Escolar Documentos
Profissional Documentos
Cultura Documentos
COMPLIANCE DIGITAL E
GOVERNANÇA CORPORATIVA
1
Art. 5º, da Constituição da República Federativa do Brasil. Disponível em:
<http://www.planalto.gov.br/ccivil_03/constituicao/constituicao.htm>. Acesso em: 10 jun. 2021.
2
de sigilo e da intimidade, viu-se que elas apresentam um âmbito de
proteção específico, qual seja, das informações íntimas ou das
comunicações. Já́ as informações que identificam e caracterizam uma
pessoa, isto é, os dados ou as informações pessoais, não são
reconhecidos como objeto imediato de proteção constitucional, embora
o seu processamento e a sua utilização possam acarretar a violação de
inúmeros direitos fundamentais. Entendemos, assim, que, para manter
a atualidade da proteção constitucional do indivíduo em face dos novos
desafios sociais e tecnológicos, faz-se necessário interpretar a
Constituição, de modo a se extrair uma garantia geral de proteção da
informação pessoal, que complementaria o atual sistema de garantias
específicas de sigilo e da intimidade e da vida privada. Isto é, somente o
reconhecimento de um direito fundamental à proteção de dados
pessoais poderia fazer jus aos atuais riscos aos quais os indivíduos
estão submetidos2.
Neste mesmo sentido, o autor Tércio Sampaio Ferraz Junior assim dispõe:
2
MENDES, L. Privacidade, proteção de dados e defesa do consumidor. Editora Saraiva. São
Paulo, 2014, p. 165-166.
3
FERRAZ JR. Sigilo de dados: o direito à privacidade e os limites à função fiscalizadora do
Estado. Revista Tributária e de Finanças Públicas, São Paulo: Revista dos Tribunais, v. 1, out.
1992.
4
SARLET, INGO WOLFGANG; et al. Curso de Direito Constitucional. 3. ed. rev., atual. e ampl.,
2014, p. 406.
3
Na esfera social, as pessoas humanas procuram satisfazer os seus
interesses enquanto membros da sociedade, comportando os fatos que
são suscetíveis de conhecimento por todos. Na esfera privada, as
pessoas humanas procuram satisfazer os seus interesses enquanto
membros de uma comunidade, compreendendo os fatos que podem ser
compartilhados com um número restrito de pessoas. Na esfera individual
ou íntima, as pessoas humanas procuram satisfazer os seus interesses
isoladas do grupo social, resguardadas as suas particularidades,
contemplando os fatos que estão subtraídos do conhecimento de todas
as outras,31 de maneira que a intimidade simboliza a parte mais
recôndita do direito à privacidade, na medida em que “a intimidade é o
âmbito do exclusivo que alguém reserva para si, sem nenhuma
repercussão social, nem mesmo ao alcance de sua vida privada que, por
mais isolada que seja, é sempre um viver entre os outros. Já a vida
privada envolve a proteção de formas exclusivas de convivência.
5
FRAJHOF, I. O Direito ao Esquecimento na Internet. São Paulo: Almedina, 2019, p. 22.
6
_____. O Direito ao Esquecimento na Internet. São Paulo: Almedina, 2019, p. 29.
7
BRASIL. www.stf.jus.br - Disponível em:
<https://portal.stf.jus.br/noticias/verNoticiaDetalhe.asp?idConteudo=460414&ori=1#:~:text=%E2
%80%9C%C3%89%20incompat%C3%ADvel%20com%20a%20Constitui%C3%A7%C3%A3o,co
munica%C3%A7%C3%A3o%20social%20%E2%80%93%20anal%C3%B3gicos%20ou%20digita
is>. Acesso em: 10 jun. 2021.
4
O caso brasileiro versava sobre um crime ocorrido nos anos 1950 no Rio de
Janeiro, em que familiares da vítima estavam buscando reparação pela
reconstrução do caso, em 2004, no programa “Linha Direta”, da TV Globo.
Ao negarem provimento ao Recurso Extraordinário da Família, os Ministros
pontuaram que o esquecimento não pode ser elegido como direito fundamental
limitador da expressão. Disseram que existe uma solidariedade entre as gerações
e que não pode ser negado às novas gerações o direito de conhecer a própria
história. Ponderaram também que, o direito ao esquecimento não pode ser
aplicado quando os fatos tornaram-se de domínio público, mas que a indivíduo
pode buscar a reparação de danos quando restar comprovado excessos ou
abusos no exercício da liberdade de expressão.
8
Art. 6º da Lei n. 13.709 de agosto de 2018. Denominada Lei Geral de Proteção de Dados
Pessoais (LGPD). Disponível em: <http://www.planalto.gov.br/ccivil_03/_ato2015-
2018/2018/lei/L13709.htm>. Acesso em: 10 jun. 2021.
6
determinados, quer seja centralizado, descentralizado ou repartido de
modo funcional ou geográfico.
[...]
O momento da coleta pode ser considerado a primeira fase do
tratamento dos dados, no qual a empresa ou o controlador do banco de
dados necessita obter as informações pessoais do consumidor, o que
pode ser realizado a partir do próprio consumidor ou de outras fontes
[...]. O processamento de dados constitui a segunda fase do tratamento,
na qual os dados são submetidos a diversas técnicas necessárias para
lapidá-los e transformá-los em informações úteis para a empresa.
[...]
Pode-se dizer que as principais fontes de dados dos consumi- dores são:
i) trans ações comerciais; ii) censos e registros público; iii) pesquisas de
mercado e de estilo de vida; iv) sorteios e concursos; v) comercialização
e cisão de dados; e vi) tecnologias de controle na internet9.
9
MENDES, L. Privacidade, proteção de dados e defesa do consumidor. Editora Saraiva. São
Paulo, 2014, p. 54-94.
10
_____. Privacidade, proteção de dados e defesa do consumidor. Editora Saraiva. São
Paulo, 2014, p. 95-96.
7
consumo. É prática comum na publicidade digital a utilização de spams e nudges
para influenciar o consumo de produtos e serviços. É como se fossem os gatilhos
para influenciar na tomada de decisões dos consumidores. Um bom exemplo são
os casos dos sites que vendem passagens aéreas que, após uma consulta do
consumidor, começam a disparar spams/nudges com novas promoções ou
alertando que os assentos estão esgotando.
Além da questão ética, que é bastante discutível, esse tipo de publicidade
pode caracterizar uma violação ao Código de Defesa ao Consumidor que, por um
lado, exige a educação e divulgação sobre o consumo adequado dos produtos e
serviços e, por outro, proíbe a publicidade enganosa e abusiva, bem como
métodos comerciais coercitivos ou desleais.
Com efeito, apesar de não disciplinar expressamente a publicidade digital,
a LGPD está voltada para a proteção da privacidade, intimidade, liberdade de
expressão e a honra das pessoas e, para tanto, apegou-se a diversos princípios
e regras estruturantes que disciplinam o manejo de dados pessoais, e que possui
algumas ferramentas para proteger os usuários.
Dentre essas regras, a LGPD assegura aos titulares dos dados pessoais
inúmeros direitos, tais como: confirmação da existência de cadastro em seu nome;
acesso aos dados; correção de dados; anonimização ou eliminação dos dados
desnecessários; portabilidade dos dados para outro prestador de serviço;
revogação de consentimento etc.
Até existe uma discussão se a pessoa jurídica também poderia titularizar
esse direito, uma vez que a lei fala na pessoa natural e que seriam apenas elas
as titulares do direito fundamental à proteção de dados.
Diante da discussão acerca do tema, importante mencionar o entendimento
de Anderson Schreiber que aduz que as pessoas jurídicas não gozam dessa
proteção, veja-se:
Os direitos da personalidade gravitam em torno da condição humana, e,
por isso mesmo, não têm qualquer relação com as pessoas jurídicas. As
sociedades, as associações, as Fund ações e todas as demais espécie
de entes abstratos detém personalidade em sentido subjetivo, ou seja,
possuem aptidão para a aquisição de direitos e obrigações. Não gozam,
apesar disso, da especial proteção que o ordenamento jurídico reserva
ao núcleo essencial da condição humana11.
11
SCHREIBER, A. Direitos da personalidade. Editora Atlas. São Paulo, 2011, p. 21-22.
8
Mas trata-se de direito que pode ser limitado, ou seja, não é absoluto, visto
que pode ser aplicado outro direito fundamental ou preceito constitucional, a
depender do caso concreto, na medida do contexto social analisado.
A empresa americana ChoicePoint notificou cerca de 145 mil consumidores
em 2004 sobre fraude em seus sistemas de informações, o qual ocorreu devido a
falhas no monitoramento e credenciamento de seus clientes, gerando multa de
US$10 milhões e compensação de US$5 milhões aos consumidores12.
Existem medidas que podem prevenir o vazamento e o uso abusivo dos
dados, por meio de atividades de controle, procedimentos e políticas internas
asseguram os riscos prejudiciais nas organizações, como a implantação de um
programa efetivo de Compliance.
Vale lembrar que, a LGPD estabelece penalidades bastante rigorosas,
senão vejamos:
1. Advertência, com indicação de prazo para adoção de medidas
corretivas;
2. Multa simples, de até 2% (dois por cento) do faturamento da pessoa
jurídica de direito privado, grupo ou conglomerado no Brasil no seu último
exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00
(cinquenta milhões de reais) por infração; I
3. Multa diária;
4. Publicização da infração após devidamente apurada e confirmada
a sua ocorrência;
5. Bloqueio dos dados pessoais a que se refere a infração até a sua
regularização;
6. Eliminação dos dados pessoais a que se refere a infração.
7. Penalidades não substituem a aplicação de sanções
administrativas, civis ou penais previstas em legislação específica (art.
52, §2º)13.
12
Disponível em: <https://abcnews.go.com/Business/FinancialSecurity/story?id=506031>. Acesso
em: 10 jun. 2021.
13
MEYER, M. Lei 13.709/2018. Lei de Proteção de Dados Pessoais. Agosto de 2018. Disponível
em:<https://www.machadomeyer.com.br/index.php?option=com_content&catid=112&id=9087&vi
ew=article&Itemid=614&nosef=1&lang=pt>. Acesso em: 10 jun. 2021.
9
programa efetivo de integração faz com que haja manutenção desses métodos e
a sua inobservância, consequentemente, gera penalidades.
Acolher as condições da Lei Geral de Proteção de Dados requer adaptação
dos sistemas de governança corporativa, com implementação de Compliance
digital, necessita investimento, revisão das ferramentas de segurança de dados,
documentais, aperfeiçoamento de fluxos internos e externo de dados pessoais,
de procedimentos, por meio de emprego de mecanismos de controle e auditorias.
Tanto o controlador como o operador devem considerar as regras e formas de
proteger os dados pessoais e evidenciar sua eficiência nas empresas.
Desta forma, a referida lei traz um significativo impacto social e econômico.
14
MASSARELLI, J.; ALMEIDA, V. Proteção de dados pessoais como direito fundamental na
área da saúde e suas implicações para os profissionais médicos no Brasil cotejando
aspectos do direito comparado na União Europeia e na China. Disponível em:
<https://periodicos.unisanta.br/index.php/ENPG/article/download/2193/1691>. Acesso em: 10 jun.
2021.
10
um contexto multissetorial dentro do negócio e com visão holística para
a legislação nacional e internacional.
Logo, em resumo, o passo a passo consiste:
a) na revisão e atualização da política de privacidade para estar em
conformidade com as novas regulamentações de proteção de dados
pessoais;
b) na atualização das cláusulas de contratos (seja com titular de dados
pessoais consumidor final ou funcionário);
c) na atualização das cláusulas de contratos com os parceiros e
fornecedores que realizam algum tipo de tratamento de dados,
principalmente fornecedores de soluções de gestão de informação,
nuvem, monitoração, mensageria, e-mail marketing, credit score, big
data, mídias sociais (coleta, produção, recepção, classificação, acesso,
utilização, transmissão, armazenagem, processamento, eliminação,
enriquecimento); d) no mapeamento do fluxo de dados para definição da
nova governança junto a TI dos controles de consentimento (ciclo de vida
do dado – coleta, uso, compartilhamento, enriquecimento,
armazenamento nacional ou internacional, com ou sem uso de nuvem,
eliminação, portabilidade);
e) no modelo de resposta para o Notice Letter do Órgão de Controle de
Dados (sobre nível de conformidade da empresa e controles auditáveis)
para prevenção a aplicação de multas e fiscalizações;
f) no modelo de checklist de compliance para uso da área de compras
para novos fornecedores e parceiros, que precisarão estar em
conformidade com as novas regulamentações de proteção de dados
pessoais;
g) no modelo para gestão e guarda de trilha de auditoria para gestão dos
logs de consentimento15.
15
PINHEIRO, P. Proteção de Dados Pessoais: Comentários à Lei n. 13.709/2018 (LGPD).
Editora Saraiva. São Paulo, 2018, pg.45-46.
11
g. Para proteção da vida ou da incolumidade física do titular ou de terceiro;
h. Para tutela da saúde, com coleta realizada por profissionais e órgãos da
área de saúde;
i. Quando necessário para atender aos interesses legítimos do controlador
ou de terceiro, exceto se prevalecerem direitos e liberdades fundamentais
do titular;
j. Para proteção do crédito.
12
pelo Conselho de Administração e com o compromisso e seriedade dos
executivos, que devem dar exemplo para os demais colaboradores.
Para finalizar esta aula e com o intuito de deixar o tema mais palpável,
serão demonstradas algumas situações práticas (exemplos) de compliance digital
e LGPD, vejamos.
Uma área bastante afetada pela LGPD é o setor de saúde, que trata de
questões bastante íntimas do ser humano e, que, obviamente, demanda um
grande cuidado com a privacidade.
Hoje em dia, muitas clínicas e hospitais estão usando boletim médico
eletrônico. Nesse sentido, é de suma importância que essas organizações adotem
as medidas necessárias para proteger tais dados, como: elaboração de termo de
consentimento, criação de senhas, adoção de backup, instalação de antivírus
efetivos e estabelecimento de níveis de competência, definindo os profissionais
que podem ter acesso ao boletim.
Outra questão sensível diz respeito aos aplicativos de saúde móvel que
utilizam ferramentas de geolocalização. Explorar os últimos locais frequentados
pelo paciente para negar coberturas securitários (planos de saúde) ou oferecer
serviços sem finalidade científica, pode acarretar a responsabilidade da
organização. Além disso, essa exploração deve ter o consentimento do paciente,
não apenas com relação à geolocalização, mas também com relação ao uso de
tecnologias de Inteligência Artificial e Análise de Dados.
Uma restrição ética também alcança as pesquisas científicas. Por exemplo,
um portador de HIV que participe de um estudo científico pode solicitar que os
seus dados pessoais sejam anonimizados, para evitar qualquer tipo de
constrangimento ou estigma social. Portanto, ainda que os dados estejam em
meio físico ou sejam destinados para fins científicos, o profissional de saúde
precisa estar atento às limitações legais de sua publicidade.
É inegável que os avanços tecnológicos trazem benefícios para o setor de
saúde, que se beneficia desses avanços para uso na telemedicina, onde dispõe
de dados e até os transmite, para aperfeiçoar suas técnicas, bem como estima
13
seus resultados mediante as informações processadas pelos dados
disponibilizados dos pacientes, como também para manuseio dos prontuários,
que são obrigatórios e sigilosos16. Mas conforme já destacado, apesar dos
benefícios dos avanços tecnológicos, será necessária a estrita adequação à
LGPD, para evitar condutas ilegais e desnecessárias.
Finalmente, cabe destacar que, apesar das restrições legais, a LGPD
admite em hipóteses excepcionais o tratamento e compartilhamento de dados
sensíveis de saúde. Por exemplo, prevê o art. 4º, que a lei não se aplica ao
tratamento de dados pessoais realizado para fins exclusivamente jornalístico,
acadêmico ou em caso de segurança pública.
A LGPD não exige uma formação específica, o que cai por terra a inverídica
16
CFM. Resolução CFM n. 2.217/2018. Aprova o Código de Ética Médica. Disponível em:
https://sistemas.cfm.org.br/normas/visualizar/resolucoes/BR/2018/2217>. Acesso em: 10 jun.
2021.
14
informação de que o Encarregado deveria ser advogado ou agente de compliance.
Em verdade, qualquer profissional que se julgue competente para assumir as
atribuições da LGPD pode ser indicado como Encarregado de Dados.
FINALIZANDO
15
dados pessoais, com a máxima proteção contra fraudes e abusos.
É essencial o comprometimento da alta gestão nas organizações para que
os empregados entendam a importância da proteção dos dados para a
organização como um todo, por isso se faz necessário um programa de integração
que seja periodicamente revisado, reforçado e até alterado conforme as
necessidades das empresas.
Conquanto o Brasil possua mais diversas normas que cuidam
parcialmente do tema, a LGPD é a primeira lei federal inerente a proteção de
dados pessoais. Os administradores públicos e privados não estavam adaptados
a trabalhar com esse tema. Por este motivo é que se deve construir uma cultura
e difundir as boas práticas para que a lei seja determinante. Toda a organização
precisa ser treinada.
O controle de dados pessoais deve ser efetuado pelas organizações com
o escopo de preservar a privacidade de cada indivíduo. Eventuais falhas na
garantia desses dados podem fomentar graves consequências financeiras e de
imagem para as empresas.
Por meio do Compliance a proteção de dados organizações são hábeis em
relação às políticas de proteção. Com isso, maior a confiabilidade nas
organizações, sendo fator decisivo no controle interno das empresas.
O custo-benefício de implementar o programa de Compliance é
imensurável, visto que a cautela de eventuais falhas suspende fortuitos,
penalidades e até a perda de credibilidade em torno das empresas.
16
REFERÊNCIAS
17