Proteção de Dados | Educação Financeira | Em Pauta | Enfoque |
Espaço Apimec | Finanças Sustentáveis | Fórum Abrasca | IBGC Comunica |
IBRI Notícias | Investimentos | Opinião | Orquestra Societária |
Ponto de Vista | Registro |
No contexto de uma economia movida a dados, em boa hora foi editada a Lei Geral de Proteção de Dados - nº 13.709, de 14.08.2018 (“LGPD”), tendo por objetivo central harmonizar interesses distintos: os das pessoas naturais, titulares de dados pessoais, e os dos agentes econômicos que controlam e operam dados pessoais para a prestação de serviços e fornecimento de produtos, muitas vezes buscando, através da inovação, utilizar essas informações para maximizar seus lucros.
Reconhecendo a necessidade de conferir proteção ao cidadão em um ambiente de capitalismo de vigilância, onde os dados pessoais são monetizados, o novel diploma legal introduz direitos à pessoa natural Titular [de dados] e deveres legais aos agentes econômicos, que decidem como os dados pessoais são utilizados ou que prestem serviços utilizando a base de dados de terceiros.
A LGPD conceitua como “tratamento de dados” toda a operação com dados capazes de identificar pessoas naturais (como, por exemplo, a coleta, classificação, utilização, análise e compartilhamento de dados) e estabelece deveres legais para os Controladores e Operadores de dados (“Agentes de Tratamento”), responsáveis pelo tratamento.
Esses Agentes de Tratamento podem ser “pessoa natural ou jurídica, de direito público ou privado”, cabendo ao Controlador [de dados] tomar “as decisões referentes ao tratamento de dados pessoais”, e ao Operador, se assim for indicado pelo Controlador [de dados], realizar “o tratamento de dados pessoais em nome do controlador [de dados]”, mantendo registros das operações realizadas. Na ausência da indicação de um Operador, suas atividades serão exercidas pelo Controlador [de dados]. Nesse caso, a pessoa que exercer a atividade de tratamento de dados pessoais responderá como Controladora [de dados] e como Operadora.
O Controlador [de dados], que deve ser identificado ao Titular de Dados, desempenha papel central no Sistema de Proteção de Dados, possuindo diversas obrigações, dentre as quais:
(i) dever de informar;
(ii) dever de adotar medidas para garantir a transparência do tratamento de dados baseado no seu legítimo interesse;
(iii) dever de manter registro das operações de tratamento;
(iv) dever de identificar e mitigar riscos;
(v) dever de supervisão das atividades desenvolvidas pelo Operador e pelo Encarregado; e
(vi) dever de adotar medidas de segurança.
O Operador deverá agir dentro dos limites das instruções fornecidas pelo Controlador [de dados], possuindo obrigações próprias, dentre as quais: (i) manter registro das operações de tratamento e (ii) adotar medidas de segurança aptas a proteger os dados pessoais. Como dito acima, é importante salientar que o Controlador [de dados] poderá desempenhar simultaneamente a função de Operador.
De modo a bem interagir com a Autoridade Nacional de Proteção de Dados (“ANPD”) e com os Titulares de Dados, os Agentes de Tratamento deverão indicar um Encarregado, o qual agirá sob sua orientação e supervisão, tendo ainda a atribuição de orientar funcionários e contratados da organização a respeito das práticas a serem tomadas em relação à proteção dos dados pessoais.
A sociedade empresária, enquanto Agente de Tratamento, deve atender aos deveres impostos pela LGPD, suportando a responsabilidade administrativa e civil quando caracterizado desvio de sua conduta.
Nessa linha, deverão os administradores da sociedade empresária fazer com que os deveres fixados pela LGPD sejam cumpridos, inclusive com a:
(i) elaboração de matriz de risco,
(ii) definição de políticas e diretrizes a serem atendidas através de programas de integridade,
(iii) elaboração de estrutura robusta de controles internos,
(iv) verificação periódica da eficácia desses controles,
(v) realização de treinamentos internos; e
(vi) apuração recorrente da adequação da estrutura da governança e compliance da organização às suas atividades.
Importante que os controles internos de práticas gerenciais tenham instrumentos de verificação da sua adoção e efetividade, pois não se admite que sua observância dependa da conduta espontânea dos seus agentes.
De início, visando ao bom cumprimento da LGPD, verifica-se a necessidade dos seus agentes de governança estarem cientes dessa nova realidade jurídica de proteção de dados pessoais, de modo a cumprirem com suas atribuições.
Tomando como referência a sociedade anônima aberta, cabe ao Conselho de Administração definir a Política de Gestão e Proteção de Dados, determinando que a Diretoria tome as providências para sua implementação. Os deveres jurídicos previstos na LGPD antes referidos deverão ser atribuídos, com clareza, a componentes organizacionais, de modo que a entidade cumpra, tempestivamente, com suas obrigações, com a atuação proativa da Diretoria, especialmente do Diretor responsável por esse assunto.
Atendendo ao sistema de distribuição de competências estabelecido pela lei acionária, cabe, ainda, ao Conselho de Administração supervisionar as atividades da Diretoria no cumprimento de suas determinações. Cabe à Diretoria executar as orientações do Conselho de Administração. Cabe ao Conselho Fiscal, se estiver em funcionamento, fiscalizar os administradores e o cumprimento dos seus deveres legais e estatutários.
Assim, no âmbito da Diretoria, dever-se-á atender às competências estatutárias ou ainda às atribuições estabelecidas pelo Conselho de Administração. De qualquer forma, sempre haverá um Diretor estatutário responsável, direta ou indiretamente, pelo efetivo cumprimento dos deveres da sociedade empresária, no exercício da função de Agente de Tratamento, seja ele o Diretor Presidente ou outro com designação específica.
A transferência, para seus subordinados, da prática dos atos de execução resulta, para o Diretor responsável pela gestão e proteção de dados (“Diretor Responsável”), no dever de monitorar e supervisionar as atividades desses profissionais, de modo que eles atuem com a diligência e a lealdade esperadas.
A conduta dos administradores deverá atender seus deveres fiduciários, especialmente a mãe de todos esses deveres, o dever de diligência, que inclui a procedimentalização dos controles internos dentro da companhia de modo adequado e razoável. Assim, para desincumbir-se do dever de monitorar e supervisionar, deve o administrador agir com razoabilidade e adequação, considerando as circunstâncias da sua organização.
O cumprimento do dever de diligência exige do administrador uma atuação bem informada, prudente, zelosa e competente. Assim, o Diretor Responsável tem o dever de assegurar que as informações, necessárias para bem desempenhar a sua supervisão, sejam geradas e tempestivamente lhe sejam entregues.
Deve ele agir de forma ponderada, visando estabelecer um sistema de controles internos rígido e eficiente que dê efetividade ao cumprimento das políticas e diretrizes estabelecidas pelo Conselho de Administração e aos deveres legais fixados pela LGPD, proporcionando com “razoável segurança de que os atos praticados pelos subordinados serão, ao menos, praticados de forma diligente e com lealdade” (Otávio Yazbeck, Processo Administrativo Sancionador CVM nº 24/2006, j. em 18/02/2013).
No mesmo diapasão, Yazbeck ensina: “para a apuração da conduta dos administradores, é necessário analisar a forma como se ‘procedimentalizaram’ as atividades dentro da sociedade, avaliando se a ‘procedimentalização’ dos controles internos dentro da companhia foi adequada e razoável”.
Aplicando esses preceitos à LGPD, tem destaque a análise e gestão de riscos do uso indevido dos dados pessoais, associada ao dever de segurança imposto aos Agentes de Tratamento, em prol da proteção dos direitos do Titular dos Dados.
Para bem cumprir com seus deveres, deverá o Diretor Responsável, direta ou indiretamente, acompanhar o ciclo de vida dos dados pessoais, descartando-os quando do término do tratamento, que deverá coincidir com o termo final da sua utilidade para atendimento do interesse legítimo da sociedade empresária ou para cumprimento de dever legal a ela imposto.
De forma sucinta, essas são considerações iniciais que proporcionam um primeiro contato dos administradores das sociedades empresárias abertas com esta nova, relevante e complexa realidade jurídica.
João Laudo de Camargo
é sócio sênior do Bocater, Camargo, Costa e Silva, Rodrigues Advogados, Graduado em Direito PUC-Rio, Mestre em Direito Comparado na George Washington University.
jcamargo@bocater.com.br
Maurício Gobbi dos Santos
É associado do Bocater, Camargo, Costa e Silva, Rodrigues Advogados, Graduado em Direito pela Universidade do Estado do Rio de Janeiro - UERJ.
msantos@bocater.com.br
Gabriel Leite
é associado do Bocater, Camargo, Costa e Silva, Rodrigues Advogados, Graduado em Direito pela Universidade Federal do Estado do Rio de Janeiro e Especialista em Previdência Complementar Fechada pelo Instituto Latino-Americano de Direito Social (IDS América Latina).
gleite@bocater.com.br