Baixe o app para aproveitar ainda mais
Prévia do material em texto
Organizadores Roberta Schaun Fabrizio Bon Vecchio André Machado Maya Francis Rafael Beck Alexandre Torres Petry Compliance, Governança Corporativa e ESG: perspectivas e desafios Porto Alegre, 2023 Copyright © 2023 by Ordem dos Advogados do Brasil Todos os direitos reservados Organizadores Roberta Schaun – Presidente da Comissão de Compliance da OAB/RS Fabrizio Bon Vecchio – Vice-Presidente da Comissão de Compliance da OAB/RS André Machado Maya – Membro da Comissão de Compliance da OAB/RS Francis Rafael Beck – Membro da Comissão de Compliance da OAB/RS Alexandre Torres Petry – Diretor de E-books e da Revista Eletrônica da ESA/RS Projeto Gráfico e Capa Victor Baldez Silva Revisora Dieniffer de Souza Silva Lemes Jovita Cristina Garcia dos Santos- CRB 10ª 1.517 A revisão de Língua Portuguesa e a digitação, bem como os conceitos emitidos em trabalhos assinados, serão de inteira responsabilidade do(s) autor(es). Escola Superior de Advocacia da OAB/RS Rua Manoelito de Ornellas, 55 – Praia de Belas CEP 91110-230 – Porto Alegre/RS C735 Compliance, Governança Corporativa e ESG: perspectivas e desafios [recurso eletrônico]. / Roberta Schaun, Fabrizio Bon Vecchio, André Machado Maya. et al. (Org). – Porto Alegre, OABRS, 2023. p. 173. ISBN: 978-65-88371-26-8 1. Compliance 2. Corporativa. Schaun, Roberta. II. Bom Vecchio, Fabrizio. III. Título CDU 35.073 ORDEM DOS ADVOGADOS DO BRASIL - CONSELHO FEDERAL DIRETORIA/GESTÃO 2022/2025 Presidente: Beto Simonetti Vice-Presidente: Rafael Horn Secretária-Geral: Sayury Otoni Secretária-Geral Adjunta: Milena Gama Diretor Tesoureiro: Leonardo Campos ESCOLA NACIONAL DE ADVOCACIA – ENA Diretor-Geral: Ronnie Preuss Duarte ORDEM DOS ADVOGADOS DO BRASIL - SECÇÃO DO RIO GRANDE DO SUL Presidente: Leonardo Lamachia Vice-Presidente: Neusa Maria Rolim Bastos Secretário-Geral: Gustavo Juchem Secretária-Geral Adjunta: Karina Contiero Silveira Tesoureiro: Jorge Luiz Dias Fara ESCOLA SUPERIOR DE ADVOCACIA Diretor-Geral: Rolf Hanssen Madaleno Vice-Diretor: Eduardo Lemos Barbosa Diretora Administrativa-Financeira: Graziela Cardoso Vanin Diretoras de Cursos Permanentes: Fernanda Corrêa Osorio, Michelle da Silva G. Vieira Diretor de Cursos Especiais: Roger Eridson Dorneles Diretores de Cursos Não Presenciais: Jair Pereira Coitinho Diretoras de Atividades Culturais: Ana Lúcia Kaercher Piccoli, Eliane Chalmes Magalhões Diretor de E-books e da Revista Eletrônica: Alexandre Torres Petry CONSELHO PEDAGÓGICO Bruno Nubens Barbosa Miragem Simone Tassinari Cardoso Fleischmann Gerson Fischmann Cristina da Costa Nery Raimar Rodrigues Machado CAIXA DE ASSISTÊNCIA DOS ADVOGADOS Presidente: Pedro Zanette Alfonsin Vice-Presidente: Paula Grill Silva Pereira Secretária-Geral: Morgana Bordignon Secretária-Geral Adjunta: Alessandra Glufke Tesoureiro: Matheus Portella Ayres Torres TRIBUNAL DE ÉTICA E DISCIPLINA Presidente: Airton Ruschel Vice-Presidente: Gabriel Lopes Moreira CORREGEDORIA Corregedora: Maria Helena Camargo Dornelles Corregedores Adjuntos Maria Ercília Hostyn Gralha Josana Rosolen Rivoli Regina Pereira Soares OABPrev Presidente: Jorge Luiz Dias Fara Diretor Administrativo: Otto Junior Barreto Diretora Financeira: Claudia Regina de Souza Bueno Diretor de Benefícios: Luiz Augusto Gonçalves de Gonçalves COOABCred-RS Presidente: Jorge Fernando Estevão Maciel Vice-Presidente: Márcia Isabel Heinen SUMÁRIO APRESENTAÇÃO – Giovani Saavedra ............................................................................... 7 PREFÁCIO – Roberta Schaun ............................................................................................. 9 GESTÃO DA CADEIA STAKEHOLDER E OS CRITÉRIOS DA TERCEIRIZAÇÃO: DUE DILIGENCE QUANTO A PRÁTICAS SUSTENTÁVEIS ENTRE EMPRESAS – Amanda Israel Fraga e Juliana Müller Brezolin .................................................................. 11 O RIPD E GOVERNANÇA E REGULAÇÃO DA PROTEÇÃO DE DADOS PESSOAIS – Ariel Augusto Lira de Moura, Bernardo Leandro Carvalho Costa e Leonel Severo Rocha 22 ESTUDO INTERPRETATIVO E COMPARADO DAS DIRETRIZES NACIONAIS E INTERNACIONAIS SOBRE PROGRAMAS DE COMPLIANCE – Henrique Starck Malghosian Cantaforo e Bruno Galvão Ferola .................................................................... 37 ESG E DIREITOS HUMANOS: A APLICAÇÃO NAS RELAÇÕES DE TRABALHO – Caroline Alburquerque Cabrera........................................................................................... 58 COMPLIANCE E LGPD – ASPECTOS CONEXOS E RELEVANTES – Fábio Böckmann Schneider ............................................................................................................................. 71 O COMPLIANCE COMO ALIADO À MULHER NO MERCADO DE TRABALHO – Jordana Isse e Pauline Amaral Antunes .............................................................................. 82 GOVERNANÇA E COMPLIANCE: DOS BONS PROPÓSITOS ÀS AÇÕES RESPONSÁVEIS – Josué Emilio Möller e Letícia Ludwig Möller ................................... 94 PRÁTICAS CORPORATIVAS NO CONTEXTO DA RELAÇÃO DE ATENDIMENTO AOS CLIENTES APLICADA ÀS ORGANIZAÇÕES E ESPECIAL ÊNFASE AOS ESCRITÓRIOS DE ADVOCACIA COM VISTA À TECNOLOGIA DA INFORMAÇÃO – Leandro Barbosa de Araújo e Francineide Barbosa de Araújo Costa ............................ 112 A IMPORTÂNCIA DA ÉTICA E DA MORAL NA RESPONSABILIZAÇÃO POR PRÁTICAS DELITUOSAS NAS EMPRESAS PELO COMPLIANCE OFFICER: UMA ABORDAGEM JURÍDICA EMPRESARIAL – Luís Augusto Antunes Rodrigues ........ 127 COMPLIANCE E GOVERNANÇA CORPORATIVA COMO MECANISMOS DE CONFORMIDADE TRABALHISTA – ASPECTOS SOCIAIS E VALORES – Murilo Reis Sena ................................................................................................................................... 138 GOVERNANÇA CORPORATIVA E A RESPONSABILIDADE SOCIAL E AMBIENTAL: UMA ANÁLISE DA LEI ALEMÃ DE DUE DILIGENCE DA CADEIA DE SUPRIMENTOS – Tainara Carozzi de Carvalho e Jéssica Maria Dias de Souza ...... 158 7 APRESENTAÇÃO Foi uma grande alegria receber o convite para a apresentação desta obra. Em especial, porque ela é iniciativa da Comissão de Compliance, de cuja criação, no âmbito da OAB-RS fui responsável, juntamente com o colega Marcos Eberhardt, e que contou com o apoio incondicional do nosso ex-Presidente Ricardo Breier. Fiquei à frente dessa comissão nos dois mandatos do Presidente Breier (2017-2022) e fico feliz e muito orgulhoso de ter participado de todo o processo histórico de criação desta inovadora comissão, bem como de todos os projetos que ali foram feitos. Importante ressaltar o pioneirismo da iniciativa: hoje, parece claro e óbvia a necessidade de uma comissão dessa temática, mas, na primeira gestão, quando se discutia o tema, a comissão teve de ser intitulada Comissão de Prevenção à Corrupção, porque ainda não havia tradição a esse respeito no sistema OAB, nem se entendia ainda muito bem ainda o termo compliance. Foi somente, na segunda gestão do Presidente Breier que foi possível nomearmos a comissão com o nome que leva hoje, Comissão de Compliance e, somente no início deste ano, a Comissão de Compliance do Conselho Federal, da qual também faço parte, iniciou um processo de uniformização da temática em nível nacional, o que demonstra também a importância do trabalho realizado. No marco desse trabalho, foi-me confiado pelo ex-Presidente Breier também a função de criar uma comissão para tratar dos temas de privacidade e proteção de dados. Foi, então, que, a partir da Comissão de Compliance, foi criada a Comissão de Privacidade e Proteção de Dados da OAB/RS, cujoprimeiro presidente, foi escolhido dentre um dos membros da Comissão de Compliance, o colega Andre Pontin. Ele assumiu essa tarefa e o trabalhos das comissões sempre foi desenvolvido de maneira integrada, tendo em vista que Compliance e Proteção de Dados devem ser pensados de maneira alinhada e conjunta. Por tudo isso, ser lembrado para participar dessa iniciativa, demonstra toda a grandeza da nova gestão também e reconhecer o legado e a importância dos projetos realizados. Nesse sentido, agradeço à Presidente e a nova diretoria pela lembrança e pelo convite, que muito me honra. Outra grande razão de alegria, é o que a responsável pelo convite foi própria Presidente atual da Comissão, a colega Roberta Schaun, que conheci ainda quando era professor da PUCRS na faculdade de direito. Ela foi aluna de uma das primeiras turmas nas quais lecionei nessa instituição e é uma alegria vê-la brilhando a frente da Comissão de Compliance da OAB/RS. O presente trabalho é prova da sua capacidade incrível de mobilização e de liderança e, nesse sentido, parabenizo-a pela organização da obra e aproveito para estender as congratulações aos demais organizadores da obra, os colegas Fabrizio Bon Vecchio, André Machado Maya, Francis Rafael Beck e Alexandre Torres Petry pelo excelente trabalho realizado. A obra traz a lume textos sobre os três eixos de debate mais relevantes da área de na atualidade: Governança Corporativa e ESG, Sistema de Gestão de Compliance e Proteção de Dados, que têm tido uma importância tão grande no cenário internacional, que muitos autores, autoridades e organismos internacionais já os estão considerando parte de uma mudança de paradigma no capitalismo contemporâneo, o Capitalismo Stakeholder1. Nesse 1 Ver, a esse respeito: Saavedra, Giovani. Compliance. São Paulo: Thompson Reuters, 2022, cap. 1; Saavedra, Giovani. Capitalismo Stakeholder e a ética de mercado: ESG como forma de concretização dos direitos 8 sentido, são novas diretrizes organizacionais que têm raiz muito mais profunda do que a sua exteriorização prática na forma de técnica de gestão ou de uma mera definição de políticas. Elas fazem parte de um processo muito mais amplo de repensar a maneira como se faz negócios: ficam para trás as formas de gestão focadas no curto prazo e passa-se a pensar no desenvolvimento a longo prazo. A palavra que une os três temas, portanto, é sustentabilidade. E é sob essa ótica, que o livro deve ser lido, tanto a parte reservada aos temas de Governança, quanto aos de Compliance, de ESG e de Proteção de dados, dado que eles visam incorporar o raciocínio de ética e proteção aos direitos fundamentais e humanos no âmbito organizacional e de negócios e representam a consolidação de um progresso moral civilizacional, que é incorporado pelo mercado. Se, por um lado, porém, o lado positivo de todo esse processo é indiscutível, os desafios são vários: como gerenciar riscos da cadeia de terceiros? Como conciliar as diversas diretrizes e normas internacionais sobre os temas? Como lidar com a pluralidade de fontes de obrigações de compliance? Como conciliar as diretrizes de ESG e Direitos Humanos com a legislação trabalhista pátria? Esses são temas complexos que merecem uma abordagem que concilia os estudo acadêmico com uma análise das práticas de mercado. A presente obra tem o mérito de enfrentar esses desafios ao longo de suas páginas. Mas, para além disso, o presente livro tem o mérito também de enfrentar os reflexos desses temas também para a advocacia. E essa é a principal função da OAB, capacitar a advocacia, dando elementos para que os(as) advogados(as) possam prestar o serviço essencial à justiça, que é a advocacia, de maneira sempre mais qualificada e com a excelência que dela se espera. A presente obra, portanto, contribui a um só tempo para o desenvolvimento do debate e, mas também traz para o profissional iniciante nesse mercado, a possibilidade de a ampliar seus conhecimentos sobre o tema, bem como para a difusão da Integridade nos negócios brasileiros. E, por isso, é uma obra que vale a pena ser lida! Ficam aqui os votos de sucesso, a todos(as) organizadores(as) e autores(as) do livro. Prof. Dr. Giovani Saavedra Universidade Presbiteriana Mackenzie – SP Doutor em Direito e Filosofa pela Johann Wolfgang Goethe – Universidade de Frankfurt Mestre em Direito pela PUCRS Advogado humanos/fundamentais. In: Nascimento, Juliana. Esg - O Cisne Verde e o Capitalismo de Stakeholder. São Paulo: Thompson Reuteres, 2023. 9 PREFÁCIO Cara leitora, Caro leitor, É com grande satisfação que a Comissão de Compliance da OAB/RS apresenta a você este e-book abrangente sobre Compliance, Governança Corporativa e ESG. Em um contexto global cada vez mais complexo e interconectado, as organizações estão sendo desafiadas a repensar suas abordagens tradicionais e adotar práticas responsáveis e sustentáveis que impulsionem o crescimento a longo prazo, alinhando o sucesso dos negócios com o bem- estar da sociedade e a preservação do meio ambiente. A tríade Compliance, Governança Corporativa e ESG emergiu como um conjunto de princípios e diretrizes que transcendem as fronteiras dos setores econômicos e geopolíticos, estabelecendo-se como pilares fundamentais para as empresas que desejam prosperar em um mundo em constante mudança. A integridade, transparência e responsabilidade são valores essenciais que permeiam a essência dessas disciplinas e sustentam a confiança dos stakeholders, sejam eles investidores, colaboradores, clientes ou a sociedade como um todo. Neste e-book, convidamos você a explorar as diferentes dimensões e facetas desses temas cruciais. Ao longo das páginas que se seguem, você encontrará insights valiosos e orientações para implementar essas práticas em sua própria organização. Nosso objetivo é fornecer uma base sólida de conhecimento para que você possa compreender o contexto atual e, assim, contribuir para um futuro mais justo, resiliente e sustentável. A jornada rumo à sustentabilidade corporativa não é uma tarefa fácil, mas é uma jornada que deve ser abraçada com determinação e comprometimento. Juntos, podemos moldar um mundo de negócios mais ético e responsável, onde o sucesso econômico ande de mãos dadas com o bem-estar das pessoas e a proteção do nosso planeta. Com este projeto pronto, é necessário o agradecimento à Escola Superior da Advocacia, que fazemos na pessoa do Dr. Alexandre Petry, Diretor de E-books e da Revista Eletrônica da ESA/RS. A CECOM (Comissão de Compliance da OAB/RS) agradece a paciência e generosidade do Dr. Alexandre. Sua orientação e apoio foram fundamentais para a concretização deste projeto, permitindo-nos alcançar um nível de excelência que não seria possível sem sua participação e visão inspiradora. Suas contribuições enriqueceram cada página deste e-book, e somos imensamente gratos por tê-lo como parceiro nessa jornada. Que sua dedicação ao trabalho de Ordem e expertise na área acadêmica continuem a impulsionar o trabalho da Escola Superior da Advocacia. Seu comprometimento é uma fonte de inspiração para todos nós, e estamos honrados por termos aprendido com alguém tão respeitado e admirado em sua área de atuação. Também não podemos deixar de expressar nossa profunda gratidão ao Presidente da OAB/RS, Dr. Leonardo Lamachia, que tem liderado a OAB com maestria e dedicação incomparáveis. Seu apoio incondicional aos projetos da CECOM foi fundamental para o sucesso deste e-book. Seu compromisso com a excelência profissional tem sido uma 10 inspiração para todos nós. Agradecemos sinceramente pela confiança e pelo contínuo suporte, e estamos honrados por trabalhar em colaboração com uma liderança tão exemplar. Sua dedicação ao avançoda advocacia e ao fortalecimento da instituição é verdadeiramente notável. Gostaríamos, ainda, de expressar nossa profunda gratidão aos autores que generosamente contribuíram com seus textos para este e-book. Em especial, queremos agradecer aos autores que fazem parte da Comissão Especial de Compliance, cujo conhecimento e experiência foram essenciais para enriquecer as páginas deste trabalho. Suas contribuições substanciais e perspicazes permitiram que explorássemos diversos aspectos do compliance de forma abrangente e atualizada. Estamos imensamente gratos pela dedicação e pela qualidade dos textos que compartilharam conosco. Sua participação é um reflexo do comprometimento da Comissão Especial de Compliance em promover boas práticas e disseminar conhecimento na área. Muito obrigada a todos os autores pelo valioso e significativo trabalho que realizaram. Por fim, mas não menos importante, gostaríamos de estender nossos sinceros agradecimentos a você, cara leitora/caro leitor. Sem sua curiosidade, interesse e dedicação em explorar este e-book sobre Compliance, Governança Corporativa e ESG, nosso esforço em compartilhar conhecimento e promover práticas responsáveis no mundo dos negócios não teria sentido. Esperamos que este conteúdo seja enriquecedor e inspirador para você, assim como foi para nós ao criar este material. À medida que seguimos adiante nesta jornada rumo à sustentabilidade corporativa, contamos com você para levar esses princípios e diretrizes para suas organizações, compartilhar com seus colegas e colaborar para um futuro mais ético e consciente. Juntos, podemos moldar uma realidade empresarial que contribua para o bem-estar de todos e a preservação de nosso planeta. Agradecemos por nos acompanhar nesta trajetória e esperamos que este e-book possa ser um guia valioso para suas iniciativas e práticas. Que nossos esforços conjuntos tragam impactos positivos e duradouros para a sociedade e o meio ambiente. Boa leitura e muito obrigada. Roberta Schaun Presidente da Comissão de Compliance da OAB/RS 11 GESTÃO DA CADEIA STAKEHOLDER E OS CRITÉRIOS DA TERCEIRIZAÇÃO: DUE DILIGENCE QUANTO A PRÁTICAS SUSTENTÁVEIS ENTRE EMPRESAS Amanda Israel Fraga2 Juliana Müller Brezolin3 Resumo: A terceirização da atividade fim é prática permitida pela legislação trabalhista, desde que observados os direitos do trabalhador. O uso de terceirização na cadeia de fornecimento e na gestão de stakeholders é polêmica, pela ausência de fiscalização. Crises de imagem relacionadas à cadeia de suprimentos são corriqueiras e devem ser suprimidas através de procedimentos de avaliação dos riscos de contratação e de monitoramento dos fornecedores para cumprimento de normas ambientais e trabalhistas, visando a negócios mais sustentáveis e responsáveis ambiental e socialmente. O procedimento de due diligence é forte aliado para análise de fornecedores e o monitoramento constante do cumprimento de critérios ESG se faz necessário às empresas. Palavras-chave: Terceirização. ESG. Cadeia de fornecimento. Stakeholder. Due Diligence. INTRODUÇÃO As alterações legislativas de 2017 permitiram a terceirização da prestação de serviços nas empresas, inclusive das suas atividades fim. Essa possibilidade legislativa não desonerou as partes do cumprimento das legislações trabalhistas, nem de outras regras previstas no ordenamento jurídico. A aceleração produtiva e a terceirização, abriram espaço para crises de imagem na cadeia produtiva, que impacta diretamente em todos os negócios e repercute negativamente no tomador de serviços. O empoderamento dos consumidores, especialmente pela possibilidade de se expressarem através de mídias sociais, permite que sejam mais exigentes com as marcas que os cercam, esperando não apenas melhores produtos ou serviços, mas também expectativa acerca de um comportamento ético, atitudes ambientais sustentáveis e socialmente impactantes. 2 Advogada inscrita na OAB/RS sob o nº 98.818. Especialista em Direito Civil e Processual Civil. MBA em Auditoria e Compliance. Graduada em Direito. Membro das Comissões Especiais de Privacidade e Proteção de Dados e de Compliance OAB/RS. E-mail: amandaif92@gmail.com. 3 Advogada inscrita na OAB/RS sob o nº 98.714. Especialista em Direito e Processo do Trabalho. Graduada em Direito. E-mail: juliana-brezolin@hotmail.com. mailto:amandaif92@gmail.com mailto:juliana-brezolin@hotmail.com 12 Com isso, os critérios ESG ganham espaço, e procedimentos como a due diligence se tornam protagonistas para avaliação da cadeia de suprimentos, com desenvolvimento e avaliação de questões ambientais e sociais, que impactam em toda a sociedade. Inciativas como a Agenda 2030 da ONU e os Objetivos de Desenvolvimento Sustentável, assim como a criação de normas internacionais para avaliação destes indicadores se tornam cada dia mais comuns e necessários ao mercado. 2 LEI DA TERCEIRIZAÇÃO E SUAS CARACTERÍSTICAS As relevantes alterações legislativas publicadas em 2017 acarretaram o elastecimento da licitude dos contratos de prestação de serviços entre empresas, as chamadas terceirizações, levando à abrangência da “atividade fim” nas hipóteses do texto legal. Com o advento das Leis 13.429/2017 (terceirização) e 13.467/2017 (alterações da CLT/reforma trabalhista) restou fixada a possibilidade da terceirização de qualquer atividade, incluindo a atividade fim da empresa contratante. Apesar das eventuais controvérsias das alterações legislativas da época, a constitucionalidade do referido texto legal restou declarada pelo julgamento da ADPF nº 324 pelo STF. Enfatiza-se, ainda, que a Lei 6.019/1974 manteve a redação do artigo 13 quanto às ocorrências dos artigos 482 e 483 da CLT que configuram justa causa para rescisão do contrato do trabalhador. Ou seja, é defeso a submissão do trabalhador às seguintes circunstâncias (artigo 483 da CLT): a) forem exigidos serviços superiores às suas forças, defesos por lei, contrários aos bons costumes, ou alheios ao contrato; b) for tratado pelo empregador ou por seus superiores hierárquicos com rigor excessivo; c) correr perigo manifesto de mal considerável; d) não cumprir o empregador as obrigações do contrato; e) praticar o empregador ou seus prepostos, contra ele ou pessoas de sua família, ato lesivo da honra e boa fama; f) o empregador ou seus prepostos ofenderem-no fisicamente, salvo em caso de legítima defesa, própria ou de outrem; g) o empregador reduzir o seu trabalho, sendo este por peça ou tarefa, de forma a afetar sensivelmente a importância dos salários. Superada a admissibilidade pela legislação atual quanto à terceirização da atividade fim, ou seja, vinculada ao objeto social daquela pessoa jurídica contratante, quanto aos princípios base daquela com relação à contratada, é necessário, ainda, que estejam alinhadas quantos aos preceitos de atuação? 13 Sim, toda a empresa deve possuir um mapeamento de riscos vinculado a um alinhamento de condutas e disciplinas vinculadas ao segmento de atuação para projeção de objetivos e resultados: O mapeamento dos riscos é caminho crítico para a criação de um programa de compliance ou integridade efetivo, bem como para sua implantação, seu desenvolvimento e sua manutenção. Em geral, as empresas e as organizações têm objetivos a serem alcançados e, naturalmente, vão encontrar obstáculos para atingi-los. (NEVES, 2018, p. 31-32). Ou seja, ainda que a legislação admita a terceirização, inclusive, da atividade fim da empresa contratante, essa não pode adotar conduta negligente ou omissa com relação à empresa “terceira” contratada, se faz necessária postura diligente da contratante para ter certeza quanto à atuação da contratada de forma convergente aos princípios e valores da empresa (NEVES,2018, p. 47). 3 DAS CONSIDERAÇÕES SOBRE CONTRATAÇÃO DE FORMA TERCERIZADA Com legislação específica implementando os critérios e possibilidades dos contratos por terceirização entre empresas, a efetivação pode ser benéfica na organização do processo produtivo, a empresa contratante opta por terceirizar determinadas atividades secundárias como: limpeza, segurança, transporte e alimentação, para focar na execução do seu objeto social (atividade-fim) (MARTINEZ, 2020, p. 466). Da mesma forma, mensurado o impacto gerencial na efetivação da terceirização da atividade fim, ou seja, do objeto para o qual a pessoa jurídica se propõe, atividades vinculadas à sua prestação principal também podem ser ramificados para empresas especializadas (MARTINEZ, 2020, p. 471). Para Corrêa e Caon a percepção do cliente quanto ao que lhe for entregue na relação de consumo não se aprofunda às ramificações da cadeia produtiva estruturada pela empresa e, sim, limita-se ao momento que atendido. Assim, enfatizam a necessidade da uniformização de valores entre empresa contratante e terceirizadora de mão de obra: Com a crescente tendência de as empresas focalizarem-se nas atividades que consideram como centrais e terceirizarem atividades poucos centrais, é cada vez mais frequente que atividades até de linha de frente sejam terceirizadas. Um erro frequente é ter padrões de tratamento muito diferenciados para funcionários terceirizados. Não se esqueça: não é problema do cliente se o funcionário que o está atendendo trabalha para a empresa de quem é cliente ou não! Ela vai formar sua percepção de satisfação também levando em conta o momento da verdade em contato com o funcionário terceirizado e, portanto, via gestão direta e via exigência 14 contratual. O funcionário terceirizado deve merecer exatamente o mesmo grau de preocupação, quanto ao recrutamento (atitude mais que habilidades), treinamento (para habilidades), motivação, recompensa e outros aspectos (CORRÊA; CAON, 2012, p. 239). A avaliação da opção pela terceirização deve ter crivo gerencial quanto à criação de valor para a rede, além da mera alteração na apropriação do valor criado. Ou seja, para alguns stakeholders a opção pela terceirização pauta-se na opção por uma renegociação de formas de contratação somente, porém a opção pode ser mais produtiva, focando na busca de melhor performance com empresas especializadas que possuam boas práticas (CORRÊA; CAON, 2012, p. 371). Por outro lado, Child refere que entre os riscos da má administração da terceirização de uma atividade pode ocorrer a perda de controle. Explica que “confiar nas cláusulas de um contrato talvez não seja suficiente para garantir que a atividades terceirizada esteja sob controle para ser realizada satisfatoriamente” (CHILD, 2012, p. 279). A manutenção de um gerenciamento interno com o fornecedor é necessária, pois terceirizar uma atividade não se constitui no ato de abdicar da administração sobre ela, principalmente quanto tal atividade é elemento central na cadeira de valor de um serviço (CHILD, 2012, p. 279). 4 CRISES DE IMAGEM E SEU IMPACTO PARA O NEGÓCIO Dentre os significados da palavra “reputação” se encontram o conceito obtido por uma pessoa a partir do público ou da sociedade em que vive e a característica de possuir prestígio e renome. Ao se avaliar “pessoa”, tem-se que também se enquadra aos organismos jurídicos, constituídos com uma razão social e que se denominam empresas. A construção da reputação empresarial é tarefa que investiga os elementos que promovem uma sociedade desigual, verificando efeitos da opinião pública. Visa a compreender o quanto as organizações podem ser sensíveis a pressões sociais, especialmente quando incorrem em riscos às operações, com exposição da liderança ao escrutínio público de um grupo social que não tolera práticas que ferem a sociedade (SENADOR; JOSGRILBERG, 2021, p. 253). As mais recentes crises reputacionais vivenciadas por grandes marcas estão relacionadas ao seu descomprometimento com questões sociais e ambientais e que, quando 15 acontecem quebram a confiança depositada pelo consumidor naquela empresa, que se identifica com as causas, consume mais responsavelmente, pensando na sustentabilidade da cadeia produtiva e da vida útil daquele produto. Ao nos expressarmos, mostramos as coisas que gostamos, nossa forma de pensar, o que desejamos e projetamos ao mundo nossa imagem. As dimensões da imagem de uma empresa, não são distintas e demonstram como ela se percebe e se projeta ao mercado (SENADOR; JOSGRILBERG, 2021, p. 256). O consumidor não quer mais se aliar a organizações que não reflitam a sua imagem. A criação da imagem é uma ponte que interliga a relação com os outros. Numa cadeia produtiva, todos os envolvidos projetam um pouco de si na concepção daquele produto que chega à prateleira para ser adquirida pelo consumidor final. Nessa trajetória podem existir empresas que participam e que não estão alinhadas àquilo que a organização principal deseja transmitir ao mercado. Isso fica evidente quando avaliamos as grandes crises de imagem de empresas que foram denunciadas por utilização de trabalho análogo ao escravo e que se enquadram em diversos segmentos como vestuário e até mesmo vinícolas. Nenhuma delas se utilizava diretamente desta mão de obra indecente, e todas alegaram o desconhecimento de sua utilização, mas se aliaram a terceirização para redução de custos, sem avaliar a forma como essas terceirizadas se comportavam. A reputação é formada por um conjunto de atitudes desenvolvidas ao longo do tempo e demonstra como somos reconhecidos. As organizações são observadas diariamente e produzem efeitos sobre sua própria imagem, conforme seu comportamento e suas ações. O somatório desses incidentes – positivos ou negativos – ensejará determinada reputação. A coerência e a transparência ao longo do tempo, atitudes e expressões consolidam a estima (SENADOR; JOSGRILBERG, 2021, p. 256). Isso fica muito claro quando avaliamos as mais recentes crises de imagem nos diversos segmentos, pelo uso de mão de obra análoga à escravidão. As crises de imagem afetaram diretamente as terceirizadoras, com boicotes pelos consumidores, mas não especificamente as terceirizadas, pois essas não dependem da reputação para continuidade das suas atividades, diferentemente de marcas que buscam conquistar cada vez mais consumidores e que, os perdem pelo deslize de não conhecer e acompanhar sua cadeia de fornecimento. A gestão de stakeholders na cadeia produtiva é tema que surge com grandes expectativas, especialmente pela avaliação de critérios ESG nas organizações e pelo mercado e que tem por objetivo justamente identificar desvios de conduta de todos os 16 envolvidos no desenvolvimento do produto, desde a extração da matéria prima, até o momento que chega à casa do consumidor final. Com as grandes crises vivenciadas mundialmente todos os funcionários das empresas são cobrados a cada dia para entregar produtos não apenas de melhor qualidade, mas também por seguir padrões de sustentabilidade. De forma coerente, marcas sustentáveis e de reputação admirável passam a emanar prestígio a uma grande rede de interlocutores, atingindo não só o consumidor (GAULIA, 2019, p. 189). 5 MONITORAMENTO DA CADEIA DE FORNECIMENTO E O PROCEDIMENTO DE DUE DILIGENCE A incorporação de métricas ESG nas metas corporativas impacta nos bônus executivos, e reforçam a importância do tema, deixando cristalino que a tomada de decisões vai além dos interesses de gerar resultadas financeiros, mas reflete em um diferencial competitivo relevante não apenas para a sustentabilidade dos negócios, mas para a sociedade como um todo e contribuindo com o capitalismo consciente e sustentável (MALARA, 2021, p. 385). Na cadeia de fornecimento, grandes empresas já desenvolvemprogramas que avaliam seus fornecedores, observando padrões de integridade, cuidados com o meio ambiente e responsabilidade social, com medidas adequadas de controle desta linha que adentra o negócio. Análises reputacionais dos fornecedores, adesão de boas práticas de transparência e responsabilidade socioambiental, disposições contratuais e certificações periódicas são alguns dos exemplos de monitoramento da cadeia produtiva na realidade atual (MALARA, 2021, p. 386). Partindo da consciência ASG ou ESG (sigla em inglês), a capacidade de uma empresa gerar impactos ambientais e sociais positivos, ocasiona uma vantagem competitiva dessa com relação às demais. Para elucidar os pontos de mapeamento de riscos com relação a ESG, podemos citar: Ambiental: Riscos de mudança climática, fornecimento de água e matéria-prima, poluição e gerenciamento de resíduos, energia renovável; Social: Saúde e segurança do trabalho, segurança do produto, rede de fornecedores e parceiros, iniciativas de impacto social; Governança: Metodologia de remuneração dos executivos, direitos dos acionistas e ética empresarial, diversidade da força de trabalho, transparência nos relatórios da empresa (NETO, 2022, p. 20). 17 Ou seja, com o fortalecimento da observância dos critérios ESG para valoração de empresas, o desalinhamento na atuação ética e responsável, inclusive de empresas terceirizadas, pode acarretar consideráveis prejuízos à empresa contratante, visto que a repercussão de mídias sociais e das autuações dos órgãos fiscalizadores recaem sobre o tomador de serviços e não do prestador, que normalmente é pequena ou média empresa (MALARA, 2021, p. 387). A avaliação de métricas que identifiquem o comprometimento da cadeia produtiva com questões socioambientais e de governança são tópicos que têm ganhado espaço no cenário mundial e passam a ser requisitos para firmar negócios e devem observar a dimensão dos três eixos. No eixo ambiental, avaliar os fornecedores em seu comprometimento com a extração da matéria prima, uso de recursos naturais e forma de realização de descarte de resíduos são algumas das medidas a serem adotadas, assim como, em alguns casos, a compensação de emissões de carbono. Consultas públicas acerca de processos judiciais que envolvam violações ambientais, ou até mesmo sobre autuações do IMABA, de empresas embargadas4. Já no pilar social, cada empresa deve avaliar as pautas que fazem sentido para seus objetivos e metas a serem alcançados. Incentivos a redução das desigualdades de gênero e oportunidades para populações carentes, negras, LGBTQIA+ e de pessoas com deficiência, benefícios ofertados aos colaboradores, impactos na comunidade inserida e principalmente o cumprimento mínimo da legislação trabalhista, são algumas das questões a serem avaliadas. A governança corporativa, por sua vez, é o pilar transversal aos demais e que apoia o desenvolvimento de toda a estrutura socioambiental organizacional. Avaliação sobre transparência, existência de código de conduta ética, políticas anticorrupção e de integridade, gestão de riscos, controles internos, suporte da alta administração à responsabilidade corporativa e à equidade entre todos os stakeholders. É importante destacar que, não existe um modelo padrão de governança corporativa, mas é certo que, quanto maior for a instituição, mais complexa será sua estrutura e, igualmente complexa sua governança (PORTO, 2020, p. 99). Não menos importante, o comprometimento das empresas em apoiar a Agenda 2030 da ONU e implementar os Objetivos de Desenvolvimento Sustentável (ODS) no dia a dia de 4 Consulta pública disponível em: <https://servicos.ibama.gov.br/ctf/publico/areasembargadas/ConsultaPublicaAreasEmbargadas.php> 18 trabalho, são formas de avaliar e monitorar o engajamento da cadeia de fornecimento com critérios relacionados à sustentabilidade corporativa. Para tanto, o desenvolvimento de procedimentos de due diligence, ou seja, de avaliação criteriosa dos fornecedores é prática que tem sido utilizada por diversas empresas e pode demonstrar os riscos de contratação de terceirizados. Na tradução literal, o termo “due diligence” pode ser entendido como Diligência Prévia. Sua origem remonta ao Decreto Americano “US Securities Act”, de 1933, que permitiu aos intermediários de negociações a avaliação prévia de informações e documentos dos comerciantes, para repasse de esclarecimentos aos investidores (VAZ; MORENO, 2021, p. 632). Nesse procedimento são analisadas questões jurídicas, financeiras, contábeis, previdenciárias e tecnológicas da empresa, com a possibilidade de critérios específicos, conforme a necessidade e objetivo do contratante. Esse procedimento dá segurança ao tomador de serviços, com avaliação dos riscos da contratação e a criação de eventual plano de ação para mitigação destes. No entanto, é importante destacar que não basta a diligência prévia. Essa avaliação da cadeia de fornecimento deve ser realizada de forma periódica, a fim de garantir que as condições avaliadas na contratação seguem sendo cumpridas e melhoradas. Alinhado a este propósito, a Alemanha aprovou, em julho de 2021, a Lei de Diligência nas Cadeias de Fornecimento. Tal legislação vigorará a partir de janeiro de 2023 e impõe obrigação de procedimentos de due diligence visando a prevenir violações de direitos humanos das cadeias de fornecimento, corrigir práticas inadequadas e, inclusive, dar fim a práticas ilegais com a ruptura de relações negociais com empresas que descumpram exigências mínimas. A lei alemã dispõe sobre a necessidade de Compliance com enfoque para coibir práticas como trabalho infantil e análogo ao escravo, desrespeito à liberdade de associação, discriminações ou tratamentos desiguais baseados em raça, gênero, nacionalidade, idade, origem racial ou crenças religiosas, bem como prejuízos causados por poluição ambiental e violações de obrigações ambientais (SASSON; EMMERRICH, 2022). Ademais, a recente norma publicada pela ABNT, a PR 2030, traz conceitos, diretrizes e modelo de avalição para direcionamento das organizações em relação aos tópicos de ESG, e em sua extensa redação cita, por diversas vezes a relação com os fornecedores, a necessidade de fomentar a sustentabilidade na cadeia de suprimentos, a observância a outras normas regulatórias e a realização de procedimentos de due diligence como sugestões de 19 práticas que direcionam uma empresa para desenvolvimento destes critérios e a garantia de uma organização economicamente, socialmente e ambientalmente sustentável e responsável. O normativo trouxe exemplos de práticas para o relacionamento saudável com os fornecedores em toda a cadeia de suprimento, recompensando e incentivando fornecedores que trabalhem na prevenção, mitigação e remediação de impactos negativos. A norma deixa muito clara a necessidade de realização de análise de riscos dos fornecedores e outras partes da cadeia de suprimento, utilizando os critérios ESG, potencializando impactos positivos e mitigando aqueles negativos (ABNT, PR 2030, p. 102). Como exemplos de práticas, a PR 2030 recomenda a seleção de fornecedores utilizando critérios ESG como a observância de regras trabalhistas e demais legislações vigentes; selecionar, sempre que possível, empresas que realizem mensuração de seu impacto e sejam transparentes; incentivar o desenvolvimento técnico e gerencial de fornecedores locais para geração de valor nas comunidades das redondezas; implantar mecanismos de avaliação dos fornecedores; criar canal de comunicação específico para receber informações dos fornecedores; priorizar fornecedores que tenham práticas socialmente responsáveis; e incentivá-los a adotar compromissos públicos com o desenvolvimento sustentável, como a adesão ao Pacto Global (ABNT, PR 2030,p. 103). Para além das práticas prévias de contratação, é de suma importância monitorar constantemente a cadeia de fornecimento, realizando diligências para identificar se a empresa mantém as atividades sustentáveis e socialmente responsáveis. Observar e fomentar um canal de relatos de desvios de conduta também é fundamental, com investigações corporativas idôneas sobre eventuais denúncias, com punições não apenas aos colaboradores, mas também a terceiros envolvidos em atos que não sejam reflexos de ações sustentáveis. CONCLUSÃO Com o advento da legislação específica quanto a admissibilidade da terceirização de mão de obra, com a liberalidade de terceirizar até mesmo a atividade fim da empresa contratante, ou seja, mesmo que regulada a possibilidade da adoção da prática de terceirização, ainda assim, não é admissível a abdicação da administração daquele processo fornecedor. O alinhamento entre boas práticas da contratante deve se estender na busca dos seus parceiros comerciais. Ainda que as atividades vinculadas ao contrato de terceirização, 20 por vezes, podem ser exercidas em localidades diversas às dependências da contratante, o gerenciamento de riscos prévio, ou seja, avaliação de boas práticas e índices da empresa contratada é de extrema importância para proteção da empresa contratada. A globalização permitiu uma abertura exponencial das possibilidades de negócios, possibilitando, por exemplo, o remanejo de partes de um setor produtivo para fornecedores em outros países. Ainda assim, necessária a cautela da contratante na pactuação de contratos de terceirização, sopesando boas práticas, índices de performance e qualificação. As recentes crises de imagem, envolvendo diversos segmentos, especialmente quanto ao uso de mão de obra análoga à escravidão e o desconhecimento das empresas terceirizadoras sobre sua ocorrência, demonstra a ausência de gestão da cadeia de fornecimento por parte dessas empresas, o que não é mais admissível na atualidade. A falta de monitoramento da cadeia produtiva acarreta em perdas irreparáveis, visto que, as crises reputacionais afetam diretamente o negócio tomador do serviço terceirizado, com perda de clientela, que não quer mais se aliar a marcas que não representem seus ideias e crenças, acarretando boicotes e protestos contra essas empresas. Nesse sentido, nota-se a importância de avaliação da cadeia de suprimentos e da gestão adequada dos stakeholders, com adoção de práticas sustentáveis e socialmente responsáveis para evitar exposições negativas. O monitoramento constante da cadeia de fornecimento gera resultados de médio e longo prazo, garantindo, ou pelo menos, remediando impactos significativos aliados à reputação das empresas, que devem, a cada dia, observar práticas mais responsáveis e sustentáveis. REFERÊNCIAS ABNT. PR 2030. Prática Recomendada Ambiental, Social e Governança (ESG) – Conceitos, Diretrizes e Modelo de Avaliação e Direcionamento para organizações, 2022. BRASIL. Lei da Terceirização. 13.467/2017. Disponível em: <http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2017/lei/l13467.htm>. BRASIL. Lei sobre Trabalho Temporário. Lei 13.429/2017. Disponível em: <https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2017/lei/l13429.htm>. CHILD, John. Organização: Princípios e Prática Contemporâneas. 1ª edição. Editora Saraiva, 2012. E-book. ISBN 9788502142862. Disponível em: <https://app.minhabiblioteca.com.br/#/books/9788502142862/>. Acesso em: 26 fev. 2023. https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2017/lei/l13429.htm 21 CORRÊA, Henrique L.; CAON, Mauro. Gestão de serviços: lucratividade por meio de operações e de satisfação dos clientes. [São Paulo/SP]: Grupo GEN, 2012. E-book. ISBN 9788522479214. Disponível em: <https://app.minhabiblioteca.com.br/#/books/9788522479214/>. Acesso em: 26 fev. 2023. DOS NETO, João A.; ANJOS, Lucas Cardoso; JUKEMURA, Pedro K.; et al. ESG Investing: um novo paradigma de investimentos? Editora Blucher, 2022. E-book. ISBN 9786555065619. Disponível em: <https://app.minhabiblioteca.com.br/#/books/9786555065619/>. GAULIA, Luiz Antonio. Relações públicas, comunicação empresarial, marca e reputação. In: ASHLEY, Patricia Almeida (Org.). Ética, Responsabilidade Social e Sustentabilidade nos negócios – (des)construindo limites e possibilidades. São Paulo: Saraiva Educação, 2019. MALARA, Tamara Ginciene. ESG e o monitoramento desses valores na cadeia de fornecimento. In: NASCIMENTO, Juliana Oliveira (coord.). ESG O Cisne Verde e o Capitalismo de Stakeholder. A Tríade Regenerativa do Futuro Global. São Paulo: Thomson Reuters, 2021. MARTINEZ, Luciano. Curso de Direito do Trabalho. 11ª edição. São Paulo: Saraiva Educação, 2020. NEVES, Edmo C. Compliance Empresarial - o tom da liderança, 1ª edição. Editora Trevisan, 2018. E-book. ISBN 9788595450332. Disponível em: <https://app.minhabiblioteca.com.br/#/books/9788595450332/>. PORTO, Éderson Garin. Compliance & Governança Corporativa. Uma abordagem prática e objetiva. Lawboratory, Porto Alegre, 2020. SASSON, Jean Marc. EMMERICH, David. Gestão da cadeia de fornecimento, o calcanhar de Aquiles de toda agenda ESG. JOTA. Disponível em: <https://www.jota.info/opiniao-e-analise/colunas/regulacao-e-novas-tecnologias/gestao-da- cadeia-de-fornecimento-o-calcanhar-de-aquiles-de-toda-agenda-esg-29102022?amp>. SENADOR, André. JOSGRILBERG, Fábio B. ESG, Reputação e “a razão da simpatia, do poder, do algo mais e da alegria. In: NASCIMENTO, Juliana Oliveira (coord.). ESG O Cisne Verde e o Capitalismo de Stakeholder. A Tríade Regenerativa do Futuro Global. São Paulo: Thomson Reuters, 2021. VAZ, Larissa S. Mocelin; MORENO, Laura Carréa de. ESG: Panorama da Due Diligence e M&A. In: NASCIMENTO, Juliana Oliveira (coord.). ESG O Cisne Verde e o Capitalismo de Stakeholder. A Tríade Regenerativa do Futuro Global. São Paulo: Thomson Reuters, 2021. https://app.minhabiblioteca.com.br/#/books/9788595450332/ 22 O RIPD E GOVERNANÇA E REGULAÇÃO DA PROTEÇÃO DE DADOS PESSOAIS Ariel Augusto Lira de Moura1 Bernardo Leandro Carvalho Costa2 Leonel Severo Rocha3 Resumo: O presente artigo objetiva analisar o Relatório de Impacto a Proteção de Dados na cultura das redes a partir do questionamento sobre que de pontos pode-se observar de modo a conectá-lo à um contexto maior de transformações da sociedade contemporânea. A metodologia utilizada é a pragmático-sistêmica de Leonel Severo Rocha, unida a técnica de pesquisa bibliográfica. De início, disserta-se sobre os modos de governança e regulação da proteção de dados pessoais diante da cultura das redes. Após, observa-se o Relatório de Impacto à Proteção de Dados Pessoais a partir de sua inspiração regulatória europeia. Conclui-se, preliminarmente, que esse instrumento é, em realidade, parte do processo de reestruturação dos modos de regulação e governança das e nas organizações e que o foco em sua obrigatoriedade não revela sua potencialidade para o re-desenho das organizações e a efetivação do direito fundamental a proteção de dados. Palavras-chave: Governança. Regulação. Proteção de Dados Pessoais. Cultura das Redes. Relatório de Impacto a Proteção de Dados (RIPD). 1 INTRODUÇÃO A proteção de dados pessoais é um dos temas centrais para se pensar as novas configurações da sociedade contemporânea. No Brasil, isso se reforça pela entrada em vigor da Lei Geral de Proteção de Dados Pessoais, que se insere no contexto de uma nova geração de investidas regulatórias ao redor do globo e passa a reorganizar o contexto dos processos jurídicos, políticos, econômicos diante da crescente digitalização e aplicação de novas tecnologias. Como um tema “prático” atual no contexto brasileiro, têm-se a necessidade de “adequação” à essa nova lei em conjunto com todo o arcabouço regulatório em constante mutação.O Relatório de Impacto a Proteção de Dados Pessoais, nesse sentido, apresenta-se como um instrumento-chave. Diante disso, questiona-se sobre a partir de que pontos pode- 1 Advogado (OAB/SP nº 480.161). Data Protection Officer e Information Security Officer (EXIN). Mestrando em Direito Público e Graduando em Filosofia pela UNISINOS, bolsista PROEX/CAPES, membro do Grupo de Pesquisa Teoria do Direito (CNPq). E-mail: ariel.moura@digitalattractor.com.br. 2 Advogado (OAB/RS nº 108.164). Delegado da ESA (Escola Superior da Advocacia) da OAB/RS. Doutorando em Direito Público (UNISINOS e Paris 1 Panthéon-Sorbonne), bolsista PROEX e PDSE CAPES, membro do Grupo de Pesquisa Teoria do Direito (CNPq). E-mail: bernardo@digitalattractor.com.br. 3 Professor titular UNISINOS e URI. Doutor pela École des Hautes études en Sciences Sociales. Bolsista de Produtividade em Pesquisa do CNPq – Nível 1D. Coordenador do Grupo de Pesquisa Teoria do Direito (CNPq). Lattes: http://lattes.cnpq.br/3283434447576859. E-mail: leonel@unisinos.br. 23 se observar o relatório de impacto de modo a conectá-lo à um contexto maior de reestruturação da sociedade na cultura das redes. Objetiva-se, dessa forma, analisar o Relatório de Impacto a Proteção de Dados na cultura das redes. A metodologia utilizada é a pragmático-sistêmica de Leonel Severo Rocha, unida a técnica de pesquisa bibliográfica. (ROCHA, 2013). De início, disserta-se sobre os modos de governança e regulação da proteção de dados pessoais diante da cultura das redes. Após, observa-se o Relatório de Impacto à Proteção de Dados Pessoais a partir de sua inspiração regulatória europeia. Conclui-se, preliminarmente, que esse instrumento é, em realidade, parte do processo de reestruturação dos modos de regulação e governança das e nas organizações e que o foco em sua obrigatoriedade é apenas o início de desenvolvimento de uma cultura de proteção de dados pessoais. 2 NOTAS SOBRE REGULAÇÃO E GOVERNANÇA DA PROTEÇÃO DE DADOS PESSOAIS De início, ressalta-se que a potencialidade da União Europeia ser o grande modelo de regulação da proteção de dados. Para a Lei Geral de Proteção de Dados (LGPD) brasileira, a justificativa se reforça dada a clara inspiração no modelo europeu do RGPD (Regulamento Geral de Proteção de Dados). (UNIÃO EUROPEIA, 2016) (BRASIL, 2018). Adiciona-se a isso as décadas (histórico) de desenvolvimento teórico e prático, que permitiu a consolidação de inúmeros mecanismos de proteção de dados, e, ainda, pelo fato de o bloco ser um excelente objeto de estudo para a regulação e governança em rede, já que se caracteriza por uma simbiose de dimensões – “semi-hierarquia” jurídica (regional e nacional); “triangulação” política entre Conselho, Comissão e Parlamento; e infraestrutura administrativa “hybrida” de estruturas de governança. (KJAER, 2019). Ainda a título de introdução, têm-se que, no Brasil, a proteção de dados fora reconhecida como um direito fundamental (autônomo), com enfoque de fundamento na autodeterminação informacional, seguindo o exemplo alemão-europeu, pelo Supremo Tribunal Federal no “caso IBGE”, sendo positivada, posteriormente, por meio da Emenda Constitucional 115. (BRASIL, 2020; 2022a). A revelia da tradição norte-americana, na Europa, desde a Carta de Direitos Fundamentais (artigo 8º), consolidou-se o entendimento sobre a independência do direito à 24 proteção de dados em relação à privacidade (como uma “liberdade positiva”, e não “negativa”). (UNIÃO EUROPEIA, 2000). A “autodeterminação informacional”, nessa perspectiva, deve ser entendida como um direito procedimental de “controle” das pessoas sobre o fluxo de seus dados no meio em que eles circundam, já que eles (os dados) figuram, hoje, como o elemento primordial de “tradução” (construção) da subjetividade (“personalidade”) nos meios digitais. (VESTING, 2018a). (NISSENBAUM, 2010). Para além da reestruturação da sociedade-de-organizações e dos meios de comunicação eletrônicos (de massa) – que reorganizaram a sociedade liberal à grupos- plurais e passaram a introduzir a especialidade técnica dos conhecimentos – a internet (e suas redes), possibilitada pelo computador (e as “novas tecnologias”), passa a figurar cada vez mais como o Outro com o qual o indivíduo se relaciona. (VESTING, 2016b). Por essa razão, deve-se observar a estruturação de novos modos de governança e regulação da proteção de dados pessoais. No RGPD, a dimensão autorregulatória da proteção de dados por meio das organizações privadas, como medidas de compliance, seguem o princípio da accountability, previsto no seu artigo 5(2). Esse princípio, lido em conformidade com o artigo 32 (segurança do tratamento de dados), consubstancia diversos outros mecanismos (cor)regulatórios, como os códigos de conduta (artigo 40), os mecanismos de certificação do nível de proteção de dados pessoais (artigo 42-43) e, tema principal, aqui, o relatório de impacto a proteção de dados (artigo 35), entendido como uma medida prévia para tratamentos de alto risco a lesão aos direitos dos titulares. (UNIÃO EUROPEIA, 2016). Fala-se, nesse sentido, em um modelo de autorregulação regulada, na qual a autorregulação das organizações segue parâmetros procedimentais estabelecidos na regulação estatal. A regulação da proteção de dados segue, nesse sentido, uma forma de direito “proceduralizado”, no qual “[...] procedimentos sejam criados para compreender a incerteza e gerar conhecimento sobre a persecução de certos objetivos e interesses públicos estabelecidos”. (ABBOUD; CAMPOS, 2018, p. 35). O principal direcionamento deste modo de regulação é encontrar parâmetros para “[...] regras de monitoramento e de avaliação de resultados mais específicas, de estímulo de geração e de mantimento de conhecimento novo [...]”. (LADEUR, 2016, p. 161). É que na base das problemáticas que envolvem a governança e regulação da proteção de dados 25 pessoais está na ausência de um conhecimento comum (compartilhado) e na incapacidade de se centralizar as respostas em apenas um “ponto”. (VESTING, 2016a). Após a constatação da “morte do conhecimento comum”, diante dos pressupostos técnicos e cognitivos da cultura das redes, e a correlata dependência para com conhecimentos especializados, pode-se apontar, como direcionamento de resposta, justamente a busca pela (re)construção (constante) de sentidos comuns. Isto pode-se realizar via experimentações de novas formas de regulação, orientadas pelos diretos fundamentais, e projetadas conjuntamente com a (re) organização dos modos de governança (em rede). Nessa perspectiva, explica-se que: O campo das novas tecnologias complexas [...] se baseia em um tipo de conhecimento que se distanciou do conhecimento geral acessível à experiência, [e] coloca, nesse sentido, limites à capacidade de autocorreção espontânea de decisões erradas. Isso justifica, especialmente, a criação de deveres procedimentais e deveres de prestar informações que, por sua vez, devem ser simultaneamente ancorados na atuação da auto-organização do sistema técnico. (LADEUR, 2016, p. 160) Isso quer dizer que o direito na cultura das redes, diante das novas tecnologias e dos correspondentes novos modos de organização das práticas sociais, não pode garantir a eficácia do direito à proteção de dados pessoais, assim como não o pode o Estado, de modo isolado. O princípio da accountability orienta, neste sentido, não só uma série de mecanismos regulatórios, como acima descritos, como também representa um ponto de observação sobre o modo de “governar” a proteção de dados pessoais. A fiscalização e as pressões exercidas para que as empresas “se adequem” às legislações que tratam de dados pessoais não vem apenas de órgãos estatais com poderes específicos para tal função – como a Agência Nacional de Proteção deDados Pessoais no Brasil ou as “autoridades independentes” na Europa – como também de outras empresas – por exemplo, de diversas organizações que fazem parte de uma cadeia de suprimentos – e pelos próprios titulares de dados. Ademais, destaca-se que a Lei Geral de Proteção de Dados (2018) brasileira têm sua origem em um extenso debate multissetorial (governo, academia, sociedade civil, iniciativa privada) desde a primeira década deste século, assim como o Marco Civil da Internet (2014). Há, nesse sentido, uma transdisciplinaridade que é inerente ao próprio 26 desenvolvimento da governança não só brasileira como global da internet. (ROCHA; MOURA, 2020). Contudo, a promulgação e entrada em vigor da LGPD se encontra em um contexto global de “convergência” de processos (autor)regulatórios jurídicos, políticos e econômicos globais para enfrentamento das novas dinâmicas da sociedade e economia movida à dados, algo que remete sua origem ao processo transnacional de construção de regulamentações sobre o tema impulsionado pela Organização para a Cooperação e Desenvolvimento Econômico (OCDE) desde o século passado com seus recentes “estímulos” ao governo brasileiro com relação à matéria. (MOURA; ROCHA, 2022b). Da complexidade envolvida entre a conexão entre diversos atores envolvidos em um contexto de governança global da proteção de dados e a sua inerente transdisciplinaridade, destaca-se, nessa sequência, a dimensão técnica (e tecnológica) de sua governança e regulação. No direito europeu, pode-se citar o exemplo da Seção 2 do RGPD (“Segurança dos dados pessoais”) e, no direito brasileiro, na Seção I do Capítulo VII da LGPD (Da Segurança e do Sigilo de Dados”). (UNIÃO EUROPEIA, 2016) (BRASIL, 2018). Em ambas as legislações se prescreve ao responsável pelo tratamento de dados pessoais (“controlador”) e ao subcontratante (“operador”) a aplicação de medidas técnicas e organizativas (“administrativas”) para garantir o tratamento inadequado ou ilícito. Na LGPD, essas prescrições estão no capítulo junto às boas práticas e governança e, no RGPD, junto aos procedimentos de notificação da violação às autoridades de controles e da comunicação aos titulares de dados – os dois graus da escala de impacto de incidentes de dados pessoais aos direitos e liberdades dos titulares. (KUNER; BYGRAVE; DOCKSEY, 2020). (BRASIL, 2018). Nessa sequência, têm-se, no artigo 32 do RGPD a expressa menção de que as medidas são destinadas a “assegurar um nível de segurança adequado ao risco”. Há um extenso debate sobre possíveis tensões entre a perspectiva de regulação do risco (e “risquificação”) na proteção de dados pessoais (e suas conexões com a regulação ambiental e das novas tecnologias) e a observação centrada nos direitos fundamentais (da construção alemã-europeia da auto-determinação informativa). (ZANATTA, 2017). (MENKE, 2019). 27 Contudo, neste momento, quer-se ressaltar que a interrelação entre a segurança da informação e a gestão do risco mostram a dimensão técnica da governança e regulação de dados pessoais. Há uma necessária complementariedade entre as observações jurídicas (e dos juristas) com as observações das ciências da tecnologia (e os cientistas) para o necessário aprendizado recíproco e enfrentamento das problemáticas envoltas à sociedade em rede. (GRABER, 2021). Algo que deve ser incorporado à reflexão sobre a proteção de direitos fundamentais – e à própria teoria constitucional. (MOURA; ROCHA, 2022a). (VESTING, 2016b). Neste ponto, encontra-se uma abertura para introdução de inúmeros padrões e frameworks globais que estruturam o contexto técnico-organizacional da proteção de dados pessoais. Na perspectiva aqui desenvolvida, eles representam justamente formas de conhecimentos técnicos, práticos e organizacionais necessários à regulação e governança da proteção de dados pessoais diante dos pressupostos técnicos e cognitivos da cultura das redes. (VESTING, 2018). Isso porque na atual cultura das redes, as “forças” que orientam as transformações sociais também dependem, não só de conhecimentos teóricos, como antes já lecionava Daniel Bell (1976), mas também incluem uma espécie de “[...] conhecimento implícito que é inconscientemente assimilado em contextos práticos e passado horizontalmente entre as pessoas, e.g. programadores”.4 (VESTING, 2022, p. 185, tradução nossa) Com relação à gestão de risco, de um modo geral, para as organizações, e, de um modo específico, para a segurança da informação, têm-se, por exemplo, as normas ISO/IEC 27005:2022 e ISO/IEC 31000:2018, que fazem parte da estruturação de um sistema de gestão de segurança da informação (ISO/IEC 27001:2022), assim como do sistema de gestão da privacidade (ISO/IEC 27701:2019). (ISO, 2022). (KYRIAZOGLOU, 2016). (ITGP, 2020). A ISO/IEC 27701:2019, de gestão da privacidade, por exemplo, é reconhecida não só no âmbito europeu, como também no Brasil a partir do ressente entendimento consolidado pelo TCU no TC 039.606/2020-1 – com o diagnóstico do grau de implementação da lei geral de proteção de dados na administração pública federal. (BRASIL, 2022b). 4 “[...] implicit knowledge that is unconsciously assimilated in practical contexts and passed on horizontally between people, e.g. programmers”. 28 Ressalta-se que esses standards adentram a regulação e governança do fluxo global de dados pessoais, principalmente após os julgamentos dos casos Schrems pelo Triubnal de Justiça da União Europeia, no qual invalidou-se os acordos de transferências internacionais entre União Europeia e Estados Unidos. (MOURA; ROCHA, 2022b). Quando não há uma decisão de adequação que autorize a transferência internacional de dados entre países e regiões com legislações protetivas “equivalente”, a certificação de empresas nessas normas técnicas garantem a adoção de “medidas suplementares” para a proteção do direito à privacidade. (EDPB, 2021). No contexto brasileiro, em que ainda não se sabe sobre a regulação de esses e outros mecanismos para transferência internacional, como as denominadas “cláusulas contratuais- padrão” e as “normas corporativas vinculantes”, essas certificações são um bom ponto de ancoragem para garantir que os dados estão sendo protegidos quando transferidos – ainda mais se se pensar que boa parte das operações de tratamento de dados pessoais, hoje, compreendem a transferência internacional, desde a contratação de serviços em nuvem até questões mais simples relacionadas ao uso de serviços de streaming e videochamadas. Por fim, além das normas ISO, destaca-se, ainda que existem diversos outros frameworks que orientam a construção da governança da Tecnologia e da Informação (e.g. COBIT 2019) e/ou da governança de dados (e.g. DAMA-DMBOK) nas organizações, sem as quais a proteção de dados pessoais não pode ser facilmente orquestrada, ainda mais se se pensar que eles agregam valor (econômico) aos processos de sustentação das legislações pelo fato das empresas se reestruturarem em acordo com os novos modos de geração de lucro na economia de dados. 3 O RELATÓRIO DE IMPACTO À PROTEÇÃO DE DADOS PESSOAIS EM PERSPECTIVA As autoridades independentes têm um papel fundamental diante das características acima descritas sobre a regulação e governança da proteção de dados pessoais. A partir desses tipos de órgãos públicos (e.g. agência reguladoras Autoridade Nacional de Proteção de Dados e ANS) pode-se estruturam uma rede na qual o Estado regulamenta os pressupostos da (autor)regulação de organizações (e.g. hospitais, clínicas) e os modos de governança de setores específicos (e.g. saúde) com relação à proteção de dados. Isso não só para consolidação de conhecimentos especificamente jurídicos, como também para a sua interlocução com os conhecimentos técnicos necessários à atuação de 29inúmeros outros tipos de organizações. Veja-se, por exemplo, as Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679 do Working Party 29. (EUROPA, 2017). As situações obrigatórias para o DPIA segundo o artigo 35(3) do RGPD são: a) Avaliação sistemática e completa dos aspetos pessoais relacionados com pessoas singulares, baseada no tratamento automatizado, incluindo a definição de perfis, sendo com base nela adotadas decisões que produzem efeitos jurídicos relativamente à pessoa singular ou que a afetem significativamente de forma similar; b) Operações de tratamento em grande escala de categorias especiais de dados a que se refere o artigo 9º, nº 1, ou de dados pessoais relacionados com condenações penais e infrações a que se refere o artigo 10º; ou c) Controlo sistemático de zonas acessíveis ao público em grande escala. Porém, as Guidelines não apenas ressaltam que o rol não é taxativo, como recomendam que ele seja feito caso exista dúvida sobre determinada atividade de tratamento, já que é um dos instrumentos chaves para o compliance, mas também elencam os 9 critérios para serem levados em consideração para avaliação do “elevado risco”. Esses 9 critérios acabam por superar o engessamento das denominadas Black and White Lists e os exemplos dados pré-estruturam as tomadas de decisões nas organizações. O Relatório de Impacto à Proteção de Dados Pessoais, desta forma, apresenta-se como um procedimento que deve ser utilizado pelas organizações em um contexto técnico- organizacional de governança mais amplo. Dentro de um “projeto” de “adequação”, pensando-se na noviça situação brasileira, esse relatório é feito apenas após as grandes atividades de desenhar os fluxos e realizar o mapeamento dos dados nas organizações. (KYRIAZOGLOU, 2016). (ITGP, 2020). Contudo, ele vai além da dimensão de “projeto” para ser um mecanismo de constante controle constante diante de mudanças – dentro de um sistema de governança efetivo, o antigo ciclo de Deming (PDCA) da melhoria contínua ainda se aplica sem grandes modificações. (DEMING, 1990). Desta forma, o próprio planejamento do projeto, antes de se chegar a esta etapa, compreende a movimentação de diversos tipos de conhecimentos na preparação para as mudanças desejadas. A pré-analise de leis, regulamentos e normas, a análise do negócio e o levantamento dos principais processos gerenciais, o levantamento de ativos de informação e a estruturação da comunicação com todas as partes interessadas (“steakholders”), a 30 exemplos, são fases anteriores ao próprio relatório que preparam o caminho para uma transformação da organização em diversos outros sentidos para além da proteção de dados pessoais – desde questões relacionadas a inovação, eficiência e redução de custos operacionais até a mudança de estratégias mais amplas, como àquelas relacionadas ao ESG. Destaca-se que o Relatório de Impacto a Proteção de Dados (RIPD) é uma inovação jurídica na legislação brasileira e inspira-se no DPIA – Data Protection Impact Assessment, o qual, por sua vez, remonta a ideia de (co)regulação do risco no direito ambiental. Contudo, diferentemente do exemplo Europeu, a própria LGPD não prescreve de forma sistemática este tipo de relatório. Em seu artigo 5º, inciso XVII, a lei brasileira o define como uma documentação do controlador de dados que “contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco”. Não se prevê, aqui, a questão do “elevado risco”. Apenas que este é um documento que poderá ser exigido pela ANPD (artigo 38, caput e parágrafo único, LGPD), principalmente nos casos de tratamentos de dados com fundamento no legítimo interesse (artigo 10, § 3º, LGPD), e que deve conter: “no mínimo, a descrição dos tipos de dados coletados, a metodologia utilizada para a coleta e para a garantia da segurança das informações e a análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados”. (BRASIL, 2018). Contudo, diante de todos os princípios elencados no artigo 6º da LGPD, principalmente o da “transparência” e da “responsabilização e prestação de contas”, ele é um instrumento que vai além do cumprimento à legislação, como já ressaltado. Nesse sentido, explica-se que: [...] o relatório de impacto à proteção de dados na LGPD vem da organização sistemática das operações de tratamento de dados, a fim de viabilizar a visualização de processos e procedimentos internos, bem como o tratamento de dados existentes, para que seja possível através dele realizar a prevenção de riscos e a mitigação desses, caso eles já sejam existentes. (GOMES, 2019, p. 175-176). Ele é direcionado ao diagnóstico e estruturação organizacional da proteção de dados, de forma que a “prevenção” de riscos (e.g. regulatório-jurídicos) tem um sentido mais profundo no modo de tratamento das incertezas futuras que (re)formulam os parâmetros de governança das organizações em uma sociedade movida à dados. O relatório, que informa 31 tomadas de decisões específicas sobre, por exemplo, quais controles técnicos e organizacionais são necessários para proteção de dados, tornam-se premissas para futuras decisões, momento em que, por exemplo, os problemas são diferentes ou já se reformulou os parâmetros teóricos e práticos. Pode-se usar a forma risco/perigo de Luhmann, nesse sentido, para explicar que o risco das tomadas de decisão denota uma reintrodução interna desta distinção para questões, por exemplo, de “gerenciamento de riscos”, em relação as consequências futuras da própria decisão, e em relação ao perigo, danos externos, isto é, referente as “causas” ambientais. (LUHMANN, 1993). O risco, desse modo, não adentra a descrição da sociedade como um todo, mas apenas como uma forma (risco/perigo) de observação extremamente útil para a tomada de decisão em uma sociedade indeterminada. (ROCHA; AZEVEDO, 2012). O sucesso das organizações está justamente em como tratar as incertezas, especificando-as (e.g. proteção de dados, segurança da informação, governança), reduzindo seus custos (e.g. análise de custo/benefício para implementação de medidas só é possível após conhecer e especificar os “riscos”) e, paradoxalmente, aumentando-a (e.g. como é claro na dispendiosa construção de um RIPD). (LUHMANN, 2010). O relatório, inserido em um contexto mais complexo de governança, como já referido, pode-se servir como um “epicentro” que desencadeia não só reestruturações internas – e.g. criação de novas funções, como o DPO/Encarregado de Dados e o CISO/Diretor de Segurança da informação, ou até remodelação de uma “gestão por processos” – mas tem o efeito de (re)estruturar o ambiente externo das organizações (social, psíquico/indivíduo e natural). O design da organização é justamente uma categoria luhmanniana que descreve como a organização consegue manter sua autopoiese (de suas decisões) em condições de “fascinação”, “orientação” e “compromisso” dos sistemas psíquicos que percebem seu “desenho” como uma característica perceptível do sistema social. Na hodierna cultura das redes, o “re-desenho” é orientado pela relação entre a ampliação de tecnologias de governança e gestão e a adoção de formas mais “sutis” de comunicação organizada. Mas o ganho comunicacional e tecnológico só tem seu sucesso se consegue incluir a percepção. Isso fica claro quando se pensa na relação entre o privacy (and security) by design e o correspondente aumento de capacidade de inclusão (“participação” e 32 “controle”) dos indivíduos (“titulares de dados”) na (auto)regulação (regulada) e (auto)governança (“responsável”) dos processos comunicacionais. (CAVOUKIAN,2006). Assim, ressalta-se que essa (re)organização só é conquistada, hoje, nas organizações, mediante: a) a mudança dos pontos de referência, da “hierarquia” e o “ambiente” para “redes” e “projetos”; b) a capacidade de lidar com os “riscos” por meio de conexões em redes; c) e a de se amparar em um tipo de “inteligência” que, para além dos tradicionais conhecimentos especializados (teórico e prático), seja capaz de gerar melhores conexões entre o interno e o externo. (BAECKER, 2006). 4 CONSIDERAÇÕES FINAIS A proteção de dados é uma temática central para se pensar as problemáticas da atual cultura das redes. Os novos modos de governança (em rede) e (autor)regulação (regulada) contemporâneo, quando aplicados à temática da proteção de dados pessoais, mostram toda a complexidade que a efetividade desse direito carrega. Revela-se, nesse sentido, não só a intricada relação entre processos políticos, jurídicos e econômicos globais e digitais, como, também, a dimensão técnica, prática e organizacional da proteção de dados. O Relatório de Impacto a Proteção de Dados Pessoais pode ser observado como um exemplo de “epicentro” da reformulação da regulação e governança das questões atuais, no qual a prestação de contas e a gestão integrada de riscos (de negócios, da informação e dos dados) em sistemas de governança nas organizações, em um contexto de reestruturação em rede de diversos atores, pode sustentar não só a proteção de dados pessoais como diversos outros direitos. REFERÊNCIAS ABBOUD, Georges; CAMPOS, Ricardo. A autorregulação regulada como modelo do Direito proceduralizado: regulação de redes sociais e proceduralização. In: ABBOUD, Georges; NERY JUNIOR, Nelson; CAMPOS, Ricardo (coord.). Fake news e regulação. São Paulo: Thomson Reuters Brasil, 2018. p. 19-39. BAECKER, Dirk. The design of organization in society. In: SEIDL, David; BECKER, Kai Helge. Niklas Luhmann and organization studies. Frederiksberg: Copenhagen Business School Press, 2006. p. 191-204. BELL, Daniel. The coming of post-industrial society: a venture in social forecasting. [S.l]: Basic Books, 1976. BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados (LGPD). Brasília, DF: Presidência da República, 2018. Disponível em: <http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm>. Acesso em: 10 nov. 2022. 33 BRASIL. [Constituição (1988)]. Emenda Constitucional n° 115, de 10 de fevereiro de 2022. Altera a Constituição Federal para incluir a proteção de dados pessoais entre os direitos e garantias fundamentais e para fixar a competência privativa da União para legislar sobre proteção e tratamento de dados pessoais. Brasília, DF: Presidência da República, 2022a. Disponível em: <http://www.planalto.gov.br/ccivil_03/constituicao/Emendas/Emc/emc115.htm>. Acesso em: 10 nov. 2022. BRASIL. Tribunal de Contas da União. TC 039.606/2020-1. Grupo I – Classe V – Plenário. Relator: Augusto Nardes. Data da Sessão: 15/6/2022b – Ordinária. Disponível em: <https://portal.tcu.gov.br/data/files/B4/21/FE/38/5F9618102DFE0FF7F18818A8/038.172- 2019-4-AN%20-%20auditoria_Lei%20Geral%20de%20Protecao%20de%20Dados.pdf>. Acesso em 10 nov. 2022. BRASIL. Supremo Tribunal Federal. Referendo na Medida Cautelar na Ação Direta de Inconstitucionalidade 6.390. Medida Cautelar em Ação Direta De Inconstitucionalidade. Referendo. Medida Provisória nº 954/2020. Emergência de saúde pública de importância internacional decorrente do novo coronavírus (Covid-19). Compartilhamento de dados dos usuários do serviço telefônico fixo comutado e do serviço móvel pessoal, pelas empresas prestadoras, com o Instituto Brasileiro de Geografia e Estatística (IBGE). Fumus boni juris. Periculum in mora. Deferimento. Requerente: Partido Socialismo e Liberdade (P-SOL). Intimado: Presidente da República. Relatora: Ministra Rosa Weber, 7 de maio de 2020. Disponível em: <https://in.gov.br/en/web/dou/-/decisoes-259921921>. Acesso em: 10 nov. 2022. CAVOUKIAN, Ann. The 7 Foundational Principles Implementation and Mapping of Fair Information Practices. Information & Privacy Commissioner. Nov. 2006. Disponível em: <https://bit.ly/3Ws2icD>. Acesso em: 10 nov. 2022. DEMING, W. E. Qualidade: a revolução da administração. São Paulo: Marques Saraiva, 1990 EUROPEAN UNION. Article 29 Data Protection Working Party (WP29). Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679. 4 Oct. 2017. Disponível em: <https://ec.europa.eu/newsroom/article29/items/611236>. Acesso em: 10 nov. 2022. EUROPEAN UNION. European Data Protection Board (EDPB). Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data, 18 June 2021. Disponível em: <https://edpb.europa.eu/system/files/2021- 06/edpb_recommendations_202001vo.2.0_supplementarymeasurestransferstools_en.pdf>. Acesso em: 10 nov. 2022. GOMES, Maria Cecília Oliveira. Relatório de impacto à proteção de dados. Revista do Advogado, São Paulo, n. 144, nov. 2019. p. 174-183. Disponível em: <https://aplicacao.aasp.org.br/aasp/servicos/revista_advogado/paginaveis/144/173/index.ht ml#zoom=z>. Acesso em: 10 out. 2022 34 GRABER, Christoph B. How the law learns in the digital society. Law, Technology and humans, v. 3, n. 2, 2021. Disponível em: <https://lthj.qut.edu.au/article/view/1600>. Acesso em: 10 nov. 2022. INTERNATIONAL ORGANIZATION FOR STANDARDIZATION (ISO). Information security, cybersecurity and privacy protection. Disponível em: <https://www.iso.org/committee/45306/x/catalogue/p/1/u/0/w/0/d/0>. Acesso em: 10 nov. 2022. IT GOVERNANCE PRIVACY TEAM (ITGP). EU General Data Protection Regulation (GDPR): an implementation and compliance guide. 4. ed. Cambridgeshire: IT Governance Publishing, 2020. KJAER, Poul. Three-dimensional conflict of laws in Europe. Zentrum für Europäische Rechtspolitik (ZERP), Universität Bremen, 1 Mar. 2019. Disponível em: <https://papers.ssrn.com/sol3/papers.cfm?abstract_id=1489939>. Acesso em: 10 nov. 2022. KUNER, Christopher; BYGRAVE, Lee; DOCKSEY, Christopher. The EU General Data Protection Regulation (GDPR): a commentary. Oxford: Oxford University Press, 2020. KYRIAZOGLOU, John. Data protection and privacy management system: data protection and privacy guide. v. 1. [S.l]: bookboon, 2016. LADEUR, Karl-Heinz. Crítica da Ponderação na Dogmática dos Direitos Fundamentais: apelo para uma renovação da teoria liberal dos direitos fundamentais. In: CAMPOS, Ricardo (org.). Crítica da ponderação: método constitucional entre dogmática jurídica e a teoria social. São Paulo: Saraiva, 2016. p. 130-225. LUHMANN, Niklas. Risk: a sociological theory. Berlin; New York: De Gruyter, 1993. LUHMANN, Niklas. Organización y decisión. Ciudad del México: Universidad Iberoamericana; Herder, 2010. MENKE, Fabiano. A proteção de dados e o direito fundamental à garantia da confidencialidade e da integridade dos sistemas técnico-informacionais no direito alemão. Revista Jurídica Luso-Brasileira, Lisboa, n. 1, 2019. p. 781-809. Disponível em: <https://www.cidp.pt/revistas/rjlb/2019/1/2019_01_0781_0809.pdf>. Acesso em: 10 nov. 2022. MOURA, Ariel Augusto Lira de; ROCHA, Leonel Severo. Direitos Fundamentais e redes sociais: Da moderação de conteúdo no Facebook ao Direito na cultura das redes. Revista de Direito Mackenzie, São Paulo, v. 16, n. 2, out. 2022a. Disponível em: <https://bit.ly/3Nu5hgv>. Acesso em: 1 nov. 2022. MOURA, Ariel Augusto Lira de; ROCHA, Leonel Severo. Governança e regulação do fluxo de dados pessoais: observando os casos Schrems (TJUE). Revista de Direito, Governança e Novas Tecnologias, v. 8, n. 1, jan/jul. 2022b. p. 21 – 46. Disponível em: <https://www.indexlaw.org/index.php/revistadgnt>. Acesso em: 10 nov.
Compartilhar