LGPD e sua importância para o Compliance
A Lei Geral de Proteção de Dados Pessoais (LGPD – Lei nº 13.709/18) entrou em vigor em 18 de setembro de 2020 e pode ser considerada o tema mais recente de conformidade e compliance no Brasil.
Podemos afirmar que a LGPD representa um marco legislativo no Brasil em relação ao compliance, mas direcionado aos dados pessoais, dispondo expressamente sobre a adoção de procedimentos de integridade e conformidade em privacidade.
A Lei, inclusive, trouxe previsão expressa do princípio da responsabilização e prestação de contas em seu art. 6º, X; além de uma série de disposições que considera ser fundamental para a adequação e as sanções a serem aplicadas pela ANPD (Autoridade Nacional de Proteção de Dados).
A LGPD consolida a necessidade do uso ético, seguro e responsável dos dados pessoais, sendo que a adequação consiste em plano multidisciplinar para que toda empresa alcance a conformidade.
A seguir, apresento algumas similaridades da LGPD em relação ao Compliance, citando-se, por exemplo, as regras e princípios de privacidade e proteção de dados precisam ser inseridos e previstos nos princípios, valores e missões de toda a corporação, igualmente como Compliance.
As empresas precisam entender a proteção de dados pessoais como importante direito dos indivíduos, que se tornou uma garantia fundamental recentemente, para melhor respeitar seus clientes e colaboradores, o titular de dados, como consequência, a partir disto as empresas agregarão valor ao negócio e visibilidade reputacional.
Como iniciar? Outra similaridade.
1) envolver e informar o board da empresa sobre a importância do projeto de adequação;
2) nomear comitê multidisciplinar que será responsável por elaborar o plano de adequação à LGPD com visão holística; e
3) nomear um Encarregado (art. 41 LGPD);
4) mapear as atividades e todo ciclo de vida dos dados.
É nessa análise de risco que se extrai o retrato de conformidade do fluxo de dados em todas as áreas da empresa, visando avaliar a legalidade e apontar ajustes (gap analysis). Tal atividade deverá atender o registro das operações de tratamento de dados pessoais (art. 37).
E, a partir dessa ação a avaliação se há necessidade de realização de Relatórios de Impacto à Proteção de Dados Pessoais, que podem ser exigidos pela ANPD (arts. 10, §3º; 32; e 38), cujo objetivo de ambos além de descrever os processos de tratamento de dados pessoais, apontar os que possam gerar riscos às liberdades civis e aos direitos fundamentais, bem como traçar medidas, salvaguardas e mecanismos de mitigação de riscos.
Isso tudo é fundamental para se avaliar os riscos, quais os departamentos envolvidos nas ações necessárias de adequação, citadas a seguir como exemplo, mas não se limitam, a: instruções sobre contratos, processos, soluções tecnológicas, direcionadas à segurança e procedimentos para garantir a conformidade da empresa, treinamentos, dentre outros.
Notadamente, a conformidade depende de investimento, o qual, se realizado, diminuirá os riscos de incidentes de dados pessoais, mitigando prejuízos decorrente multas e os riscos imensuráveis de reputação. Pois, senão investirem, as empresas ficarão sujeitas a as multas de até 50 milhões de reais por infração (art. 52, II). Como dizem, prevenir é sempre melhor que remediar. Este jargão também é muito usado em Compliance!
Outra existência de simetria em LGPD e Compliance é que ambas buscam promover uma cultura organizacional que estimula a conduta ética e o compromisso de cumprimento das leis.
Nesse sentido, a Lei Anticorrupção (Lei nº 12.846/131) dispõe sobre as medidas necessárias que devem ser tomadas pelas pessoas jurídicas no sentido de se acautelarem contra os atos ilícitos.
Outra similaridade com um Programa de Compliance é o canal de denúncias ativo como parâmetro para diminuição da pena de pessoa jurídica questionada por eventual ato de seus funcionários ou prepostos. Conforme previsto na LGPD, é preciso implementar um canal de contato com o titular, para que a empresa possa atender seus pedidos que são atualmente garantidos pela Constituição Federal, como uma obrigatoriedade legal, para diminuição de penalidade e multas por descumprimento da Lei.
Portanto, estruturar um Programa de Compliance, que trate de questões éticas e de conduta, e que ao mesmo tempo considere as normas de privacidade e proteção de dados, entre outras Leis que incidem sobre o campo, de forma customizada, a partir do mapeamento de riscos, é extremamente relevante para conformidade das empresas.
Paula Namovs Braga.