Escolar Documentos
Profissional Documentos
Cultura Documentos
COMPLIANCE DIGITAL E
GOVERNANÇA CORPORATIVA
2
compliance significa estar de acordo com as regras. Assim, o compliance digital
nada mais é que o conjunto de regras tecnológicas, as quais uma empresa
deve aderir para adequar suas atividades aos avanços tecnológicos atuais
e às regras aplicáveis à tecnologia da informação.
Se há uma série de leis e normas que constituem matéria de estudo do
Direito Digital, nada mais natural do que as isolar e estudar formas e métodos de
conformidade necessárias. Essa conduta toma especial relevo nos casos em que
os aspectos éticos e comportamentais associados às leis de fundo digital sejam
acentuados. Trata-se de um conjunto de protocolos e práticas de segurança digital
com as quais a empresa busca proteger seus dados e informações sigilosas de
ataques criminosos e fraudulentos. A este conjunto de protocolos e práticas dá-se
o nome de Política de Compliance.
A Lei de Crimes Cibernéticos, ou Lei Carolina Dieckmann (Lei n.
12.737/2012), a Regulamentação do E-commerce (Decreto 7.962/2013), o Marco
Civil da Internet (Lei n. 12.965/2014), a Lei Geral de Proteção de Dados (Lei n.
13.709/2018) e o Cadastro Base do Cidadão (Decreto n. 10.046/2019) estão
diretamente relacionadas ao compliance digital. Embora a LGDP não o contemple
como um todo, enseja a chamada de atenção à área e suscitam outras questões
ligadas à conformidade no domínio virtual.
Portanto, o compliance digital é a união entre a conformidade à lei e a
tecnologia da informação para a gestão de riscos. E por riscos, incluímos aqui uso
indevido e vazamento de dados, invasão por malwares, phishings, propriedade de
softwares, algoritmos dentre outros. Dentro de um programa de compliance,
portanto, a vertente de compliance digital se estrutura num programa de
protocolos, procedimentos e regulamentos que visam adequar as práticas a
normas de conduta e segurança internas e externas.
Dessa forma, é preciso dar especial atenção aos princípios elencados na
Lei Geral de Proteção de Dados, Lei n. 13.709/2018, que encontramos em seu
artigo 6º, especialmente nos incisos VII, VIII e X, que são:
1. a segurança;
2. a prevenção; e
3. a responsabilização e prestação de contas (accountability)
3
• estar num compromisso de alta administração;
denúncia), para que a empresa conheça seus pontos críticos e possa ser
alertada sobre possíveis riscos;
• criar ou revisar seu código de conduta de forma que qualquer pessoa
Neste mundo digital cada vez mais conectado, cada colaborador passa
a ser, mesmo não intencionalmente, um agente de divulgação. A
principal característica das redes sociais é o compartilhamento
descentralizado e abrangente de uma infinidade de conteúdos para um
número sempre crescente de pessoas. É fundamental que as
instituições estabeleçam as regras e fomentem a cultura de gestão das
redes sociais de forma ampla. Assim, uma “política de redes sociais”
deve definir, de forma simples e objetiva, as recomendações de boas
práticas a seus colaboradores nesse ambiente, bem como as diretrizes
institucionais para melhor proteção de todos os envolvidos. Tal política
deve iniciar considerando que o colaborador possui pleno direito à
liberdade de expressão, lembrando-o de que “grandes poderes trazem
grandes responsabilidades”, como disse Stan Lee.
4
TEMA 2 – COMPLIANCE DIGITAL – LINHAS GERAIS
1
O caso do NuBank é um bom exemplo de atendimento aos requisitos do Decreto n. 7.962/2013,
pois apresenta o resumo do contrato de forma simplificada, indicando claramente todas as tarifas
para o consumidor, além dos seus dados para contato, conforme pode ser observado em seu
website (NuBank. Home. Finalidade comercial, 2015)
5
TEMA 3 – LEGISLAÇÃO – LEI DE CRIMES CIBERNÉTICOS
6
Pena - detenção, de um a três anos, e multa.
§ 1o Incorre na mesma pena quem interrompe serviço telemático ou de
informação de utilidade pública, ou impede ou dificulta-lhe o
restabelecimento.
§ 2o Aplicam-se as penas em dobro se o crime é cometido por ocasião
de calamidade pública.
1
Furto: “Art. 155 - Subtrair, para si ou para outrem, coisa alheia móvel: [...]
§ 4º-B. A pena é de reclusão, de 4 (quatro) a 8 (oito) anos, e multa, se o furto mediante fraude é
cometido por meio de dispositivo eletrônico ou informático, conectado ou não à rede de
computadores, com ou sem a violação de mecanismo de segurança ou a utilização de programa
malicioso, ou por qualquer outro meio fraudulento análogo.
§ 4º-C. A pena prevista no § 4º-B deste artigo, considerada a relevância do resultado gravoso:
I – aumenta-se de 1/3 (um terço) a 2/3 (dois terços), se o crime é praticado mediante a utilização
de servidor mantido fora do território nacional”.
2
Fraude eletrônica: “§ 2º-A. A pena é de reclusão, de 4 (quatro) a 8 (oito) anos, e multa, se a
fraude é cometida com a utilização de informações fornecidas pela vítima ou por terceiro induzido
a erro por meio de redes sociais, contatos telefônicos ou envio de correio eletrônico fraudulento,
ou por qualquer outro meio fraudulento análogo.
§ 2º-B. A pena prevista no § 2º-A deste artigo, considerada a relevância do resultado gravoso,
aumenta-se de 1/3 (um terço) a 2/3 (dois terços), se o crime é praticado mediante a utilização de
servidor mantido fora do território nacional”.
3 Pinheiro, P. P (2016). Segundo Robson Ferreira em sua tese de crimes eletrônicos, podemos
estudar uma classificação dos crimes por computador levando em conta o papel do computador
7
virtual. Ou seja, de algum modo podem ser enquadrados na categoria de
estelionato, extorsão, falsidade ideológica, fraude, entre outros. Isso quer dizer
que o meio de materialização da conduta criminosa pode ser virtual; contudo, em
certos casos, o crime não.
Vejam que a maioria dos crimes cometidos na rede ocorre também no
mundo real; a internet surge apenas como um facilitador, principalmente pelo
anonimato que proporciona. Portanto, as questões quanto ao conceito de crime,
delito, ato e efeito são as mesmas, quer sejam aplicadas para o Direito Penal ou
para o Direito Penal Digital. As principais inovações jurídicas trazidas no âmbito
digital se referem à territorialidade e à investigação probatória, bem como à
necessidade de tipificação penal de algumas modalidades que, em razão de suas
peculiaridades, merecem ter um tipo penal próprio.
De acordo com Pinheiro, os crimes eletrônicos ou cibernéticos têm
modalidades distintas, dependendo do bem jurídico tutelado. Nesse sentido, o
crime de interceptação telefônica e de dados, por exemplo, que têm como bem
jurídico tutelado os dados, ou seja, o que se quer é proteger a transmissão de
dados e coibir o uso dessas informações para fins delituosos, como captura de
informações para envio de e-mail bombing4, e-mail com vírus5 spam. Esse tipo
penal protege também a inviolabilidade das correspondências eletrônicas.
Com o fim de investigação e identificação dos responsáveis, para o Direito
Digital, IP constitui uma forma de identificação virtual. Isso significa que o
anonimato na rede é relativo, assim como muitas identidades virtuais podem não
ter um correspondente de identidade real. O maior problema jurídico dos crimes
virtuais é a raridade de denúncias e o despreparo da polícia investigativa, assim
no ilícito: 1) quando o computador é alvo, por exemplo, de: crime de invasão, contaminação por
vírus, sabotagem do sistema, destruição ou modificação do conteúdo do banco de dados, furto
de informação, furto de propriedade intelectual, vandalismo cibernético, acesso abusivo por
funcionário, acesso abusivo por terceirizados, acesso abusivo de fora da empresa; 2) quando o
computador é o instrumento para o crime — p. ex.: crime de fraude em conta corrente e/ou
cartões de crédito, transferência de valores ou alterações de saldos e fraudes de
telecomunicações, divulgação ou exploração de pornografia; 3) quando o computador é
incidental para outro crime, por exemplo, crimes contra a honra, jogo ilegal, lavagem de dinheiro,
fraudes contábeis, registro de atividades do crime organizado; 4) quando o crime está associado
com o computador, por exemplo, em: pirataria de software, falsificações de programas,
divulgação, utilização ou reprodução ilícita de dados e programas, comércio ilegal de
equipamentos e programas.
4 E-mail bombing: envio de e-mails imensos ou vários e-mails. Causa atraso na recepção e gasto
adicional com conta telefônica. Aplicável o artigo 163 do Código Penal (crime de dano).
5 E-mail com vírus: envio de vírus anexado ao e-mail. São aplicáveis os artigos 151, parágrafo 1º,
II e III, 154 A, parágrafo 1o (conforme a funcionalidade do vírus) e 163 do Código Penal, com
aplicação do artigo 65 da LCP, com pena de prisão simples de quinze dias a dois meses, ou
multa por perturbação da tranquilidade.
8
como de perícia para apurá-las. O combate a esses crimes torna-se
extremamente difícil por dois motivos: a) a falta de conhecimento do usuário, que,
dessa forma, não passa às autoridades informações relevantes e precisas; e b) a
falta de recursos em geral das autoridades policiais.
A maioria das investigações sobre crimes digitais exige ordem judicial para
quebra de sigilo6, contudo, as provas eletrônicas já são amplamente aceitas pelo
Judiciário Brasileiro, visto que podem não apenas atestar fatos, como também
permitem perícia e são auditáveis. No âmbito de crimes cibernéticos, temos ainda
o artigo 241-A, parágrafo 1º, I e II, e parágrafo 2º do Estatuto da Criança e
Adolescente (ECA)7, segundo o qual, se a empresa ou órgão público disponibiliza
acesso à internet ou dispositivos móveis de armazenamento para seus
colaboradores/funcionários e, por conta disso, é encontrado material relacionado
a pornografia infantil em seus computadores e a instituição se omite perante tal
situação, ela poderá ser responsabilizada criminalmente, na pessoa do
responsável legal pela prestação do serviço.
Ou seja, se o departamento de TI é responsável pela liberação de acessos
e monitoramento de conteúdo na rede da empresa ou órgão público, está ciente
dessa ocorrência e não comunica o departamento responsável (jurídico, comitê
de segurança da informação), consequentemente o gerente de TI (ou outro
superior da área) poderá ser responsabilizado criminalmente por tais condutas
(artigo 241-A, parágrafp 2o).
Desse modo, se a empresa ou instituição pública, ao tomar ciência da
existência desse tipo de material em seus computadores, comunicar às
autoridades competentes condutas relacionadas à pornografia infantil e outras
6 De acordo com a Lei n. 12.965/2014, o Marco Civil da Internet, a disponibilização dos registros e
demais informações somente poderá ser disponibilizada mediante ordem judicial: “Art. 10. A
guarda e a disponibilização dos registros de conexão e de acesso a aplicações de internet de que
trata esta Lei, bem como de dados pessoais e do conteúdo de comunicações privadas, devem
atender à preservação da intimidade, da vida privada, da honra e da imagem das partes direta ou
indiretamente envolvidas. §1º O provedor responsável pela guarda somente será obrigado a
disponibilizar os registros mencionados no caput, de forma autônoma ou associados a dados
pessoais ou a outras informações que possam contribuir para a identificação do usuário ou do
terminal, mediante ordem judicial, na forma do disposto na Seção IV deste Capítulo, respeitado o
disposto no art. 7º §2º O conteúdo das comunicações privadas somente poderá ser disponibilizado
mediante ordem judicial, nas hipóteses e na forma que a lei estabelecer, respeitado o disposto nos
incisos II e III do art. 7º §3 O disposto no caput não impede o acesso aos dados cadastrais que
informem qualificação pessoal, filiação e endereço, na forma da lei, pelas autoridades
administrativas que detenham competência legal para a sua requisição.”
7 Artigo 241-A. Oferecer, trocar, disponibilizar, transmitir, distribuir, publicar ou divulgar por
qualquer meio, inclusive por meio de sistema de informática ou telemático, fotografia, vídeo ou
outro registro que contenha cena de sexo explícito ou pornográfica envolvendo criança ou
adolescente: (Incluído pela Lei n. 11.829, de 2008).
9
condutas relacionadas à pedofilia, não será responsabilizada pela armazenagem
do material (exclusão de ilicitude), conforme dispõe o artigo 241-B, parágrafo 2º.
10
informática, de propriedade intelectual (marcas, patentes e direitos autorais e
conexos), de aspectos tributários etc.
Em relação à liberdade de expressão (cujo direito está assegurado na
Constituição Federal, artigo 5º, inciso IX, consistindo na liberdade de manifestação
intelectual, artística, científica e de comunicação, sem censura ou necessidade de
licença), o usuário da internet pode se expressar escrevendo e postando o que
bem entender, sendo que o conteúdo somente pode ser removido pelo provedor
mediante ordem judicial, com exceção aos casos de imagens de conteúdo
pornográfico, em que os interessados – envolvidos nas cenas podem exigir a
retirada do provedor mediante notificação.
Conforme artigo 2º do Marco Civil, o uso da internet no Brasil tem como
fundamento o princípio constitucional da liberdade de expressão, devendo também
assegurar o reconhecimento da escala mundial da rede; os direitos humanos, o
desenvolvimento da personalidade e o exercício da cidadania em meios digitais; a
pluralidade e a diversidade; a abertura e a colaboração; a livre iniciativa, a livre
concorrência e a defesa do consumidor; e a finalidade social da rede.
Quanto à proteção da privacidade (direito inerente à inviolabilidade da
intimidade, da vida privada, da honra e da imagem da pessoa, nos termos da
Constituição Federal, artigo 5º, inciso X, como estudado em outro ponto), a lei garante
o sigilo dos dados pessoais do usuário, do que ele acessa na rede e do conteúdo de
suas comunicações. Ou seja, não é permitido monitorar ou fiscalizar os pacotes de
dados (conteúdos) transmitidos pelos usuários na internet, sendo que o acesso a
esses dados necessita de ordem judicial.
Já a neutralidade (ou princípio da neutralidade) no uso da internet consiste no
fato de que o acesso à internet pelo usuário pode dar-se de forma livre para quaisquer
fins: realizar pesquisas ou compras, estabelecer comunicações, como por e-mail,
utilizar redes sociais em geral, jogar games, visualizar e postar textos, fotos e vídeos
etc. De acordo com o artigo 9º do Marco Civil da Internet, o princípio da neutralidade
de rede foi inserido uma vez que o responsável pela transmissão, comutação
(interligação) ou roteamento (encaminhamento) tem o dever de tratar de forma
isonômica quaisquer pacotes de dados, sem distinção por conteúdo, origem e destino,
serviço, terminal ou aplicação.
Nos termos do parágrafo 3º do artigo 9º, no serviço de conexão,
transmissão, comutação ou roteamento é vedado (proibido) monitorar, filtrar,
analisar ou bloquear o conteúdo dos pacotes de dados, mandamento destinado
11
aos provedores backbone e de conexão no que tange ao monitoramento de
conteúdo. Tal regra alinha-se aos princípios da neutralidade e da igualdade
previstos no caput do artigo 9º.
Quanto à atividade dos provedores, via de regra, o Marco Civil não impõe
responsabilidade objetiva aos provedores de conexão (acesso) ou de
aplicações de internet (conteúdo). Assim, pelas disposições da Lei n. 12.965/2014
a responsabilidade dos provedores de conexão e de aplicações de internet deve
ser atribuída à luz da responsabilidade subjetiva. De acordo com Teixeira (2020),
Cabe ressaltar que esse rol de princípios não é taxativo, podendo haver
outros previstos em normas jurídicas ou tratados internacionais dos quais o Brasil
venha a ser signatário. Também é pertinente ponderar que, quando o inciso III do
artigo 3º assevera o princípio da proteção dos dados pessoais na forma da lei,
significa dizer que o Marco Civil leva em conta a possibilidade da edição de uma
norma específica para a proteção de dados, o que de fato ocorreu com a LGPD.
Na interpretação dessa norma serão levados em consideração os seus
fundamentos, princípios e objetivos, bem como a natureza da internet, seus usos
e costumes particulares e sua importância para a promoção do desenvolvimento
humano, econômico, social e cultural, conforme artigo 6º da Lei n. 12.965/2014.
Quanto aos direitos e às garantias dos usuários da internet no Brasil, está
previsto no artigo 7º da referida lei, de forma que o acesso à rede mundial de
13
computadores passa a ser essencial ao exercício da cidadania (como de fato já tem
sido em alguma medida), sendo assegurados aos usuários os seguintes direitos:
14
coleta de dados, bem como para seu uso, armazenamento e tratamento de dados
pessoais, não podendo ser fornecidos a terceiros, salvo consentimento. Destaca-se
que Europa e Argentina adotam o sistema opt-in. Ao contrário, Estados Unidos seguem
o sistema opt-out, em que se podem utilizar os dados livremente independentemente
de prévio consentimento; mas se o usuário solicitar a exclusão de seus dados e/o não
envio de mensagens e, ainda assim, o remetente insistir, isso é considerado crime.
Um ponto extremamente relevante, previsto no parágrafo 3º do artigo 9º da Lei n.
12.965/2014, é o fato de que na provisão de conexão à internet (gratuita ou onerosa) é
proibido bloquear, monitorar, filtrar ou analisar o conteúdo dos pacotes de dados,
devendo ser respeitado o que dispõe o próprio artigo 9º, que diz: “O responsável pela
transmissão, comutação ou roteamento tem o dever de tratar de forma isonômica
quaisquer pacotes de dados, sem distinção por conteúdo, origem e destino, serviço,
terminal ou aplicação”.
O mesmo se aplica na provisão de conexão quanto à transmissão, à comutação
(interligação) ou ao roteamento (encaminhamento), ou seja, não se pode bloquear,
monitorar, filtrar ou analisar o conteúdo dos pacotes de dados. Quanto à proteção de
registros, dados pessoais e comunicações privadas, a lei disciplina o tema nos artigos
10 a 12. Conforme o caput do artigo 10, a guarda e a disponibilização dos registros de
conexão e de acesso a aplicações de internet, bem como de dados pessoais e do
conteúdo de comunicações privadas, devem atender à preservação da intimidade, da
vida privada, da honra e da imagem das partes direta ou indiretamente envolvidas.
Dessa forma, somente ordem judicial poderá fazer com que o provedor seja obrigado
a disponibilizar tais registros, bem como acerca do conteúdo das comunicações
privadas, nos moldes do artigo 10, parágrafos 1º e 2º.
Em relação a territorialidade, o artigo 11 indica que sempre deverão ser
obrigatoriamente respeitadas as normas brasileiras e os direitos à privacidade, à
proteção dos dados pessoais e ao sigilo das comunicações privadas e dos registros
quanto às operações que envolvam coleta, armazenamento, guarda e tratamento de
registros, de dados pessoais ou de comunicações por provedores de conexão e de
aplicações de internet em que pelo menos um desses atos ocorra em território nacional.
Com intuito de evitar práticas indesejadas, o artigo 12 da Lei n. 12.965/2014
fixou penas para o caso de descumprimento das disposições previstas em seus artigos
10 e 11 acerca da proteção aos registros, aos dados pessoais e às comunicações.
Dessa forma, sem prejuízo de outras sanções de caráter cível, penal ou administrativo,
15
os infratores ficam sujeitos às seguintes penas, que podem ser aplicadas isolada ou
cumulativamente:
16
Destarte, de acordo com Franco (2020, p. 302), muito mais à frente na linha do
tempo a Lei 12.965/2014, popularmente conhecida como Marco Civil da Internet,
estabeleceu princípios e garantias para tornar oficialmente a rede livre e democrática
no Brasil, assegurando os direitos e os deveres dos usuários e das empresas
provedoras de acesso e serviços on-line. O Marco Civil da Internet disciplina o uso da
internet no Brasil e tem os seguintes princípios:
17
REFERÊNCIAS
PINHEIRO, P. P. Direito digital. 6. ed. rev. atual. e ampl. São Paulo: Saraiva, 2016.
18