AULA 6

COMPLIANCE DIGITAL E
GOVERNANÇA CORPORATIVA

Profº Felipe Santos Ribas

INTRODUÇÃO

A Lei Geral de Proteção de Dados Pessoais – LGPD (Lei n. 13.709/2018),

que apresenta as bases para o tratamento dos dados, surge para tutelar um
problema disruptivo que é corolário da sociedade da informação. Hoje o mundo
passa por uma completa digitalização, que atinge diversas área, como por
exemplo a economia, a educação e as finanças, e que abarca as esferas pública
e privada.
É bem verdade que a digitalização permite uma multiplicidade de negócios
que antes eram inimagináveis, mas que traz novos riscos para os usuários desse
novo ambiente comercial. Instrumentos como big data e inteligência artificial são
capazes de avaliar milhões de dados, o que permite, consequentemente conhecer
gostos, tendências e rotinas dos usuários.
Nesse sentido, a disciplina da proteção de dados possui alguns temas que
ainda precisam ser explorados com mais profundidade.

TEMA 1 – FUNDAMENTO CONSTITUCIONAL DA PROTEÇÃO DE DADOS: O

DIREITO À INTIMIDADE E À PRIVACIDADE

O marco normativo sobre a proteção de dados repousa no art. 5º, da

Constituição Federal, incisos X e XII, que assim dispõe:

Art. 5º Todos são iguais perante a lei, sem distinção de qualquer

natureza, garantindo-se aos brasileiros e aos estrangeiros residentes no
País a inviolabilidade do direito à vida, à liberdade, à igualdade, à
segurança e à propriedade, nos termos seguintes:
X - são invioláveis a intimidade, a vida privada, a honra e a imagem
das pessoas, assegurado o direito a indenização pelo dano material ou
moral decorrente de sua violação;
XII - é inviolável o sigilo da correspondência e das comunicações
telegráficas, de dados e das comunicações telefônicas, salvo, no
último caso, por ordem judicial, nas hipóteses e na forma que a lei
estabelecer para fins de investigação criminal ou instrução processual
penal; (Vide Lei n. 9.296, de 1996)1.

A autora Laura Schertel Mendes ao tratar do direito constitucional da

privacidade e intimidade, argumenta que:

Quando analisamos o âmbito de proteção das garantias constitucionais

1
Art. 5º, da Constituição da República Federativa do Brasil. Disponível em:
<http://www.planalto.gov.br/ccivil_03/constituicao/constituicao.htm>. Acesso em: 10 jun. 2021.

2
 de sigilo e da intimidade, viu-se que elas apresentam um âmbito de
proteção específico, qual seja, das informações íntimas ou das
comunicações. Já́ as informações que identificam e caracterizam uma
pessoa, isto é, os dados ou as informações pessoais, não são
reconhecidos como objeto imediato de proteção constitucional, embora
o seu processamento e a sua utilização possam acarretar a violação de
inúmeros direitos fundamentais. Entendemos, assim, que, para manter
a atualidade da proteção constitucional do indivíduo em face dos novos
desafios sociais e tecnológicos, faz-se necessário interpretar a
Constituição, de modo a se extrair uma garantia geral de proteção da
informação pessoal, que complementaria o atual sistema de garantias
específicas de sigilo e da intimidade e da vida privada. Isto é, somente o
reconhecimento de um direito fundamental à proteção de dados
pessoais poderia fazer jus aos atuais riscos aos quais os indivíduos
estão submetidos2.

Neste mesmo sentido, o autor Tércio Sampaio Ferraz Junior assim dispõe:

[...] o objeto protegido no direito à inviolabilidade do sigilo não são os

dados em si, mas a sua comunicacao restringida (liberdade de reação).
A troca de informações (comunicacao) privativa é que não pode ser
violada por sujeito estranho à comunicação3.

Tanto o direito à intimidade como a proteção de dados focam em prevenir

abusos de mau uso ou abusos de dados e informações pessoais. Deste modo, o
direito à proteção de dados é um direito que o indivíduo possui de que suas
informações pessoais sejam protegidas.
Há quem considere o direito à privacidade como o mais valioso para o ser
humano.4 É um direito que carrega no seu núcleo duro o direito de estar só e
permanecer só. É dele que também se extrai o suporte para os sigilos fiscal,
bancário, telefônico, telegráfico e telemático.
Para muitos, a intimidade e a privacidade são sinônimos. Entretanto, alguns
doutrinadores entendem que são direitos reflexos da integridade moral, mas que
apresentam níveis de aplicação distintos. A intimidade seria o modo de ser da
pessoa; já a privacidade seria referente ao modo de convivência e relacionamento
entre as pessoas.
Segundo Guilherme Peña de Moraes, a privacidade é delimitada por 3
(três) esferas concêntricas e sobrepostas, assim explicadas:

2
MENDES, L. Privacidade, proteção de dados e defesa do consumidor. Editora Saraiva. São
Paulo, 2014, p. 165-166.
3
FERRAZ JR. Sigilo de dados: o direito à privacidade e os limites à função fiscalizadora do
Estado. Revista Tributária e de Finanças Públicas, São Paulo: Revista dos Tribunais, v. 1, out.
1992.
4
SARLET, INGO WOLFGANG; et al. Curso de Direito Constitucional. 3. ed. rev., atual. e ampl.,
2014, p. 406.
3
 Na esfera social, as pessoas humanas procuram satisfazer os seus
interesses enquanto membros da sociedade, comportando os fatos que
são suscetíveis de conhecimento por todos. Na esfera privada, as
pessoas humanas procuram satisfazer os seus interesses enquanto
membros de uma comunidade, compreendendo os fatos que podem ser
compartilhados com um número restrito de pessoas. Na esfera individual
ou íntima, as pessoas humanas procuram satisfazer os seus interesses
isoladas do grupo social, resguardadas as suas particularidades,
contemplando os fatos que estão subtraídos do conhecimento de todas
as outras,31 de maneira que a intimidade simboliza a parte mais
recôndita do direito à privacidade, na medida em que “a intimidade é o
âmbito do exclusivo que alguém reserva para si, sem nenhuma
repercussão social, nem mesmo ao alcance de sua vida privada que, por
mais isolada que seja, é sempre um viver entre os outros. Já a vida
privada envolve a proteção de formas exclusivas de convivência.

Um tema diretamente relacionado ao direito à privacidade, diz respeito ao

direito ao esquecimento. Basicamente, os defensores do “esquecimento”
entendem que o indivíduo deve ter a “possibilidade de determinar, de maneira
autônoma, o desenvolvimento da sua própria vida, sem ser constantemente
estigmatizado pelo seu passado, principalmente diante do lapso temporal de
eventos pretéritos que não se relacionem mais com seu atual contexto”.5
O tema ganhou evidencia quando começaram os debates para reforma do
Regulamento Geral sobre Proteção de Dados da União Europeia em 2012, para
que se aproveitasse a oportunidade para se incluir o direito ao esquecimento.
Inclusive, a cláusula de esquecimento ficou prevista no artigo desse Regulamento,
criando-se a obrigação do controlador de dados de apagar o seu processamento.6
No Brasil, o direito ao esquecimento ainda bastante polêmico. Vale
destacar que, recentemente, no dia 10.02.21, o Supremo Tribunal Federal julgou
um Recurso Extraordinário pela técnica dos recursos repetitivos e firmou o
seguinte entendimento:

É incompatível com a Constituição Federal a ideia de um direito ao

esquecimento, assim entendido como o poder de obstar, em razão da
passagem do tempo, a divulgação de fatos ou dados verídicos e
licitamente obtidos e publicados em meios de comunicação social –
analógicos ou digitais. Eventuais excessos ou abusos no exercício da
liberdade de expressão e de informação devem ser analisados caso a
caso, a partir dos parâmetros constitucionais, especialmente os relativos
à proteção da honra, da imagem, da privacidade e da personalidade em
geral, e as expressas e específicas previsões legais nos âmbitos penal
e cível7.

5
FRAJHOF, I. O Direito ao Esquecimento na Internet. São Paulo: Almedina, 2019, p. 22.
6
_____. O Direito ao Esquecimento na Internet. São Paulo: Almedina, 2019, p. 29.
7
BRASIL. www.stf.jus.br - Disponível em:
<https://portal.stf.jus.br/noticias/verNoticiaDetalhe.asp?idConteudo=460414&ori=1#:~:text=%E2
%80%9C%C3%89%20incompat%C3%ADvel%20com%20a%20Constitui%C3%A7%C3%A3o,co
munica%C3%A7%C3%A3o%20social%20%E2%80%93%20anal%C3%B3gicos%20ou%20digita
is>. Acesso em: 10 jun. 2021.
4
 O caso brasileiro versava sobre um crime ocorrido nos anos 1950 no Rio de
Janeiro, em que familiares da vítima estavam buscando reparação pela
reconstrução do caso, em 2004, no programa “Linha Direta”, da TV Globo.
Ao negarem provimento ao Recurso Extraordinário da Família, os Ministros
pontuaram que o esquecimento não pode ser elegido como direito fundamental
limitador da expressão. Disseram que existe uma solidariedade entre as gerações
e que não pode ser negado às novas gerações o direito de conhecer a própria
história. Ponderaram também que, o direito ao esquecimento não pode ser
aplicado quando os fatos tornaram-se de domínio público, mas que a indivíduo
pode buscar a reparação de danos quando restar comprovado excessos ou
abusos no exercício da liberdade de expressão.

TEMA 2 – OS PRINCÍPIOS DA LGPD

Além do fundamento constitucional, a Lei Geral de Proteção de Dados

Pessoais é orientada por alguns princípios, que devem ser fielmente observados
pelo controlador dos dados, senão vejamos:

a. Finalidade: realização do tratamento para propósitos legítimos,

específicos, explícitos e informados ao titular, sem possibilidade de
tratamento posterior de forma incompatível com essas finalidades;
b. Adequação: compatibilidade do tratamento com as finalidades informadas
ao titular, de acordo com o contexto do tratamento;
c. Necessidade: limitação do tratamento ao mínimo necessário para a
realização de suas finalidades, com abrangência dos dados pertinentes,
proporcionais e não excessivos em relação às finalidades do tratamento de
dados
d. Livre Acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre
a forma e a duração do tratamento, bem como sobre a integralidade de
seus dados pessoais;
e. Qualidade dos Dados: garantia, aos titulares, de exatidão, clareza,
relevância e atualização dos dados, de acordo com a necessidade e para
o cumprimento da finalidade de seu tratamento;
f. Transparência: garantia, aos titulares, de informações claras, precisas e
facilmente acessíveis sobre a realização do tratamento e os respectivos
agentes de tratamento, observados os segredos comercial e industrial;
g. Segurança: utilização de medidas técnicas e administrativas aptas a
5
 proteger os dados pessoais de acessos não autorizados e de situações
acidentais ou ilícitas de destruição, perda, alteração, comunicação ou
difusão;
h. Prevenção: adoção de medidas para prevenir a ocorrência de danos em
virtude do tratamento de dados pessoais;
i. Não Discriminação: impossibilidade de realização do tratamento para fins
discriminatórios ilícitos ou abusivos;
j. Responsabilização e Prestação de Contas: demonstração, pelo agente,
da adoção de medidas eficazes e capazes de comprovar a observância e
o cumprimento das normas de proteção de dados pessoais e, inclusive, da
eficácia dessas medidas8.

Tais princípios possuem o intuito de atribuir limitações na administração

dos dados, como também conferir poder ao indivíduo com finalidade de que esse
seja capaz de monitorar o fluxo de seus dados.
O tratamento de dados pessoais é processo dinâmico que engloba todas
as operações técnicas que podem ser realizadas sobre dados pessoais, com
intuito de se refinar a informação, podendo torná-la mais útil ou até valiosa. Inclui
também a realização de várias atividades, tais como, a conservação, a
organização, a coleta, a adaptação, a alteração, o registro, a utilização, a
recuperação, a comunicação por difusão, transmissão, a consulta, entre outras.
A autora Laura Schertel Mendes discorre acerca do tratamento dos dados,
in verbis:
Utiliza-se a expressão tratamento de dados pessoais para designar as
operações técnicas que podem ser efetuadas sobre os dados pessoais,
de modo informatizado ou nãõo, com a finalidade de se refinar a
informação, tornando-a mais valiosa ou útil. São formas de tratamento
definidas pela Diretiva Europeia 95/46/CE a coleta, o registro, a
organização, a conservação, a adaptação ou a alteração, a recuperação,
a consulta, a utilização, a comunicação por transmissão, difusão ou
qualquer outra forma de colocação à disposição, com operação ou
interconexão, bem como o bloqueio, o apagamento ou a destruição.
Assim, o tratamento de dados pessoais tem um views marcadamente
dinâmico, pois consiste na ação de manejar a informação, relacionando
e reelaborando dados, com intuito de se obterem conclusões a partir da
aplicação de critérios. Para que o tratamento de dados pessoais atinja a
sua finalidade, os dados geralmente são organizados na forma de banco
de dados. Este se caracteriza por ser um conjunto organizado e logico
de dados, de fácil utilização e acesso. Conforme definição da Diretiva
Europeia 95/46/CE, banco de dados constitui “qualquer conjunto
estruturado de dados pessoais, acessível segundo critérios

8
Art. 6º da Lei n. 13.709 de agosto de 2018. Denominada Lei Geral de Proteção de Dados
Pessoais (LGPD). Disponível em: <http://www.planalto.gov.br/ccivil_03/_ato2015-
2018/2018/lei/L13709.htm>. Acesso em: 10 jun. 2021.
6
 determinados, quer seja centralizado, descentralizado ou repartido de
modo funcional ou geográfico.
[...]
O momento da coleta pode ser considerado a primeira fase do
tratamento dos dados, no qual a empresa ou o controlador do banco de
dados necessita obter as informações pessoais do consumidor, o que
pode ser realizado a partir do próprio consumidor ou de outras fontes
[...]. O processamento de dados constitui a segunda fase do tratamento,
na qual os dados são submetidos a diversas técnicas necessárias para
lapidá-los e transformá-los em informações úteis para a empresa.
[...]
Pode-se dizer que as principais fontes de dados dos consumi- dores são:
i) trans ações comerciais; ii) censos e registros público; iii) pesquisas de
mercado e de estilo de vida; iv) sorteios e concursos; v) comercialização
e cisão de dados; e vi) tecnologias de controle na internet9.

Ainda, sobre esse mesmo viés, a referida autora conclui que:

Como regra geral, é fundamental destacar que a legitimidade da coleta

dos dados pessoais está condicionada ao consentimento do consumidor
ou à previsão legal que permita a coleta, hipótese em que ela deve ser
comunicada ao consumidor. Além disso, a finalidade pela qual os dados
pessoais foram coletados deve sempre ser respeitada, não podendo os
dados ser utilizados para finalidade diversa sem o expresso
consentimento do consumidor10.

Nesse sentido, os princípios da LGPD servem de balizas para

estruturar os controles internos de proteção de dados. Para que seja possível
elaborar um bom programa de compliance digital, faz-se necessário
avaliar/auditar como estão os controles da empresa. Portanto, num primeiro
momento, a organização deve verificar as tecnologias presentes, as licenças dos
softwares, os cadastros de dados e os termos de consentimento.
O termo de consentimento do usuário/cliente é de suma importância para
a organização que está coletando as informações, pois é esse documento que
autoriza o tratamento de dados. Deve-se frisar que esse termo deve ser claro,
objetivo e alinhado com os princípios arrolados acima, não podendo ter o condão
de enganar o usuário.

TEMA 3 – O DIREITO DO CONSUMIDOR E O MARKETING DIGITAL

Um tema que está bastante presente na agenda acadêmica dos últimos

anos diz respeito aos limites do marketing digital, ou seja, como regulamentar a
mineração de dados e o seu uso em técnicas de publicidade que incentivam ao

9
MENDES, L. Privacidade, proteção de dados e defesa do consumidor. Editora Saraiva. São
Paulo, 2014, p. 54-94.
10
_____. Privacidade, proteção de dados e defesa do consumidor. Editora Saraiva. São
Paulo, 2014, p. 95-96.
7
consumo. É prática comum na publicidade digital a utilização de spams e nudges
para influenciar o consumo de produtos e serviços. É como se fossem os gatilhos
para influenciar na tomada de decisões dos consumidores. Um bom exemplo são
os casos dos sites que vendem passagens aéreas que, após uma consulta do
consumidor, começam a disparar spams/nudges com novas promoções ou
alertando que os assentos estão esgotando.
Além da questão ética, que é bastante discutível, esse tipo de publicidade
pode caracterizar uma violação ao Código de Defesa ao Consumidor que, por um
lado, exige a educação e divulgação sobre o consumo adequado dos produtos e
serviços e, por outro, proíbe a publicidade enganosa e abusiva, bem como
métodos comerciais coercitivos ou desleais.
Com efeito, apesar de não disciplinar expressamente a publicidade digital,
a LGPD está voltada para a proteção da privacidade, intimidade, liberdade de
expressão e a honra das pessoas e, para tanto, apegou-se a diversos princípios
e regras estruturantes que disciplinam o manejo de dados pessoais, e que possui
algumas ferramentas para proteger os usuários.
Dentre essas regras, a LGPD assegura aos titulares dos dados pessoais
inúmeros direitos, tais como: confirmação da existência de cadastro em seu nome;
acesso aos dados; correção de dados; anonimização ou eliminação dos dados
desnecessários; portabilidade dos dados para outro prestador de serviço;
revogação de consentimento etc.
Até existe uma discussão se a pessoa jurídica também poderia titularizar
esse direito, uma vez que a lei fala na pessoa natural e que seriam apenas elas
as titulares do direito fundamental à proteção de dados.
Diante da discussão acerca do tema, importante mencionar o entendimento
de Anderson Schreiber que aduz que as pessoas jurídicas não gozam dessa
proteção, veja-se:
Os direitos da personalidade gravitam em torno da condição humana, e,
por isso mesmo, não têm qualquer relação com as pessoas jurídicas. As
sociedades, as associações, as Fund ações e todas as demais espécie
de entes abstratos detém personalidade em sentido subjetivo, ou seja,
possuem aptidão para a aquisição de direitos e obrigações. Não gozam,
apesar disso, da especial proteção que o ordenamento jurídico reserva
ao núcleo essencial da condição humana11.

11
SCHREIBER, A. Direitos da personalidade. Editora Atlas. São Paulo, 2011, p. 21-22.
8
 Mas trata-se de direito que pode ser limitado, ou seja, não é absoluto, visto
que pode ser aplicado outro direito fundamental ou preceito constitucional, a
depender do caso concreto, na medida do contexto social analisado.
A empresa americana ChoicePoint notificou cerca de 145 mil consumidores
em 2004 sobre fraude em seus sistemas de informações, o qual ocorreu devido a
falhas no monitoramento e credenciamento de seus clientes, gerando multa de
US$10 milhões e compensação de US$5 milhões aos consumidores12.
Existem medidas que podem prevenir o vazamento e o uso abusivo dos
dados, por meio de atividades de controle, procedimentos e políticas internas
asseguram os riscos prejudiciais nas organizações, como a implantação de um
programa efetivo de Compliance.
Vale lembrar que, a LGPD estabelece penalidades bastante rigorosas,
senão vejamos:
1. Advertência, com indicação de prazo para adoção de medidas
corretivas;
2. Multa simples, de até 2% (dois por cento) do faturamento da pessoa
jurídica de direito privado, grupo ou conglomerado no Brasil no seu último
exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00
(cinquenta milhões de reais) por infração; I
3. Multa diária;
4. Publicização da infração após devidamente apurada e confirmada
a sua ocorrência;
5. Bloqueio dos dados pessoais a que se refere a infração até a sua
regularização;
6. Eliminação dos dados pessoais a que se refere a infração.
7. Penalidades não substituem a aplicação de sanções
administrativas, civis ou penais previstas em legislação específica (art.
52, §2º)13.

Os órgãos públicos ficam submetidos às medidas administrativas

específicas. Deste modo, incumbe à autoridade nacional salvaguardar que
medidas proporcionais e cabíveis sejam adotadas quando incorrer violação no
tratamento de dados pessoais nos órgãos públicos. Tais órgãos se encontram no
âmbito do regime administrativo, por este motivo, submetem-se às normas e
parâmetros deste, respondendo no âmbito administrativo e não judicial.
Tendo em vista que o Compliance tem por objetivo estar em conformidade
com os regulamentos internos ou externos, com as leis e as diretrizes, obter um

12
Disponível em: <https://abcnews.go.com/Business/FinancialSecurity/story?id=506031>. Acesso
em: 10 jun. 2021.
13
MEYER, M. Lei 13.709/2018. Lei de Proteção de Dados Pessoais. Agosto de 2018. Disponível
em:<https://www.machadomeyer.com.br/index.php?option=com_content&catid=112&id=9087&vi
ew=article&Itemid=614&nosef=1&lang=pt>. Acesso em: 10 jun. 2021.
9
programa efetivo de integração faz com que haja manutenção desses métodos e
a sua inobservância, consequentemente, gera penalidades.
Acolher as condições da Lei Geral de Proteção de Dados requer adaptação
dos sistemas de governança corporativa, com implementação de Compliance
digital, necessita investimento, revisão das ferramentas de segurança de dados,
documentais, aperfeiçoamento de fluxos internos e externo de dados pessoais,
de procedimentos, por meio de emprego de mecanismos de controle e auditorias.
Tanto o controlador como o operador devem considerar as regras e formas de
proteger os dados pessoais e evidenciar sua eficiência nas empresas.
Desta forma, a referida lei traz um significativo impacto social e econômico.

TEMA 4 – ESTRUTURAÇÃO DE UM PROGRAMA DE PROTEÇÃO DE DADOS

Reitera-se que, pela Lei Geral de Proteção de Dados, os

clientes/consumidores são considerados titulares dos dados pessoais sensíveis,
os quais possuem ampla proteção pela legislação.
Assim, as organizações têm responsabilidade acerca dos dados pessoais
captados de seus clientes, sejam estes tratados ou não, o que importa na remoção
da culpa em caso de debate jurídico de acordo com o titular de dados, em caso
de eventual vazamento indevido destes14.
A Lei Geral de Proteção de Dados exige um cuidado especial com relação
ao tratamento de dados pessoais dos clientes. O recolhimento e partilha de dados
e informação entre empresas, apesar de ser importante para novos negócios e
transações comerciais, acarreta riscos de violação de privacidade.
Por conseguinte, as empresas que fazem tratamento de dados pessoais
precisam estruturar um bom programa interno, que chamamos de Compliance
Digital, com as medidas efetivas para garantir o cumprimento da nova legislação.
A autora Patrícia Peck Pinheiro bem ilustra como as empresas devem
adaptar a lei juntamente com um programa de Compliance, veja-se:

Dependendo do ramo do negócio, da empresa e da maturidade da

governança dos dados pessoais, é fundamental criar um programa de
compliance digital, com risk assessment, planos de respostas a
incidentes, treinamentos e comunicação, due diligence de terceiros em

14
MASSARELLI, J.; ALMEIDA, V. Proteção de dados pessoais como direito fundamental na
área da saúde e suas implicações para os profissionais médicos no Brasil cotejando
aspectos do direito comparado na União Europeia e na China. Disponível em:
<https://periodicos.unisanta.br/index.php/ENPG/article/download/2193/1691>. Acesso em: 10 jun.
2021.
10
 um contexto multissetorial dentro do negócio e com visão holística para
a legislação nacional e internacional.
Logo, em resumo, o passo a passo consiste:
a) na revisão e atualização da política de privacidade para estar em
conformidade com as novas regulamentações de proteção de dados
pessoais;
b) na atualização das cláusulas de contratos (seja com titular de dados
pessoais consumidor final ou funcionário);
c) na atualização das cláusulas de contratos com os parceiros e
fornecedores que realizam algum tipo de tratamento de dados,
principalmente fornecedores de soluções de gestão de informação,
nuvem, monitoração, mensageria, e-mail marketing, credit score, big
data, mídias sociais (coleta, produção, recepção, classificação, acesso,
utilização, transmissão, armazenagem, processamento, eliminação,
enriquecimento); d) no mapeamento do fluxo de dados para definição da
nova governança junto a TI dos controles de consentimento (ciclo de vida
do dado – coleta, uso, compartilhamento, enriquecimento,
armazenamento nacional ou internacional, com ou sem uso de nuvem,
eliminação, portabilidade);
e) no modelo de resposta para o Notice Letter do Órgão de Controle de
Dados (sobre nível de conformidade da empresa e controles auditáveis)
para prevenção a aplicação de multas e fiscalizações;
f) no modelo de checklist de compliance para uso da área de compras
para novos fornecedores e parceiros, que precisarão estar em
conformidade com as novas regulamentações de proteção de dados
pessoais;
g) no modelo para gestão e guarda de trilha de auditoria para gestão dos
logs de consentimento15.

O passo a passo citado acima é apenas um guia/exemplo de algumas

ações que devem ser tomadas pela empresa, dependendo do seu porte,
complexidade e extensão dos seus negócios. Por óbvio, uma padaria de pequeno
porte, por exemplo, que simplesmente colete dados dos seus clientes para enviar
“promoções” por conta comercial de WhatsApp, não precisa implantar medidas
tão custosas. É o caso em concreto que irá ditar o modelo de compliance digital
que deverá implantado pela empresa. Neste trabalho, irá se demonstrar como
funciona um programa completo, para uma empresa de grande porte.
Nesse sentido, vejamos primeiro os requisitos para o tratamento de dados:

a. Mediante consentimento do titular;

b. Para cumprimento de obrigação legal ou regulatória do controlador;
c. Para execução de políticas públicas pela administração pública;
d. Para realização de estudos por órgãos de pesquisa;
e. Para execução de contrato ou procedimentos preliminares a um contrato
do qual seja parte o titular, a pedido do titular;
f. Para o exercício regular de direitos em processos judiciais, administrativos
ou arbitrais;

15
PINHEIRO, P. Proteção de Dados Pessoais: Comentários à Lei n. 13.709/2018 (LGPD).
Editora Saraiva. São Paulo, 2018, pg.45-46.
11
 g. Para proteção da vida ou da incolumidade física do titular ou de terceiro;
h. Para tutela da saúde, com coleta realizada por profissionais e órgãos da
área de saúde;
i. Quando necessário para atender aos interesses legítimos do controlador
ou de terceiro, exceto se prevalecerem direitos e liberdades fundamentais
do titular;
j. Para proteção do crédito.

Como pode se verificar, a primeira medida a ser tomada é a elaboração do

termo de consentimento, que servirá para coletar a autorização do titular para a
coleta, armazenamento e tratamento dos dados pessoais. Deve-se lembrar,
contudo, que essa autorização deve ser fornecida por escrito ou por outro meio
que demonstre a efetiva manifestação de vontade do titular, em cláusula
destacada dos demais termos contratuais (art. 8º, parágrafo 1º, da LGPD), sendo
vedada a exigência de dados pessoais que não sejam necessários ao
cumprimento das obrigações legais e/ou comerciais, ex: orientação sexual ou cor
da pele.
Outra ação deveras importante é a implantação de medidas de segurança,
para evitar o vazamento, extravio, roubo e alteração dos dados pessoais. Essas
medidas envolvem as ferramentas de backup, softwares contra hackers, adoção
de senhas e níveis de competências etc.
Ainda, a empresa poderá elaborar uma política interna de tratamento de
dados, com orientações especificas e estruturação de áreas especializadas, que
rever contratos, estabelecer compromissos para colaboradores e fornecedores
etc. Por exigência da LGPD, o controlador dos dados deverá indicar o empregado
encarregado pelo tratamento de dados pessoais, que deve ser pessoa natural que
atue como canal de comunicação, a Autoridade Nacional de Proteção de dados –
ANPD e os titulares.
Como já abordado anteriormente, uma área que não pode ser desprezada
é aquela responsável pela gestão de riscos. Obviamente que não precisa ser um
departamento exclusivo para gerenciamento de riscos digitais, mas a empresa
não pode prescindir da gestão de riscos. Os dados produzidos por esta área
servirão para instruir a tomada de decisões pela alta administração e,
consequentemente, gerar valor para a empresa.
Toda essa estruturação deve fazer parte do programa de integridade da
empresa (riscos, compliance e auditoria), que deve ser acompanhado de perto

12
pelo Conselho de Administração e com o compromisso e seriedade dos
executivos, que devem dar exemplo para os demais colaboradores.

TEMA 5 – SITUAÇÕES PRÁTICAS DE COMPLIANCE DIGITAL E LGPD

Para finalizar esta aula e com o intuito de deixar o tema mais palpável,
serão demonstradas algumas situações práticas (exemplos) de compliance digital
e LGPD, vejamos.

5.1 LGPD e o setor de saúde

Uma área bastante afetada pela LGPD é o setor de saúde, que trata de
questões bastante íntimas do ser humano e, que, obviamente, demanda um
grande cuidado com a privacidade.
Hoje em dia, muitas clínicas e hospitais estão usando boletim médico
eletrônico. Nesse sentido, é de suma importância que essas organizações adotem
as medidas necessárias para proteger tais dados, como: elaboração de termo de
consentimento, criação de senhas, adoção de backup, instalação de antivírus
efetivos e estabelecimento de níveis de competência, definindo os profissionais
que podem ter acesso ao boletim.
Outra questão sensível diz respeito aos aplicativos de saúde móvel que
utilizam ferramentas de geolocalização. Explorar os últimos locais frequentados
pelo paciente para negar coberturas securitários (planos de saúde) ou oferecer
serviços sem finalidade científica, pode acarretar a responsabilidade da
organização. Além disso, essa exploração deve ter o consentimento do paciente,
não apenas com relação à geolocalização, mas também com relação ao uso de
tecnologias de Inteligência Artificial e Análise de Dados.
Uma restrição ética também alcança as pesquisas científicas. Por exemplo,
um portador de HIV que participe de um estudo científico pode solicitar que os
seus dados pessoais sejam anonimizados, para evitar qualquer tipo de
constrangimento ou estigma social. Portanto, ainda que os dados estejam em
meio físico ou sejam destinados para fins científicos, o profissional de saúde
precisa estar atento às limitações legais de sua publicidade.
É inegável que os avanços tecnológicos trazem benefícios para o setor de
saúde, que se beneficia desses avanços para uso na telemedicina, onde dispõe
de dados e até os transmite, para aperfeiçoar suas técnicas, bem como estima

13
seus resultados mediante as informações processadas pelos dados
disponibilizados dos pacientes, como também para manuseio dos prontuários,
que são obrigatórios e sigilosos16. Mas conforme já destacado, apesar dos
benefícios dos avanços tecnológicos, será necessária a estrita adequação à
LGPD, para evitar condutas ilegais e desnecessárias.
Finalmente, cabe destacar que, apesar das restrições legais, a LGPD
admite em hipóteses excepcionais o tratamento e compartilhamento de dados
sensíveis de saúde. Por exemplo, prevê o art. 4º, que a lei não se aplica ao
tratamento de dados pessoais realizado para fins exclusivamente jornalístico,
acadêmico ou em caso de segurança pública.

5.2 Escolha do DPO (Data Protection Officer)

Um dos principais atores da LGPD é o Encarregado dos Dados, conhecido

pela sigla DPO, que é a redução da expressão anglo-saxã data Protection Officer.
De acordo com a LGPD (art. 5º, VIII), o Encarregado dos Dados é pessoa indicada
pelo controlador e operador para atuar como canal de comunicação entre o
controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados
(ANPD).
É dever do Controlador (ex: empresa) indicar o Encarregado de Dados,
cujos dados relacionados a sua identidade e informações de contato devem ser
divulgadas publicamente, de forma clara e objetiva, preferencialmente no sítio
eletrônico do controlador.
Ainda, compete ao Encarregado de Dados as seguintes atribuições:

I. aceitar reclamações e comunicações dos titulares, prestar esclarecimentos

e adotar providências;
II. receber comunicações da autoridade nacional e adotar providências;
III. orientar os funcionários e os contratados da entidade a respeito das práticas
a serem tomadas em relação à proteção de dados pessoais; e
IV. executar as demais atribuições determinadas pelo controlador ou
estabelecidas em normas complementares.

A LGPD não exige uma formação específica, o que cai por terra a inverídica

16
CFM. Resolução CFM n. 2.217/2018. Aprova o Código de Ética Médica. Disponível em:
https://sistemas.cfm.org.br/normas/visualizar/resolucoes/BR/2018/2217>. Acesso em: 10 jun.
2021.
14
informação de que o Encarregado deveria ser advogado ou agente de compliance.
Em verdade, qualquer profissional que se julgue competente para assumir as
atribuições da LGPD pode ser indicado como Encarregado de Dados.

5.3 As boas práticas e a governança de dados

A LGPD (art. 50) prescreve que os controladores de dados pessoais

poderão formular regras de boas práticas e de governança que estabeleçam as
condições de organização, o regime de funcionamento, os procedimentos,
incluindo reclamações e petições de titulares, as normas de segurança, os
padrões técnicos, as obrigações específicas para os diversos envolvidos no
tratamento, as ações educativas, os mecanismos internos de supervisão e de
mitigação de riscos e outros aspectos relacionados ao tratamento de dados
pessoais.
A quantidade das boas práticas e a extensão da governança de dados
dependerá do porte e volume das operações das organizações, podendo
compreender as seguintes práticas:

a. demonstração do comprometimento do controlador em adotar processos e

políticas internas que assegurem o cumprimento, de forma abrangente, de
normas e boas práticas relativas à proteção de dados pessoais;
b. a extensão da aplicabilidade das práticas, pode abranger todos os dados
pessoais;
c. estabelecimento de políticas e salvaguardas adequadas aos riscos de
privacidade;
d. medidas de transparência, com o intuito de melhorar a confiança do
usuário;
e. integração com a estrutura geral de governança corporativa, ao lado das
áreas de auditoria, risco e compliance;
f. adoção de planos de resposta a incidentes e remediação; e
g. seja atualizado constantemente com base em informações obtidas a partir
de monitoramento contínuo e avaliações periódicas;

FINALIZANDO

De acordo com o programa de Compliance de cada empresa é que serão

avaliados em quais hipóteses podem se enquadrar para utilização da sua base de

15
dados pessoais, com a máxima proteção contra fraudes e abusos.
É essencial o comprometimento da alta gestão nas organizações para que
os empregados entendam a importância da proteção dos dados para a
organização como um todo, por isso se faz necessário um programa de integração
que seja periodicamente revisado, reforçado e até alterado conforme as
necessidades das empresas.
Conquanto o Brasil possua mais diversas normas que cuidam
parcialmente do tema, a LGPD é a primeira lei federal inerente a proteção de
dados pessoais. Os administradores públicos e privados não estavam adaptados
a trabalhar com esse tema. Por este motivo é que se deve construir uma cultura
e difundir as boas práticas para que a lei seja determinante. Toda a organização
precisa ser treinada.
O controle de dados pessoais deve ser efetuado pelas organizações com
o escopo de preservar a privacidade de cada indivíduo. Eventuais falhas na
garantia desses dados podem fomentar graves consequências financeiras e de
imagem para as empresas.
Por meio do Compliance a proteção de dados organizações são hábeis em
relação às políticas de proteção. Com isso, maior a confiabilidade nas
organizações, sendo fator decisivo no controle interno das empresas.
O custo-benefício de implementar o programa de Compliance é
imensurável, visto que a cautela de eventuais falhas suspende fortuitos,
penalidades e até a perda de credibilidade em torno das empresas.

16
REFERÊNCIAS

MASSARELLI JR, J.; ALMEIDA, V. Proteção de dados pessoais como direito

fundamental na área da saúde e suas implicações para os profissionais
médicos no Brasil cotejando aspectos do direito comparado na União
Europeia e na China. Disponível em: <
https://periodicos.unisanta.br/index.php/ENPG/article/download/2193/1691>.
Acesso em: 10 jun. 2021.

BACCI, L. Boas práticas de proteção de dados pessoais e o pratique ou

explique. Disponível em: < https://www.ibgc.org.br/blog/artigo-luciana-bacci>.
Acesso em: 10 jan. 2021.

ANDRADE, F.; COSTA, A.; NOVAIS, P. Privacidade e Proteção de Dados nos

Cuidados de Saúde de Idosos. Disponível em <
http://repositorium.sdum.uminho.pt/handle/1822/15197>. Acesso em: 10 jan.
2021.

ARAÚJO, A.; LUCENA, T.; BORTOLOZZI, F.; GONÇALVEZ, S. Saúde Móvel:

desafios globais à proteção de dados pessoais sob a perspectiva do direito da
União Europeia. Disponível em: <
https://www.reciis.icict.fiocruz.br/index.php/reciis/article/view/1125>. Acesso em:
10 jan. 2021.

KLAFKE, G. 7 impactos da nova lei de proteção de dados para a tecnologia

na Saúde. Disponível em: <http://www.mv.com.br/pt/blog/7-impactos-da-nova-
lei-de-protecao-de-dados-para-a-tecnologia-na-saude>. Acesso em: 10 jan. 2021.

CARVALHO, A; BERTOCCELLI, R; ALVIM, T; VENTURINI, O (coord.). Manual

de compliance. Editora Forense. Rio de Janeiro, 2019.

FRANCO, I. Guia Prático de Compliance. Editora Forense. Rio de Janeiro, 2019.

MENDES, L. Privacidade, proteção de dados e defesa do consumidor. Editora

Saraiva. São Paulo, 2014.

PINHEIRO, P. Proteção de Dados Pessoais – Comentários à Lei n. 13.709/2018

(LGPD). Editora Saraiva. São Paulo, 2018

SCHREIBER, A. Direitos da personalidade. Editora Atlas. São Paulo, 2011.

17