A Lei nº 13.709/2018 (LGPD) tem como objetivo regular a proteção dos dados pessoais, não estando inseridos no bojo da lei os dados corporativos ou empresariais. Quanto ao âmbito de aplicação, o referido diploma se impõe à entidade sediada no Brasil e aos casos em que o tratamento dos dados ocorra no país. Vale dizer, se o agente estiver sediado no Brasil ou se a operação se realizar no país, aplica-se a LGPD.

Inicialmente, a vigência da referida lei estava prevista para agosto de 2020, mas em decorrência da pandemia do Covid-19, a pressão para o adiamento da legislação aumentou, tendo sido aprovada a Lei 14.010, em 10 de junho de 2020, por meio da qual a vigência das sanções administrativas previstas na LGPD foi adiada para 01 de agosto de 2021. Quanto aos demais artigos, a Medida Provisória nº 959/2020, prorrogou a vacatio legis da LGPD para 03 de maio de 2021, a qual foi convertida em lei.

Isso porque, a realidade é que não só as empresas, mas o próprio governo não estava preparado para se adaptar às adequações e investimentos necessários. Ademais, é sine qua non que haja uma quebra de paradigma, da mesma forma como ocorreu no âmbito da legislação anticorrupção, de maneira que seja dada a devida relevância e urgência ao assunto, criando-se de uma cultura organizacional de proteção de dados e privacidade.

Neste diapasão, é fundamental a implementação de programas de governança em privacidade e proteção de dados pessoais, os quais devem ter o apoio da alta liderança das organizações. Isso porque, a legislação estabelece critérios e parâmetros de tratamento dos dados, a fim de que os titulares tenham garantias adequadas.

Assim, as organizações deverão endossar e assumir as responsabilidades pelo tratamento dos dados pessoais que realizam, como parte das suas tarefas diárias. O cuidado com o tratamento de dados pessoais deverá fazer parte da operação da empresa, intimamente ligado com os seus processos internos, visando fornecer a segurança que os titulares dos dados pessoais esperaram de tratamentos de dados regulares e seguros.[1]

No que tange às boas práticas e à governança dos dados, o artigo 50 da LGPD estabelece que os controladores e operadores poderão, no âmbito de sua competência pelo tratamento de dados pessoais, individualmente ou por meio de associações, formular regras de boas práticas e de governança corporativa[2]. Essas regras, implementações e sugestões serão fundamentais para apresentação à Autoridade Nacional de Proteção de Dados (ANPD), órgão instituído pela legislação responsável por zelar, implementar e fiscalizar o cumprimento da LGPD, em uma eventual solicitação por exemplo.

Ademais, é importante que o programa de governança em privacidade se estenda a cada uma das etapas do ciclo de vida da informação, quais sejam: coleta de dados, processamento, transferência, armazenamento, término e descarte e que preveja os planos de respostas a incidentes e suas respectivas remediações.

Nesse sentido, pode-se considerar o Programa de Compliance como gênero, do qual serão oriundas várias espécies, quais sejam, política antissuborno, antitruste, compliance tributário e a recente Lei Geral de Proteção de Dados (LGPD), a qual foi inspirada na General Data Protection Regulation (GDPR)[3], legislação europeia sobre o tema. O Programa de Proteção de Dados, assim como outros programas de Compliance, precisa do apoio da alta liderança e do seu engajamento, bem como investimento financeiro pela companhia.

O que os gestores amadores não enxergam (ou não desejam enxergar, caso queiram esconder algo) é que o custo de não  estar em Compliance é muito maior do que o gasto no programa, pois danos à reputação da organização e da marca, sanções, perda de licença, entre outros, são infinitamente superiores ao pagamento de uma equipe competente.[4]

Ante o exposto, é evidente que a governança corporativa busca criar condições favoráveis para a implementação de diretrizes que configurem uma adequação entre o comportamento da alta diretoria e o propósito organizacional e os Programas de Compliance são instrumentos de suma importância nesse processo.

Quanto ao Programa de Compliance de Privacidade e de Proteção de Dados, de acordo com Josmar Lenine[5], é fundamental que se tenha o suporte da alta gerência para a implementação dos processos relativos à proteção de dados pessoais em todos os departamentos da empresa e as pesadas sanções e riscos inerentes ao descumprimento são um atrativo para esses stakeholders.

Além disso, é fundamental a adesão e conscientização deles acerca da importância que a proteção de dados pessoais tem para as devidas adequações dos processos internos da empresa segundo os requisitos legais, tornando a proteção de dados pessoais parte integrante de todos eles.

Dessa forma, o propósito do Programa de Compliance de Privacidade e de Proteção de Dados não é se tornar mais um mecanismo que gere empecilhos ao negócio, como muitos stakeholders acreditam. Pelo contrário, é tornar uma empresa ainda mais atrativa ao mercado, no âmbito global, na medida em que isso passa a ser condição sine qua non para que empresas europeias estabeleçam relações comerciais.

Portanto, a não adequação à legislação implica em uma restrição de nicho de mercado. A contrário sensu, a conformidade denota o reconhecimento de um valor que foi objeto de discussão quanto a inclusão no rol dos direitos fundamentais, o que gera credibilidade tanto aos consumidores, quanto aos parceiros de negócio.

Fonte: Jota