Artigo Destaque dos editores

A importância da adequação da Lei Geral de Proteção de Dados aos programas de compliance

17/01/2019 às 11:10
Leia nesta página:

Com a chegada da nova Lei de Proteção de Dados, muito da política já implementada nas empresas deve ser atualizada e padronizada.

Sancionada em agosto de 2018, a Lei Geral de Proteção de Dados, também conhecida como LGPD ou Código de Defesa da Privacidade, estabelece regras sobre coleta, tratamento, armazenamento e compartilhamento de dados pessoais gerenciados pelas organizações. Segundo alguns especialistas, trata-se de um alinhamento por parte de nosso país às principais práticas globais de gestão de dados, cuja instituição se deu por influência direta da General Data Protection Regulation  - GDPR, que é a Lei de Proteção de Dados Europeia.

A  General Data Protection Regulation (GDPR) em vigor desde 25/05/18 regula, além das empresas europeias, pessoas físicas ou jurídicas situadas no Brasil que, de alguma forma utilizam dados pessoais de europeus para o desenvolvimento de suas atividades econômicas.

Aqui no Brasil, a legislação de proteção de dados abrange todas as empresas e órgãos da Administração Pública, identificando os dados pessoais dos indivíduos e trazendo todo tipo de informações em geral, inclusive de dados sensíveis. Sabe-se que a lei regula não só dados como nome, RG e CPF, mas que também prevê o tratamento aos dados que se enumeram com informações a respeito da origem, raça ou etnia, saúde, religião e até em relação a opinião pública do indivíduo.

A LGPD, atualmente, vem realizando mudanças sérias de paradigmas em nosso arcabouço legislativo e social, tendo como objetivo, além de proteger a privacidade do cidadão, o de fomentar a inovação, gerando novas maneiras de fazer negócios com maior segurança jurídica.

Nessa toada, o consentimento do titular é imprescindível e se classifica como um dos mais fortes pilares da LGPD, sendo este verdadeira decorrência lógica da privacidade e da autodeterminação informativa. Cuida-se, também, de primeiro requisito autorizador para o tratamento de dados (art. 7º, inciso I da nova Lei), sendo necessário que se colha a manifestação livre, informada e inequívoca do titular. Tal manifestação deve se dar por escrito e em cláusula destacada, e seu compartilhamento com outros controladores deve ser seguida de expressa autorização e de monitoramento periódico.

Demais disso, torna-se primordial a existência de órgão fiscalizador que auxilie o efetivo cumprimento da nova lei até a criação de um órgão regulador para esta novidade normativa. Este deve ser exercido então, provisoriamente, por todos os órgãos de controle nacionais, incluído nestes, o próprio Ministério Público.

Como consequência, inúmeras empresas, mormente aquelas de economia digital, deverão alterar algumas políticas para manter a conformidade com a nova legislação.

E por falar em conformidade, as adequações não param por aí: com a nova lei anticorrupção, as adaptações aos códigos de conduta ética se fazem necessárias, além de novos treinamentos decorrentes dessas grandes mudanças. Muda-se uma cultura na empresa, neste caso, uma agregadora mudança.

Assim, ainda que se promovam inúmeros ajustes decorrentes da implementação da LGPD nas empresas, verifica-se que a nossa Lei Geral de Proteção de Dados chega a ser mais flexível do que a própria GDPR Europeia, apesar de compartilhar dos mesmos princípios essenciais como: consentimento, transparência, auditoria, fiscalização e penalidades, principalmente nos casos em que ocorram incidentes de segurança, como vazamento de informações, por exemplo.

E o que a política de Compliance tem a ver com tudo isso? Diria que tudo. Isso porque com a chegada da nova Lei de Proteção de Dados, muito da política já implementada nas empresas deve ser atualizada e padronizada de acordo com esta novidade legislativa.

Para tanto, faz-se necessária a criação de novas regras e de procedimentos consignados, tanto no código de conduta quanto em normatização interna, no sentido de que sejam feitos upgrades periódicos e atualizados para fins de garantir que as normas de compliance sejam efetivamente cumpridas.

O constante monitoramento desses dados deve ser realizado por um comitê, que em muitos casos é chamado de “Comitê de Compliance”, constituído por profissionais de diversas áreas da empresa, mas que nesse caso, precisará de um forte aliado também na área de tecnologia, sendo este o profissional quem norteará no auxílio da elaboração das novas normas e na implementação dessas novas políticas.

Ressalta-se então, que um dos pontos de partida para conhecer os dados de determinadas empresas e de seu público, pode ser a criação de um mapa visual, o que ajudaria na organização, na abrangência, e na melhor supervisão das informações coletadas.

A partir disso, é essencial que a organização implemente procedimentos padronizados e formas de trabalho para lidar com dados pessoais, e que os funcionários só tenham acesso a eles quando necessários para sua função nos negócios. Diga-se de passagem, a coleta de alguns dados, sempre que comunicada, pode ser repassada aos funcionários da empresa. Isso porque é necessário, para a própria segurança do indivíduo, que seus dados sejam utilizados para determinados procedimentos afetos a operacionalização do objeto empresarial.

Demais disso, muito importante lembrar acerca da existência dos direitos daqueles a quem as informações são divulgadas. Seu consentimento é estritamente necessário e o indivíduo tem a prerrogativa de limitá-los e de revisá-los, sempre que lhe aprouver. As empresas, no entanto, devem respeitar a correção dos dados até mesmo quando forem obrigadas a deletar informações consideradas excessivas, assim como quando for retirado o consentimento àqueles. Dentro de um efetivo programa de governança, o monitoramento contínuo, a revisão das informações, assim como segurança e prazo para armazenamento, devem ser obedecidos.

Fique sempre informado com o Jus! Receba gratuitamente as atualizações jurídicas em sua caixa de entrada. Inscreva-se agora e não perca as novidades diárias essenciais!
Os boletins são gratuitos. Não enviamos spam. Privacidade Publique seus artigos

Ademais, e é importante ressaltar, que a conformidade com a LGPD não abrange apenas os funcionários da empresa. Ela engloba, igualmente, fornecedores e terceiros que devem cumprir a lei indistintamente.

Portanto, a elaboração de um plano de governança de dados e a adoção de medidas de compliance devem ser elaborados e adotados desde agora, para evitar consequências jurídicas negativas num futuro próximo.

E como delimitar esse conjunto de disciplinas internas? Seguindo os parâmetros previstos na própria LGPD, elencamos seis passos básicos que promoverão uma política eficiente de governança e compliance.

Para tanto, é necessária a indicação de um profissional interno, que atue junto ao Comitê de Compliance, e que possa se reportar ao Chief Compliance Officer e a alta administração sobre a realização de novos treinamentos, revisão das políticas do direito a informação, reavaliação contínua de dados pessoais e de transparência e da revisão dos contratos junto aos fornecedores, tendo em vista estes sofrerem mudanças contínuas, inclusive em relação aos seus funcionários e com o restabelecimento de novas cláusulas contratuais, sob pena de eventual responsabilização solidária.

Por essa razão, imprescindível que a alta administração apresente instrumentos e medidas capazes de mitigar os riscos envolvidos na coleta, tratamento e no compartilhamento de dados.

Além disso, devem ser elaborados relatórios de impacto à proteção de dados individuais, contendo as medidas e políticas necessárias, além de informar quais dados serão processados.

Acrescenta-se, por oportuno, que o alinhamento das empresas aos preceitos desta nova norma deve ser interpretada como um investimento de ganho imediato, pois estar compliance com a LGPD é uma excelente oportunidade para a realização de novos modelos de negócios, tendo em vista que aumentar o nível de privacidade, segurança, gerenciamento e até de descarte de dados pode ser encarado também como um diferencial competitivo. Afinal de contas, uma empresa que tem sua confiança restaurada, tem uma representatividade maior e sua reputação cresce no mercado.

Por fim, espera-se que muito em breve todas as empresas venham a adotar um modelo de coleta, armazenamento e descarte de dados que seja ao mesmo tempo inteligente e eficiente, assim como efetue o devido tratamento àquilo que seja estritamente necessário à realização de suas atividades para que haja considerável mudança cultural e comportamental das empresas, principalmente em relação à coleta indiscriminada de dados.

Assuntos relacionados
Sobre a autora
Juliana Costa

Atuação como consultora jurídica e DPO em empresas localizadas em São Paulo, Teresina, Recife, Ceará, Bahia, Espírito Santo, Tocantins, Minas Gerais, Rio de Janeiro e Distrito Federal. Experiência em atuação Cível, Digital, Administrativa, Tributária, Consumerista, Trabalhista e Societária. Minha experiência inclui a gestão empresarial com foco em resultados e a atuação em equipes de Governança de Dados e Segurança da Informação. Sou Advogada Sênior com uma trajetória consolidada em proteção de dados em escritórios de advocacia e consultorias em LGPD. Com mestrado em Direito, Justiça e Desenvolvimento, com foco em Proteção de Dados pelo Instituto Brasileiro de Ensino, Desenvolvimento e Pesquisa (IDP), sou especialista certificada em Privacidade e Proteção de Dados, com certificações CIPM pela IAPP, DPO e LGPD (PDPE) pela EXIN. Minha expertise abrange o desenvolvimento de políticas, contratos e procedimentos de adequação à LGPD e compliance, além de otimização de fluxos organizacionais e business intelligence. Certificada em ISO/IEC 27001, ISO/IEC 9001 e ISO/IEC 20000 (Skillfront e Certiproof), participei da Comissão que estabeleceu a profissão de Encarregado de Dados Pessoais na Classificação Brasileira de Ocupação (CBO) junto ao Ministério do Trabalho e Emprego (MTE). Também sou professora da área de LGPD na TV Pública e no MBA da Universidade de Vila Velha - ES. Sou autora e coautora de diversos artigos e livros na área de Proteção de Dados e Compliance, incluindo o livro "Direito Digital Aplicado 5.0 - Especial Administração Pública" e a Revista de Direito Digital n.02 2021 da Enlaw. Minha carreira inclui a realização de projetos de consultoria em Compliance e uma vasta experiência de 15 anos em órgãos públicos e empresas privadas, abrangendo áreas como contenciosa, consultiva, direito criminal, energia, trabalhista, tributária, societária e cível. Também atuei como parecerista na área de licitações e contratos.

Como citar este texto (NBR 6023:2018 ABNT)

COSTA, Juliana. A importância da adequação da Lei Geral de Proteção de Dados aos programas de compliance. Revista Jus Navigandi, ISSN 1518-4862, Teresina, ano 24, n. 5678, 17 jan. 2019. Disponível em: https://jus.com.br/artigos/70874. Acesso em: 17 nov. 2024.

Leia seus artigos favoritos sem distrações, em qualquer lugar e como quiser

Assine o JusPlus e tenha recursos exclusivos

  • Baixe arquivos PDF: imprima ou leia depois
  • Navegue sem anúncios: concentre-se mais
  • Esteja na frente: descubra novas ferramentas
Economize 17%
Logo JusPlus
JusPlus
de R$
29,50
por

R$ 2,95

No primeiro mês

Cobrança mensal, cancele quando quiser
Assinar
Já é assinante? Faça login
Publique seus artigos Compartilhe conhecimento e ganhe reconhecimento. É fácil e rápido!
Colabore
Publique seus artigos
Fique sempre informado! Seja o primeiro a receber nossas novidades exclusivas e recentes diretamente em sua caixa de entrada.
Publique seus artigos