma importância que essas empresas estejam, até a entrada em vigor da Lei 13.708/2018, com uma efetiva Política de Compliance aplicado em sua instituição, sobretudo por ela ser um fator atenuante na aplicação das sanções administrativas, conforme retrata o art. 52, §1º, inciso VIII.
ABNT. Associação Brasileira de Normas Técnicas. ISO 31000. Gestão de riscos – Princípios e diretrizes. Rio de Janeiro: ABNT, 2009.
BRASIL. Constituição (1988). Constituição da República Federativa do Brasil: promulgada em 05 de outubro de 1988. Disponível em: <http://www.planalto.gov.br/ccivil_03/constituicao/constituicaocompilado.htm>. Acesso em: 18 nov. 2018.
______. Lei n° 8.078, de 11 de setembro de 1990. Dispõe sobre a proteção do consumidor e dá outras providências. Disponível em: <http://www.planalto.gov.br/ccivil_03/leis/L8078.htm>. Acesso em: 18 nov. 2018.
______. Lei n° 10.406, de 10 de janeiro de 2002. Institui o Código Civil. Disponível em: <http://www.planalto.gov.br/ccivil_03/leis/2002/L10406.htm>. Acesso em: 18 nov. 2018.
______. Lei nº 12.965, de 23 de abril de 2014. Estabelece princípios, garantias, direitos e deveres para o uso da Internet no Brasil. Disponível em: <http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2014/lei/l12965.htm>. Acesso em:
______. Lei nº 13.709, de 14 de agosto de 2018. Dispõe sobre a proteção de dados pessoais e altera a Lei nº 12.965, de 23 de abril de 2014 (Marco Civil da Internet). Disponível em: <http://www.planalto.gov.br/ccivil_03/_Ato2015-2018/2018/Lei/L13709.htm>. Acesso em: 18 nov. 2018.
CANDELORO, A. P. P.; DE RIZZO, M. B. M.; PINHO, V. Compliance 360º: riscos, estratégias, conflitos e vaidades no mundo corporativo. São Paulo: Trevisan Editora Universitária, 2012.
CIFUENTES, S. Derechos personalísimos. Buenos Aires: Editorial Astrea de Alfredo y Ricardo Depalma, 2008.
COIMBRA, M. de A.; MANZI, V. A. (Orgs.). Manual de compliance: preservando a boa governança e a integridade das organizações. São Paulo: Atlas, 2010.
LONGMAN. L Dicionário Escolar Pack With CD ROM. 2. ed. São Paulo: Pearson Brasil, 2009.
BRASIL. Ministério da Transparência e Controladoria-Geral da União. Guia prático de gestão de riscos para a integridade. Brasília, 2018.
RAMOS, A. de C. Curso de Direitos Humanos. 5. ed. São Paulo: Saraiva, 2018.
TAVARES, A. R. Curso de Direito Constitucional. São Paulo: Saraiva, 2017.
Comments (0)