Compliance digital e LGPD: TUDO para seu escritório praticar

Compliance digital é o conjunto de protocolos e práticas de segurança com que uma organização, pública ou privada, busca proteger dados e demais informações sigilosas de ataques ou de uso criminoso. Tal conjunto de ações define uma política de compliance.

Conformidade na lida com dados pessoais

Viviane Nóbrega Maldonado e Renato Opice Blum, organizadores do já necessário LGPD Comentada, dizem: “o tema da proteção de dados está, efetivamente, no centro da agenda mundial”. E, na esteira dele, o do compliance digital.

Pudera. Pense no volume de informações pessoais que entregamos, sem sequer pestanejar, para empresas detentoras de contas de e-mails, redes sociais, plataformas de aluguel de carros etc.

Nessa mesma conta, pense ainda no uso de dados pelo poder público. Para ficarmos só no Brasil, o sistema de ônibus de São Paulo usa tecnologia de reconhecimento facial para identificar fraudes no Bilhete Único. Sistema similar está sendo implementado, agora, no metrô.

No Carnaval de Salvador deste ano, um folião fantasiado de mulher foi identificado em experimento de reconhecimento facial, entre 3 milhões de rostos, como foragido por homicídio. Tecnologia já está em funcionamento em outros pontos públicos.

Estamos em plena era dos data. Por um lado, questão de entrega de serviços e de segurança pública. Por outro, questão comercial. Afinal, dados são ativos. Não à toa notícias de comercialização, invasão e divulgação de informações em massa sem o consentimento têm virado normalidade. Já diz a máxima: se é gratuito, é porque o produto é você ou, no caso, os seus dados. E então, chegamos ao cerne do problema: a erosão da privacidade.

Por isso, há um campo aberto no Direito digital. Vimos seus primeiros frutos com legislações importantes. E para os advogados, o que isso significa? Muitas oportunidades!



Por isso, neste artigo vou explorar TUDO que seu escritório de advocacia precisa saber sobre a atuação em compliance digital.

Como surge a legislação sobre dados

Da clareza quanto à necessidade de criar mecanismos que protejam os usuários, vieram as regulamentações para segurança e prevenção de riscos cibernéticos e sanções para crimes cometidos no ambiente digital. Resultados dessa movimentação são:

compliance digital
  1. Lei de Crimes Cibernéticos ou Carolina Dieckmann (Lei 12.737/2012);
  2. Regulamentação do E-commerce (Decreto 7.962/2013);
  3. Marco Civil da Internet (Lei 12.965/2014); e
  4. Lei Geral de Proteção de Dados (Lei 13.709/2018), acima de todas elas; e o mais recente
  5. Cadastro Base do Cidadão (Decreto 10.046/2019).

O cenário de legislações específicas para o ciberespaço é bastante recente, formado nos últimos 8 anos. Aliás, como grande parte das tendências em compliance e Direito digital, que vieram à tona na era da tecnologia da informação.

Como meu objetivo é chegar no compliance digital, vou me ater, aqui, às linhas gerais da lei mais recentes: a LGPD e, ainda, o Decreto 10.046, de outubro de 2019.

1. LGPD: Lei 13.709/2018

A lei 13.709, sancionada em agosto de 2018 e em vigor a partir de agosto 2020, veio, novamente nas palavras de Maldonado e Blum, para “alinhar-se ao standard mundial da proteção de dados”.

Além disso, veio para cumprir uma espécie de lacuna deixada pela primeira legislação específica para o Direito digital, o Marco Civil da Internet, quanto a segurança e privacidade dos dados pessoais coletados por outras pessoas ou organizações públicas e privadas.

A LGPD objetiva, portanto, proteger usuários da ocorrência de compartilhamento de seus dados pessoais sem a devida segurança jurídica. Para tal, define alguns mecanismos.

  • Requisitos para coleta, tratamento e compartilhamento de dados por organizações e pelo poder público;
  • Direitos do titular dos dados;
  • Agentes de tratamento;
  • Dever da responsabilidade e ressarcimento por danos pela proteção de dados;
  • Práticas de governança;
  • Sanções; e
  • ANPD – Autoridade Nacional de Proteção de Dados .

Com a lei, o cidadão poderá saber como seus dados pessoais são tratados: os motivos pelos quais são coletados, como são armazenados, por quanto tempo e, evidentemente, se são de alguma forma distribuídos. E assim, decidir se consente nesse uso, se o corrige etc. E, caso sofra algum dano devido ao uso dessas informações, tem garantida indenização por isso.

Assim, a LGPD chega pedindo respostas efetivas em compliance digital das organizações. Para você se aprofundar mais no texto da lei, deixo aqui o também nosso Guia da Lei Geral de Proteção de Dados Pessoais (LGPD). Passo agora, portanto, ao Cadastro Base do Cidadão.

2. Cadastro Base do Cidadão: Decreto 10.046/2019

Em outubro deste ano, o governo federal publicou o Decreto 10.046. A medida institui a ampla possibilidade de compartilhamento, na administração pública federal, dos dados dos cidadãos, o Cadastro Base do Cidadão e o Comitê Central de Governança de Dados.

Como “dado”, o decreto compreende informações biográficas, mas também biométricas. São três as modalidades de compartilhamento: ampla, restrita e específica, a depender do grau de sigilo. No entanto, a categorização deste nível será feita pelo Comitê Central de Governança de Dados.

O objetivo, por óbvio, é desburocratizar a administração federal. No entanto, ainda que a centralização de informações dos brasileiros em uma base única seja promissora em vários aspectos, ela inspira, por outro lado, alguns desafios em gestão pública.

Afinal, como lemos na LGPD, que subsome o decreto, toda entidade que lida com dados pessoais deve estar preparada para protegê-los. E mais: ter mecanismos para que o usuário consiga controlar o uso, assim como o compartilhamento dessas informações entre os órgãos.

Portanto, veja quantas questões temos só neste decreto. Isso, toca, ora pela via do setor público, na necessidade de compliance.

Compliance: dos negócios ao digital

Com o cenário legal traçado, pede-se adequação. Afinal, a legislação deve ser mais do que simbólica. Para produzir benefícios e gerar valor, tanto para governos e empresas quanto para pessoas, ela necessita ser posta em prática. Assim, chegamos ao compliance.

O termo compliance significa agir de acordo com as regras. Simples. Mas não nos enganemos. Porque a simplicidade da definição, não raro, deixa esconder a complexidade do processo de implantação de um programa de compliance.

Pois quando chegamos a esse conceito tocamos no âmbito organizacional. Neste, compliance se entende como o conjunto de estruturas, regras e procedimentos implementados com vistas a assegurar a conformidade do funcionamento da empresa a legislação, normas internas e padrões éticos desejáveis para o mundo dos negócios. No Brasil, o amadurecimento nesse quesito é crescente e, desde a publicação da Lei Anticorrupção, deu um verdadeiro salto.

Desta definição, tão ampla quanto possível, vamos afunilar nosso foco para chegarmos à sua vertente cibernética: o compliance digital.

Compliance digital: uma nova frente de compliance

A LGPD e demais legislações que citamos estão diretamente relacionadas ao compliance digital. Embora não o contemplem como um todo, ensejam a chamada de atenção à área e suscitam outras questões ligadas à conformidade no domínio virtual.

O compliance digital é a união entre a conformidade à lei e a tecnologia da informação para a gestão de riscos. E por riscos, incluímos aqui uso indevido e vazamento de dados, invasão por malwares, phishings, propriedade de softwares, algoritmos e por aí vai.

Dentro de um programa de compliance, portanto, a vertente de compliance digital se estrutura num programa de protocolos, procedimentos e regulamentos que visam adequar as práticas a normas de conduta e segurança internas e externas.

Advocacia na conformidade à lei proteção de dados

Começamos este artigo mencionando que governos e grande players do mercado tiveram falhas de segurança ou mesmo usaram e comercializaram livremente dados pessoais de usuários. Portanto, se há um gap em conformidade até em tais lugares, como estará a política de segurança dos dados do resto do mercado?

As empresas estão vulneráveis. Com efeito, dados de 2017 da Deloitte já mostravam que 30% das organizações pretendiam implementar um centro de operações de risco cibernéticos. Enquanto 32% já têm implementados e 38% ainda não se preocuparam com isso. Imagine hoje.

Como ramo da advocacia consultiva, o compliance digital vem, portanto, numa crescente. Para escritórios este é um novo terreno a ser explorado, por exemplo, no que diz respeito à implementação do Escritório de Dados.

Embora a demanda atual seja de adequação à LGPD, um programa de compliance vai muito além dela. Pois inclui monitoramento de segurança de outras informações, como patentes, algoritmos e projetos estratégicos da empresa, verificação de ameaças de vírus e invasores, ao próprio uso da marca e até monitoramento de ameaças na deep web e na dark web.

Elas podem envolver consultoria em mapeamento de riscos e análise de vulnerabilidade, criação e implementação de política de prevenção, treinamentos, assessoria em auditoria e em investigação interna e ainda revisão de programas.

Para coordenar ações nesse sentido, portanto, o advogado terá de se familiarizar com toda a miríade de novas tecnologias digitais. Aqui, a multidisciplinaridade é palavra-chave. Isso porque ele terá de dialogar, além da alta direção, com gestores e equipes de segurança da informação, encarregadas da proteção dessas informações.

Para isso, vale até mesmo ter uma equipe especializada dentro do escritório para criar ofertas mais consistentes de valor para gestão integrada de riscos vinculados a dados pessoais.

Compliance: uma frente que gera valor para o escritório

Por fim, para além da LGPD, o compliace digital é uma frente que gera valor para o escritório. Até porque a era do big data, da inteligência artificial, da internet da coisas está só nos seus primeiros passos.

Por outro lado, nunca perder de vista que o problema se resume a pessoas. Portanto, o compliance começa por elas. Qualquer programa de compliance digital deve ser amplo, ou seja, envolver toda a empresa. Mas também deve ser profundo, ou seja, verdadeiro, não mera fachada.

Estar não apenas atento a isso, mas usar sua expertise jurídica para o compliance é ter garantias de que os ganhos inegáveis da tecnologia não sejam superados pelos males e prejuízos que elas trazem para empresas e pessoas.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *