Compliance e Governança

Prévia do material em texto

Organizadores 
Roberta Schaun 
Fabrizio Bon Vecchio 
André Machado Maya 
Francis Rafael Beck 
Alexandre Torres Petry 
 
 
 
 
 
 
Compliance, Governança Corporativa e ESG: perspectivas e 
desafios 
 
 
 
 
 
 
 
 
 
 
 
Porto Alegre, 2023 
 
 
 
 
Copyright © 2023 by Ordem dos Advogados do Brasil 
Todos os direitos reservados 
 
Organizadores 
Roberta Schaun – Presidente da Comissão de Compliance da OAB/RS 
Fabrizio Bon Vecchio – Vice-Presidente da Comissão de Compliance da OAB/RS 
André Machado Maya – Membro da Comissão de Compliance da OAB/RS 
Francis Rafael Beck – Membro da Comissão de Compliance da OAB/RS 
Alexandre Torres Petry – Diretor de E-books e da Revista Eletrônica da ESA/RS 
 
Projeto Gráfico e Capa 
Victor Baldez Silva 
 
Revisora 
Dieniffer de Souza Silva Lemes 
 
 
 
 
 
 
 
Jovita Cristina Garcia dos Santos- CRB 10ª 1.517 
 
 
A revisão de Língua Portuguesa e a digitação, bem como os conceitos emitidos em trabalhos 
assinados, serão de inteira responsabilidade do(s) autor(es). 
 
Escola Superior de Advocacia da OAB/RS 
Rua Manoelito de Ornellas, 55 – Praia de Belas 
 CEP 91110-230 – Porto Alegre/RS 
 
 
C735 
 Compliance, Governança Corporativa e ESG: perspectivas e desafios 
[recurso eletrônico]. / Roberta Schaun, Fabrizio Bon Vecchio, André 
Machado Maya. et al. (Org). – Porto Alegre, OABRS, 2023. p. 173. 
 ISBN: 978-65-88371-26-8 
1. Compliance 2. Corporativa. Schaun, Roberta. II. Bom Vecchio, 
Fabrizio. III. Título 
 
CDU 35.073 
 
 
 
 
ORDEM DOS ADVOGADOS DO BRASIL - CONSELHO FEDERAL 
DIRETORIA/GESTÃO 2022/2025 
 
Presidente: Beto Simonetti 
Vice-Presidente: Rafael Horn 
Secretária-Geral: Sayury Otoni 
Secretária-Geral Adjunta: Milena Gama 
 Diretor Tesoureiro: Leonardo Campos 
 
ESCOLA NACIONAL DE ADVOCACIA – ENA 
 
Diretor-Geral: Ronnie Preuss Duarte 
 
ORDEM DOS ADVOGADOS DO BRASIL - SECÇÃO DO RIO GRANDE DO SUL 
 
Presidente: Leonardo Lamachia 
Vice-Presidente: Neusa Maria Rolim Bastos 
Secretário-Geral: Gustavo Juchem 
Secretária-Geral Adjunta: Karina Contiero Silveira 
Tesoureiro: Jorge Luiz Dias Fara 
 
ESCOLA SUPERIOR DE ADVOCACIA 
 
Diretor-Geral: Rolf Hanssen Madaleno 
Vice-Diretor: Eduardo Lemos Barbosa 
Diretora Administrativa-Financeira: Graziela Cardoso Vanin 
Diretoras de Cursos Permanentes: Fernanda Corrêa Osorio, Michelle da Silva G. Vieira 
Diretor de Cursos Especiais: Roger Eridson Dorneles 
Diretores de Cursos Não Presenciais: Jair Pereira Coitinho 
Diretoras de Atividades Culturais: Ana Lúcia Kaercher Piccoli, Eliane Chalmes Magalhões 
Diretor de E-books e da Revista Eletrônica: Alexandre Torres Petry 
 
CONSELHO PEDAGÓGICO 
 
Bruno Nubens Barbosa Miragem 
Simone Tassinari Cardoso Fleischmann 
Gerson Fischmann 
Cristina da Costa Nery 
Raimar Rodrigues Machado 
 
 
 
 
CAIXA DE ASSISTÊNCIA DOS ADVOGADOS 
 
Presidente: Pedro Zanette Alfonsin 
Vice-Presidente: Paula Grill Silva Pereira 
Secretária-Geral: Morgana Bordignon 
Secretária-Geral Adjunta: Alessandra Glufke 
Tesoureiro: Matheus Portella Ayres Torres 
 
TRIBUNAL DE ÉTICA E DISCIPLINA 
 
Presidente: Airton Ruschel 
Vice-Presidente: Gabriel Lopes Moreira 
 
CORREGEDORIA 
 
Corregedora: Maria Helena Camargo Dornelles 
Corregedores Adjuntos 
 Maria Ercília Hostyn Gralha 
Josana Rosolen Rivoli 
Regina Pereira Soares 
 
OABPrev 
 
Presidente: Jorge Luiz Dias Fara 
Diretor Administrativo: Otto Junior Barreto 
Diretora Financeira: Claudia Regina de Souza Bueno 
Diretor de Benefícios: Luiz Augusto Gonçalves de Gonçalves 
 
COOABCred-RS 
 
Presidente: Jorge Fernando Estevão Maciel 
Vice-Presidente: Márcia Isabel Heinen 
 
 
 
 
 
 
 
 
 
 SUMÁRIO 
 
 
APRESENTAÇÃO – Giovani Saavedra ............................................................................... 7 
PREFÁCIO – Roberta Schaun ............................................................................................. 9 
GESTÃO DA CADEIA STAKEHOLDER E OS CRITÉRIOS DA TERCEIRIZAÇÃO: 
DUE DILIGENCE QUANTO A PRÁTICAS SUSTENTÁVEIS ENTRE EMPRESAS – 
Amanda Israel Fraga e Juliana Müller Brezolin .................................................................. 11 
O RIPD E GOVERNANÇA E REGULAÇÃO DA PROTEÇÃO DE DADOS PESSOAIS – 
Ariel Augusto Lira de Moura, Bernardo Leandro Carvalho Costa e Leonel Severo Rocha 22 
ESTUDO INTERPRETATIVO E COMPARADO DAS DIRETRIZES NACIONAIS E 
INTERNACIONAIS SOBRE PROGRAMAS DE COMPLIANCE – Henrique Starck 
Malghosian Cantaforo e Bruno Galvão Ferola .................................................................... 37 
ESG E DIREITOS HUMANOS: A APLICAÇÃO NAS RELAÇÕES DE TRABALHO – 
Caroline Alburquerque Cabrera........................................................................................... 58 
COMPLIANCE E LGPD – ASPECTOS CONEXOS E RELEVANTES – Fábio Böckmann 
Schneider ............................................................................................................................. 71 
O COMPLIANCE COMO ALIADO À MULHER NO MERCADO DE TRABALHO – 
Jordana Isse e Pauline Amaral Antunes .............................................................................. 82 
GOVERNANÇA E COMPLIANCE: DOS BONS PROPÓSITOS ÀS AÇÕES 
RESPONSÁVEIS – Josué Emilio Möller e Letícia Ludwig Möller ................................... 94 
PRÁTICAS CORPORATIVAS NO CONTEXTO DA RELAÇÃO DE ATENDIMENTO 
AOS CLIENTES APLICADA ÀS ORGANIZAÇÕES E ESPECIAL ÊNFASE AOS 
ESCRITÓRIOS DE ADVOCACIA COM VISTA À TECNOLOGIA DA INFORMAÇÃO 
– Leandro Barbosa de Araújo e Francineide Barbosa de Araújo Costa ............................ 112 
A IMPORTÂNCIA DA ÉTICA E DA MORAL NA RESPONSABILIZAÇÃO POR 
PRÁTICAS DELITUOSAS NAS EMPRESAS PELO COMPLIANCE OFFICER: UMA 
ABORDAGEM JURÍDICA EMPRESARIAL – Luís Augusto Antunes Rodrigues ........ 127 
COMPLIANCE E GOVERNANÇA CORPORATIVA COMO MECANISMOS DE 
CONFORMIDADE TRABALHISTA – ASPECTOS SOCIAIS E VALORES – Murilo Reis 
Sena ................................................................................................................................... 138 
GOVERNANÇA CORPORATIVA E A RESPONSABILIDADE SOCIAL E 
AMBIENTAL: UMA ANÁLISE DA LEI ALEMÃ DE DUE DILIGENCE DA CADEIA 
DE SUPRIMENTOS – Tainara Carozzi de Carvalho e Jéssica Maria Dias de Souza ...... 158 
 
 
7 
 
 
 
APRESENTAÇÃO 
Foi uma grande alegria receber o convite para a apresentação desta obra. Em especial, porque 
ela é iniciativa da Comissão de Compliance, de cuja criação, no âmbito da OAB-RS fui 
responsável, juntamente com o colega Marcos Eberhardt, e que contou com o apoio 
incondicional do nosso ex-Presidente Ricardo Breier. Fiquei à frente dessa comissão nos 
dois mandatos do Presidente Breier (2017-2022) e fico feliz e muito orgulhoso de ter 
participado de todo o processo histórico de criação desta inovadora comissão, bem como de 
todos os projetos que ali foram feitos. Importante ressaltar o pioneirismo da iniciativa: hoje, 
parece claro e óbvia a necessidade de uma comissão dessa temática, mas, na primeira gestão, 
quando se discutia o tema, a comissão teve de ser intitulada Comissão de Prevenção à 
Corrupção, porque ainda não havia tradição a esse respeito no sistema OAB, nem se entendia 
ainda muito bem ainda o termo compliance. Foi somente, na segunda gestão do Presidente 
Breier que foi possível nomearmos a comissão com o nome que leva hoje, Comissão de 
Compliance e, somente no início deste ano, a Comissão de Compliance do Conselho Federal, 
da qual também faço parte, iniciou um processo de uniformização da temática em nível 
nacional, o que demonstra também a importância do trabalho realizado. 
No marco desse trabalho, foi-me confiado pelo ex-Presidente Breier também a função de 
criar uma comissão para tratar dos temas de privacidade e proteção de dados. Foi, então, que, 
a partir da Comissão de Compliance, foi criada a Comissão de Privacidade e Proteção de 
Dados da OAB/RS, cujoprimeiro presidente, foi escolhido dentre um dos membros da 
Comissão de Compliance, o colega Andre Pontin. Ele assumiu essa tarefa e o trabalhos das 
comissões sempre foi desenvolvido de maneira integrada, tendo em vista que Compliance e 
Proteção de Dados devem ser pensados de maneira alinhada e conjunta. Por tudo isso, ser 
lembrado para participar dessa iniciativa, demonstra toda a grandeza da nova gestão também 
e reconhecer o legado e a importância dos projetos realizados. Nesse sentido, agradeço à 
Presidente e a nova diretoria pela lembrança e pelo convite, que muito me honra. 
Outra grande razão de alegria, é o que a responsável pelo convite foi própria Presidente atual 
da Comissão, a colega Roberta Schaun, que conheci ainda quando era professor da PUCRS 
na faculdade de direito. Ela foi aluna de uma das primeiras turmas nas quais lecionei nessa 
instituição e é uma alegria vê-la brilhando a frente da Comissão de Compliance da OAB/RS. 
O presente trabalho é prova da sua capacidade incrível de mobilização e de liderança e, nesse 
sentido, parabenizo-a pela organização da obra e aproveito para estender as congratulações 
aos demais organizadores da obra, os colegas Fabrizio Bon Vecchio, André Machado Maya, 
Francis Rafael Beck e Alexandre Torres Petry pelo excelente trabalho realizado. 
A obra traz a lume textos sobre os três eixos de debate mais relevantes da área de na 
atualidade: Governança Corporativa e ESG, Sistema de Gestão de Compliance e Proteção 
de Dados, que têm tido uma importância tão grande no cenário internacional, que muitos 
autores, autoridades e organismos internacionais já os estão considerando parte de uma 
mudança de paradigma no capitalismo contemporâneo, o Capitalismo Stakeholder1. Nesse 
 
1 Ver, a esse respeito: Saavedra, Giovani. Compliance. São Paulo: Thompson Reuters, 2022, cap. 1; Saavedra, 
Giovani. Capitalismo Stakeholder e a ética de mercado: ESG como forma de concretização dos direitos 
8 
 
 
 
sentido, são novas diretrizes organizacionais que têm raiz muito mais profunda do que a sua 
exteriorização prática na forma de técnica de gestão ou de uma mera definição de políticas. 
Elas fazem parte de um processo muito mais amplo de repensar a maneira como se faz 
negócios: ficam para trás as formas de gestão focadas no curto prazo e passa-se a pensar no 
desenvolvimento a longo prazo. 
A palavra que une os três temas, portanto, é sustentabilidade. E é sob essa ótica, que o livro 
deve ser lido, tanto a parte reservada aos temas de Governança, quanto aos de Compliance, 
de ESG e de Proteção de dados, dado que eles visam incorporar o raciocínio de ética e 
proteção aos direitos fundamentais e humanos no âmbito organizacional e de negócios e 
representam a consolidação de um progresso moral civilizacional, que é incorporado pelo 
mercado. 
Se, por um lado, porém, o lado positivo de todo esse processo é indiscutível, os desafios são 
vários: como gerenciar riscos da cadeia de terceiros? Como conciliar as diversas diretrizes e 
normas internacionais sobre os temas? Como lidar com a pluralidade de fontes de obrigações 
de compliance? Como conciliar as diretrizes de ESG e Direitos Humanos com a legislação 
trabalhista pátria? Esses são temas complexos que merecem uma abordagem que concilia os 
estudo acadêmico com uma análise das práticas de mercado. A presente obra tem o mérito 
de enfrentar esses desafios ao longo de suas páginas. 
Mas, para além disso, o presente livro tem o mérito também de enfrentar os reflexos desses 
temas também para a advocacia. E essa é a principal função da OAB, capacitar a advocacia, 
dando elementos para que os(as) advogados(as) possam prestar o serviço essencial à justiça, 
que é a advocacia, de maneira sempre mais qualificada e com a excelência que dela se espera. 
A presente obra, portanto, contribui a um só tempo para o desenvolvimento do debate e, mas 
também traz para o profissional iniciante nesse mercado, a possibilidade de a ampliar seus 
conhecimentos sobre o tema, bem como para a difusão da Integridade nos negócios 
brasileiros. 
 
E, por isso, é uma obra que vale a pena ser lida! Ficam aqui os votos de sucesso, a todos(as) 
organizadores(as) e autores(as) do livro. 
 
Prof. Dr. Giovani Saavedra 
Universidade Presbiteriana Mackenzie – SP 
Doutor em Direito e Filosofa pela Johann Wolfgang Goethe – Universidade de Frankfurt 
Mestre em Direito pela PUCRS 
Advogado 
 
 
humanos/fundamentais. In: Nascimento, Juliana. Esg - O Cisne Verde e o Capitalismo de Stakeholder. São 
Paulo: Thompson Reuteres, 2023. 
9 
 
 
 
PREFÁCIO 
Cara leitora, 
Caro leitor, 
 
É com grande satisfação que a Comissão de Compliance da OAB/RS apresenta a você este 
e-book abrangente sobre Compliance, Governança Corporativa e ESG. Em um contexto 
global cada vez mais complexo e interconectado, as organizações estão sendo desafiadas a 
repensar suas abordagens tradicionais e adotar práticas responsáveis e sustentáveis que 
impulsionem o crescimento a longo prazo, alinhando o sucesso dos negócios com o bem-
estar da sociedade e a preservação do meio ambiente. 
A tríade Compliance, Governança Corporativa e ESG emergiu como um conjunto de 
princípios e diretrizes que transcendem as fronteiras dos setores econômicos e geopolíticos, 
estabelecendo-se como pilares fundamentais para as empresas que desejam prosperar em um 
mundo em constante mudança. A integridade, transparência e responsabilidade são valores 
essenciais que permeiam a essência dessas disciplinas e sustentam a confiança dos 
stakeholders, sejam eles investidores, colaboradores, clientes ou a sociedade como um todo. 
Neste e-book, convidamos você a explorar as diferentes dimensões e facetas desses temas 
cruciais. Ao longo das páginas que se seguem, você encontrará insights valiosos e 
orientações para implementar essas práticas em sua própria organização. Nosso objetivo é 
fornecer uma base sólida de conhecimento para que você possa compreender o contexto 
atual e, assim, contribuir para um futuro mais justo, resiliente e sustentável. 
A jornada rumo à sustentabilidade corporativa não é uma tarefa fácil, mas é uma jornada que 
deve ser abraçada com determinação e comprometimento. Juntos, podemos moldar um 
mundo de negócios mais ético e responsável, onde o sucesso econômico ande de mãos dadas 
com o bem-estar das pessoas e a proteção do nosso planeta. 
Com este projeto pronto, é necessário o agradecimento à Escola Superior da Advocacia, que 
fazemos na pessoa do Dr. Alexandre Petry, Diretor de E-books e da Revista Eletrônica da 
ESA/RS. A CECOM (Comissão de Compliance da OAB/RS) agradece a paciência e 
generosidade do Dr. Alexandre. Sua orientação e apoio foram fundamentais para a 
concretização deste projeto, permitindo-nos alcançar um nível de excelência que não seria 
possível sem sua participação e visão inspiradora. Suas contribuições enriqueceram cada 
página deste e-book, e somos imensamente gratos por tê-lo como parceiro nessa jornada. 
Que sua dedicação ao trabalho de Ordem e expertise na área acadêmica continuem a 
impulsionar o trabalho da Escola Superior da Advocacia. Seu comprometimento é uma fonte 
de inspiração para todos nós, e estamos honrados por termos aprendido com alguém tão 
respeitado e admirado em sua área de atuação. 
Também não podemos deixar de expressar nossa profunda gratidão ao Presidente da 
OAB/RS, Dr. Leonardo Lamachia, que tem liderado a OAB com maestria e dedicação 
incomparáveis. Seu apoio incondicional aos projetos da CECOM foi fundamental para o 
sucesso deste e-book. Seu compromisso com a excelência profissional tem sido uma 
10 
 
 
 
inspiração para todos nós. Agradecemos sinceramente pela confiança e pelo contínuo 
suporte, e estamos honrados por trabalhar em colaboração com uma liderança tão exemplar. 
Sua dedicação ao avançoda advocacia e ao fortalecimento da instituição é verdadeiramente 
notável. 
Gostaríamos, ainda, de expressar nossa profunda gratidão aos autores que generosamente 
contribuíram com seus textos para este e-book. Em especial, queremos agradecer aos autores 
que fazem parte da Comissão Especial de Compliance, cujo conhecimento e experiência 
foram essenciais para enriquecer as páginas deste trabalho. Suas contribuições substanciais 
e perspicazes permitiram que explorássemos diversos aspectos do compliance de forma 
abrangente e atualizada. Estamos imensamente gratos pela dedicação e pela qualidade dos 
textos que compartilharam conosco. Sua participação é um reflexo do comprometimento da 
Comissão Especial de Compliance em promover boas práticas e disseminar conhecimento 
na área. Muito obrigada a todos os autores pelo valioso e significativo trabalho que 
realizaram. 
Por fim, mas não menos importante, gostaríamos de estender nossos sinceros 
agradecimentos a você, cara leitora/caro leitor. Sem sua curiosidade, interesse e dedicação 
em explorar este e-book sobre Compliance, Governança Corporativa e ESG, nosso esforço 
em compartilhar conhecimento e promover práticas responsáveis no mundo dos negócios 
não teria sentido. Esperamos que este conteúdo seja enriquecedor e inspirador para você, 
assim como foi para nós ao criar este material. 
À medida que seguimos adiante nesta jornada rumo à sustentabilidade corporativa, contamos 
com você para levar esses princípios e diretrizes para suas organizações, compartilhar com 
seus colegas e colaborar para um futuro mais ético e consciente. Juntos, podemos moldar 
uma realidade empresarial que contribua para o bem-estar de todos e a preservação de nosso 
planeta. 
Agradecemos por nos acompanhar nesta trajetória e esperamos que este e-book possa ser um 
guia valioso para suas iniciativas e práticas. Que nossos esforços conjuntos tragam impactos 
positivos e duradouros para a sociedade e o meio ambiente. 
Boa leitura e muito obrigada. 
 
Roberta Schaun 
Presidente da Comissão de Compliance da OAB/RS 
 
 
 
 
 
11 
 
 
 
GESTÃO DA CADEIA STAKEHOLDER E OS CRITÉRIOS DA 
TERCEIRIZAÇÃO: DUE DILIGENCE QUANTO A PRÁTICAS SUSTENTÁVEIS 
ENTRE EMPRESAS 
 
Amanda Israel Fraga2 
Juliana Müller Brezolin3 
 
Resumo: A terceirização da atividade fim é prática permitida pela legislação trabalhista, 
desde que observados os direitos do trabalhador. O uso de terceirização na cadeia de 
fornecimento e na gestão de stakeholders é polêmica, pela ausência de fiscalização. Crises 
de imagem relacionadas à cadeia de suprimentos são corriqueiras e devem ser suprimidas 
através de procedimentos de avaliação dos riscos de contratação e de monitoramento dos 
fornecedores para cumprimento de normas ambientais e trabalhistas, visando a negócios 
mais sustentáveis e responsáveis ambiental e socialmente. O procedimento de due diligence 
é forte aliado para análise de fornecedores e o monitoramento constante do cumprimento de 
critérios ESG se faz necessário às empresas. 
 
Palavras-chave: Terceirização. ESG. Cadeia de fornecimento. Stakeholder. Due Diligence. 
 
INTRODUÇÃO 
As alterações legislativas de 2017 permitiram a terceirização da prestação de serviços 
nas empresas, inclusive das suas atividades fim. Essa possibilidade legislativa não desonerou 
as partes do cumprimento das legislações trabalhistas, nem de outras regras previstas no 
ordenamento jurídico. 
A aceleração produtiva e a terceirização, abriram espaço para crises de imagem na 
cadeia produtiva, que impacta diretamente em todos os negócios e repercute negativamente 
no tomador de serviços. O empoderamento dos consumidores, especialmente pela 
possibilidade de se expressarem através de mídias sociais, permite que sejam mais exigentes 
com as marcas que os cercam, esperando não apenas melhores produtos ou serviços, mas 
também expectativa acerca de um comportamento ético, atitudes ambientais sustentáveis e 
socialmente impactantes. 
 
2 Advogada inscrita na OAB/RS sob o nº 98.818. Especialista em Direito Civil e Processual Civil. MBA em 
Auditoria e Compliance. Graduada em Direito. Membro das Comissões Especiais de Privacidade e Proteção 
de Dados e de Compliance OAB/RS. E-mail: amandaif92@gmail.com. 
3 Advogada inscrita na OAB/RS sob o nº 98.714. Especialista em Direito e Processo do Trabalho. Graduada 
em Direito. E-mail: juliana-brezolin@hotmail.com. 
mailto:amandaif92@gmail.com
mailto:juliana-brezolin@hotmail.com
12 
 
 
 
Com isso, os critérios ESG ganham espaço, e procedimentos como a due diligence 
se tornam protagonistas para avaliação da cadeia de suprimentos, com desenvolvimento e 
avaliação de questões ambientais e sociais, que impactam em toda a sociedade. Inciativas 
como a Agenda 2030 da ONU e os Objetivos de Desenvolvimento Sustentável, assim como 
a criação de normas internacionais para avaliação destes indicadores se tornam cada dia mais 
comuns e necessários ao mercado. 
 
2 LEI DA TERCEIRIZAÇÃO E SUAS CARACTERÍSTICAS 
 
As relevantes alterações legislativas publicadas em 2017 acarretaram o elastecimento 
da licitude dos contratos de prestação de serviços entre empresas, as chamadas 
terceirizações, levando à abrangência da “atividade fim” nas hipóteses do texto legal. Com 
o advento das Leis 13.429/2017 (terceirização) e 13.467/2017 (alterações da CLT/reforma 
trabalhista) restou fixada a possibilidade da terceirização de qualquer atividade, incluindo a 
atividade fim da empresa contratante. Apesar das eventuais controvérsias das alterações 
legislativas da época, a constitucionalidade do referido texto legal restou declarada pelo 
julgamento da ADPF nº 324 pelo STF. 
Enfatiza-se, ainda, que a Lei 6.019/1974 manteve a redação do artigo 13 quanto às 
ocorrências dos artigos 482 e 483 da CLT que configuram justa causa para rescisão do 
contrato do trabalhador. Ou seja, é defeso a submissão do trabalhador às seguintes 
circunstâncias (artigo 483 da CLT): a) forem exigidos serviços superiores às suas forças, 
defesos por lei, contrários aos bons costumes, ou alheios ao contrato; b) for tratado pelo 
empregador ou por seus superiores hierárquicos com rigor excessivo; c) correr perigo 
manifesto de mal considerável; d) não cumprir o empregador as obrigações do contrato; e) 
praticar o empregador ou seus prepostos, contra ele ou pessoas de sua família, ato lesivo da 
honra e boa fama; f) o empregador ou seus prepostos ofenderem-no fisicamente, salvo em 
caso de legítima defesa, própria ou de outrem; g) o empregador reduzir o seu trabalho, sendo 
este por peça ou tarefa, de forma a afetar sensivelmente a importância dos salários. 
Superada a admissibilidade pela legislação atual quanto à terceirização da atividade 
fim, ou seja, vinculada ao objeto social daquela pessoa jurídica contratante, quanto aos 
princípios base daquela com relação à contratada, é necessário, ainda, que estejam alinhadas 
quantos aos preceitos de atuação? 
13 
 
 
 
Sim, toda a empresa deve possuir um mapeamento de riscos vinculado a um 
alinhamento de condutas e disciplinas vinculadas ao segmento de atuação para projeção de 
objetivos e resultados: 
O mapeamento dos riscos é caminho crítico para a criação de um programa de 
compliance ou integridade efetivo, bem como para sua implantação, seu 
desenvolvimento e sua manutenção. Em geral, as empresas e as organizações têm 
objetivos a serem alcançados e, naturalmente, vão encontrar obstáculos para 
atingi-los. (NEVES, 2018, p. 31-32). 
 
Ou seja, ainda que a legislação admita a terceirização, inclusive, da atividade fim da 
empresa contratante, essa não pode adotar conduta negligente ou omissa com relação à 
empresa “terceira” contratada, se faz necessária postura diligente da contratante para ter 
certeza quanto à atuação da contratada de forma convergente aos princípios e valores da 
empresa (NEVES,2018, p. 47). 
 
3 DAS CONSIDERAÇÕES SOBRE CONTRATAÇÃO DE FORMA TERCERIZADA 
 
Com legislação específica implementando os critérios e possibilidades dos contratos 
por terceirização entre empresas, a efetivação pode ser benéfica na organização do processo 
produtivo, a empresa contratante opta por terceirizar determinadas atividades secundárias 
como: limpeza, segurança, transporte e alimentação, para focar na execução do seu objeto 
social (atividade-fim) (MARTINEZ, 2020, p. 466). 
Da mesma forma, mensurado o impacto gerencial na efetivação da terceirização da 
atividade fim, ou seja, do objeto para o qual a pessoa jurídica se propõe, atividades 
vinculadas à sua prestação principal também podem ser ramificados para empresas 
especializadas (MARTINEZ, 2020, p. 471). 
Para Corrêa e Caon a percepção do cliente quanto ao que lhe for entregue na relação 
de consumo não se aprofunda às ramificações da cadeia produtiva estruturada pela empresa 
e, sim, limita-se ao momento que atendido. Assim, enfatizam a necessidade da 
uniformização de valores entre empresa contratante e terceirizadora de mão de obra: 
Com a crescente tendência de as empresas focalizarem-se nas atividades que 
consideram como centrais e terceirizarem atividades poucos centrais, é cada vez 
mais frequente que atividades até de linha de frente sejam terceirizadas. Um erro 
frequente é ter padrões de tratamento muito diferenciados para funcionários 
terceirizados. Não se esqueça: não é problema do cliente se o funcionário que o 
está atendendo trabalha para a empresa de quem é cliente ou não! Ela vai formar 
sua percepção de satisfação também levando em conta o momento da verdade em 
contato com o funcionário terceirizado e, portanto, via gestão direta e via exigência 
14 
 
 
 
contratual. O funcionário terceirizado deve merecer exatamente o mesmo grau de 
preocupação, quanto ao recrutamento (atitude mais que habilidades), treinamento 
(para habilidades), motivação, recompensa e outros aspectos (CORRÊA; CAON, 
2012, p. 239). 
 
A avaliação da opção pela terceirização deve ter crivo gerencial quanto à criação de 
valor para a rede, além da mera alteração na apropriação do valor criado. Ou seja, para alguns 
stakeholders a opção pela terceirização pauta-se na opção por uma renegociação de formas 
de contratação somente, porém a opção pode ser mais produtiva, focando na busca de melhor 
performance com empresas especializadas que possuam boas práticas (CORRÊA; CAON, 
2012, p. 371). 
Por outro lado, Child refere que entre os riscos da má administração da terceirização 
de uma atividade pode ocorrer a perda de controle. Explica que “confiar nas cláusulas de 
um contrato talvez não seja suficiente para garantir que a atividades terceirizada esteja sob 
controle para ser realizada satisfatoriamente” (CHILD, 2012, p. 279). 
A manutenção de um gerenciamento interno com o fornecedor é necessária, pois 
terceirizar uma atividade não se constitui no ato de abdicar da administração sobre ela, 
principalmente quanto tal atividade é elemento central na cadeira de valor de um serviço 
(CHILD, 2012, p. 279). 
 
4 CRISES DE IMAGEM E SEU IMPACTO PARA O NEGÓCIO 
 
Dentre os significados da palavra “reputação” se encontram o conceito obtido por 
uma pessoa a partir do público ou da sociedade em que vive e a característica de possuir 
prestígio e renome. Ao se avaliar “pessoa”, tem-se que também se enquadra aos organismos 
jurídicos, constituídos com uma razão social e que se denominam empresas. 
A construção da reputação empresarial é tarefa que investiga os elementos que 
promovem uma sociedade desigual, verificando efeitos da opinião pública. Visa a 
compreender o quanto as organizações podem ser sensíveis a pressões sociais, especialmente 
quando incorrem em riscos às operações, com exposição da liderança ao escrutínio público 
de um grupo social que não tolera práticas que ferem a sociedade (SENADOR; 
JOSGRILBERG, 2021, p. 253). 
As mais recentes crises reputacionais vivenciadas por grandes marcas estão 
relacionadas ao seu descomprometimento com questões sociais e ambientais e que, quando 
15 
 
 
 
acontecem quebram a confiança depositada pelo consumidor naquela empresa, que se 
identifica com as causas, consume mais responsavelmente, pensando na sustentabilidade da 
cadeia produtiva e da vida útil daquele produto. Ao nos expressarmos, mostramos as coisas 
que gostamos, nossa forma de pensar, o que desejamos e projetamos ao mundo nossa 
imagem. As dimensões da imagem de uma empresa, não são distintas e demonstram como 
ela se percebe e se projeta ao mercado (SENADOR; JOSGRILBERG, 2021, p. 256). O 
consumidor não quer mais se aliar a organizações que não reflitam a sua imagem. 
A criação da imagem é uma ponte que interliga a relação com os outros. Numa cadeia 
produtiva, todos os envolvidos projetam um pouco de si na concepção daquele produto que 
chega à prateleira para ser adquirida pelo consumidor final. Nessa trajetória podem existir 
empresas que participam e que não estão alinhadas àquilo que a organização principal deseja 
transmitir ao mercado. Isso fica evidente quando avaliamos as grandes crises de imagem de 
empresas que foram denunciadas por utilização de trabalho análogo ao escravo e que se 
enquadram em diversos segmentos como vestuário e até mesmo vinícolas. Nenhuma delas 
se utilizava diretamente desta mão de obra indecente, e todas alegaram o desconhecimento 
de sua utilização, mas se aliaram a terceirização para redução de custos, sem avaliar a forma 
como essas terceirizadas se comportavam. 
A reputação é formada por um conjunto de atitudes desenvolvidas ao longo do tempo 
e demonstra como somos reconhecidos. As organizações são observadas diariamente e 
produzem efeitos sobre sua própria imagem, conforme seu comportamento e suas ações. O 
somatório desses incidentes – positivos ou negativos – ensejará determinada reputação. A 
coerência e a transparência ao longo do tempo, atitudes e expressões consolidam a estima 
(SENADOR; JOSGRILBERG, 2021, p. 256). Isso fica muito claro quando avaliamos as 
mais recentes crises de imagem nos diversos segmentos, pelo uso de mão de obra análoga à 
escravidão. As crises de imagem afetaram diretamente as terceirizadoras, com boicotes pelos 
consumidores, mas não especificamente as terceirizadas, pois essas não dependem da 
reputação para continuidade das suas atividades, diferentemente de marcas que buscam 
conquistar cada vez mais consumidores e que, os perdem pelo deslize de não conhecer e 
acompanhar sua cadeia de fornecimento. 
A gestão de stakeholders na cadeia produtiva é tema que surge com grandes 
expectativas, especialmente pela avaliação de critérios ESG nas organizações e pelo 
mercado e que tem por objetivo justamente identificar desvios de conduta de todos os 
16 
 
 
 
envolvidos no desenvolvimento do produto, desde a extração da matéria prima, até o 
momento que chega à casa do consumidor final. 
Com as grandes crises vivenciadas mundialmente todos os funcionários das empresas 
são cobrados a cada dia para entregar produtos não apenas de melhor qualidade, mas também 
por seguir padrões de sustentabilidade. De forma coerente, marcas sustentáveis e de 
reputação admirável passam a emanar prestígio a uma grande rede de interlocutores, 
atingindo não só o consumidor (GAULIA, 2019, p. 189). 
 
5 MONITORAMENTO DA CADEIA DE FORNECIMENTO E O PROCEDIMENTO 
DE DUE DILIGENCE 
 
A incorporação de métricas ESG nas metas corporativas impacta nos bônus 
executivos, e reforçam a importância do tema, deixando cristalino que a tomada de decisões 
vai além dos interesses de gerar resultadas financeiros, mas reflete em um diferencial 
competitivo relevante não apenas para a sustentabilidade dos negócios, mas para a sociedade 
como um todo e contribuindo com o capitalismo consciente e sustentável (MALARA, 2021, 
p. 385). 
Na cadeia de fornecimento, grandes empresas já desenvolvemprogramas que 
avaliam seus fornecedores, observando padrões de integridade, cuidados com o meio 
ambiente e responsabilidade social, com medidas adequadas de controle desta linha que 
adentra o negócio. Análises reputacionais dos fornecedores, adesão de boas práticas de 
transparência e responsabilidade socioambiental, disposições contratuais e certificações 
periódicas são alguns dos exemplos de monitoramento da cadeia produtiva na realidade atual 
(MALARA, 2021, p. 386). 
Partindo da consciência ASG ou ESG (sigla em inglês), a capacidade de uma empresa 
gerar impactos ambientais e sociais positivos, ocasiona uma vantagem competitiva dessa 
com relação às demais. Para elucidar os pontos de mapeamento de riscos com relação a ESG, 
podemos citar: 
Ambiental: Riscos de mudança climática, fornecimento de água e matéria-prima, 
poluição e gerenciamento de resíduos, energia renovável; 
Social: Saúde e segurança do trabalho, segurança do produto, rede de fornecedores 
e parceiros, iniciativas de impacto social; 
Governança: Metodologia de remuneração dos executivos, direitos dos acionistas 
e ética empresarial, diversidade da força de trabalho, transparência nos relatórios 
da empresa (NETO, 2022, p. 20). 
 
17 
 
 
 
Ou seja, com o fortalecimento da observância dos critérios ESG para valoração de 
empresas, o desalinhamento na atuação ética e responsável, inclusive de empresas 
terceirizadas, pode acarretar consideráveis prejuízos à empresa contratante, visto que a 
repercussão de mídias sociais e das autuações dos órgãos fiscalizadores recaem sobre o 
tomador de serviços e não do prestador, que normalmente é pequena ou média empresa 
(MALARA, 2021, p. 387). A avaliação de métricas que identifiquem o comprometimento 
da cadeia produtiva com questões socioambientais e de governança são tópicos que têm 
ganhado espaço no cenário mundial e passam a ser requisitos para firmar negócios e devem 
observar a dimensão dos três eixos. 
No eixo ambiental, avaliar os fornecedores em seu comprometimento com a extração 
da matéria prima, uso de recursos naturais e forma de realização de descarte de resíduos são 
algumas das medidas a serem adotadas, assim como, em alguns casos, a compensação de 
emissões de carbono. Consultas públicas acerca de processos judiciais que envolvam 
violações ambientais, ou até mesmo sobre autuações do IMABA, de empresas embargadas4. 
Já no pilar social, cada empresa deve avaliar as pautas que fazem sentido para seus 
objetivos e metas a serem alcançados. Incentivos a redução das desigualdades de gênero e 
oportunidades para populações carentes, negras, LGBTQIA+ e de pessoas com deficiência, 
benefícios ofertados aos colaboradores, impactos na comunidade inserida e principalmente 
o cumprimento mínimo da legislação trabalhista, são algumas das questões a serem 
avaliadas. 
A governança corporativa, por sua vez, é o pilar transversal aos demais e que apoia 
o desenvolvimento de toda a estrutura socioambiental organizacional. Avaliação sobre 
transparência, existência de código de conduta ética, políticas anticorrupção e de integridade, 
gestão de riscos, controles internos, suporte da alta administração à responsabilidade 
corporativa e à equidade entre todos os stakeholders. É importante destacar que, não existe 
um modelo padrão de governança corporativa, mas é certo que, quanto maior for a 
instituição, mais complexa será sua estrutura e, igualmente complexa sua governança 
(PORTO, 2020, p. 99). 
Não menos importante, o comprometimento das empresas em apoiar a Agenda 2030 
da ONU e implementar os Objetivos de Desenvolvimento Sustentável (ODS) no dia a dia de 
 
4 Consulta pública disponível em: 
<https://servicos.ibama.gov.br/ctf/publico/areasembargadas/ConsultaPublicaAreasEmbargadas.php> 
18 
 
 
 
trabalho, são formas de avaliar e monitorar o engajamento da cadeia de fornecimento com 
critérios relacionados à sustentabilidade corporativa. Para tanto, o desenvolvimento de 
procedimentos de due diligence, ou seja, de avaliação criteriosa dos fornecedores é prática 
que tem sido utilizada por diversas empresas e pode demonstrar os riscos de contratação de 
terceirizados. 
Na tradução literal, o termo “due diligence” pode ser entendido como Diligência 
Prévia. Sua origem remonta ao Decreto Americano “US Securities Act”, de 1933, que 
permitiu aos intermediários de negociações a avaliação prévia de informações e documentos 
dos comerciantes, para repasse de esclarecimentos aos investidores (VAZ; MORENO, 2021, 
p. 632). Nesse procedimento são analisadas questões jurídicas, financeiras, contábeis, 
previdenciárias e tecnológicas da empresa, com a possibilidade de critérios específicos, 
conforme a necessidade e objetivo do contratante. Esse procedimento dá segurança ao 
tomador de serviços, com avaliação dos riscos da contratação e a criação de eventual plano 
de ação para mitigação destes. No entanto, é importante destacar que não basta a diligência 
prévia. Essa avaliação da cadeia de fornecimento deve ser realizada de forma periódica, a 
fim de garantir que as condições avaliadas na contratação seguem sendo cumpridas e 
melhoradas. 
Alinhado a este propósito, a Alemanha aprovou, em julho de 2021, a Lei de 
Diligência nas Cadeias de Fornecimento. Tal legislação vigorará a partir de janeiro de 2023 
e impõe obrigação de procedimentos de due diligence visando a prevenir violações de 
direitos humanos das cadeias de fornecimento, corrigir práticas inadequadas e, inclusive, dar 
fim a práticas ilegais com a ruptura de relações negociais com empresas que descumpram 
exigências mínimas. A lei alemã dispõe sobre a necessidade de Compliance com enfoque 
para coibir práticas como trabalho infantil e análogo ao escravo, desrespeito à liberdade de 
associação, discriminações ou tratamentos desiguais baseados em raça, gênero, 
nacionalidade, idade, origem racial ou crenças religiosas, bem como prejuízos causados por 
poluição ambiental e violações de obrigações ambientais (SASSON; EMMERRICH, 2022). 
Ademais, a recente norma publicada pela ABNT, a PR 2030, traz conceitos, diretrizes 
e modelo de avalição para direcionamento das organizações em relação aos tópicos de ESG, 
e em sua extensa redação cita, por diversas vezes a relação com os fornecedores, a 
necessidade de fomentar a sustentabilidade na cadeia de suprimentos, a observância a outras 
normas regulatórias e a realização de procedimentos de due diligence como sugestões de 
19 
 
 
 
práticas que direcionam uma empresa para desenvolvimento destes critérios e a garantia de 
uma organização economicamente, socialmente e ambientalmente sustentável e responsável. 
O normativo trouxe exemplos de práticas para o relacionamento saudável com os 
fornecedores em toda a cadeia de suprimento, recompensando e incentivando fornecedores 
que trabalhem na prevenção, mitigação e remediação de impactos negativos. A norma deixa 
muito clara a necessidade de realização de análise de riscos dos fornecedores e outras partes 
da cadeia de suprimento, utilizando os critérios ESG, potencializando impactos positivos e 
mitigando aqueles negativos (ABNT, PR 2030, p. 102). 
Como exemplos de práticas, a PR 2030 recomenda a seleção de fornecedores 
utilizando critérios ESG como a observância de regras trabalhistas e demais legislações 
vigentes; selecionar, sempre que possível, empresas que realizem mensuração de seu 
impacto e sejam transparentes; incentivar o desenvolvimento técnico e gerencial de 
fornecedores locais para geração de valor nas comunidades das redondezas; implantar 
mecanismos de avaliação dos fornecedores; criar canal de comunicação específico para 
receber informações dos fornecedores; priorizar fornecedores que tenham práticas 
socialmente responsáveis; e incentivá-los a adotar compromissos públicos com o 
desenvolvimento sustentável, como a adesão ao Pacto Global (ABNT, PR 2030,p. 103). 
Para além das práticas prévias de contratação, é de suma importância monitorar 
constantemente a cadeia de fornecimento, realizando diligências para identificar se a 
empresa mantém as atividades sustentáveis e socialmente responsáveis. Observar e fomentar 
um canal de relatos de desvios de conduta também é fundamental, com investigações 
corporativas idôneas sobre eventuais denúncias, com punições não apenas aos 
colaboradores, mas também a terceiros envolvidos em atos que não sejam reflexos de ações 
sustentáveis. 
 
CONCLUSÃO 
 
Com o advento da legislação específica quanto a admissibilidade da terceirização de 
mão de obra, com a liberalidade de terceirizar até mesmo a atividade fim da empresa 
contratante, ou seja, mesmo que regulada a possibilidade da adoção da prática de 
terceirização, ainda assim, não é admissível a abdicação da administração daquele processo 
fornecedor. O alinhamento entre boas práticas da contratante deve se estender na busca dos 
seus parceiros comerciais. Ainda que as atividades vinculadas ao contrato de terceirização, 
20 
 
 
 
por vezes, podem ser exercidas em localidades diversas às dependências da contratante, o 
gerenciamento de riscos prévio, ou seja, avaliação de boas práticas e índices da empresa 
contratada é de extrema importância para proteção da empresa contratada. 
A globalização permitiu uma abertura exponencial das possibilidades de negócios, 
possibilitando, por exemplo, o remanejo de partes de um setor produtivo para fornecedores 
em outros países. Ainda assim, necessária a cautela da contratante na pactuação de contratos 
de terceirização, sopesando boas práticas, índices de performance e qualificação. 
As recentes crises de imagem, envolvendo diversos segmentos, especialmente quanto 
ao uso de mão de obra análoga à escravidão e o desconhecimento das empresas 
terceirizadoras sobre sua ocorrência, demonstra a ausência de gestão da cadeia de 
fornecimento por parte dessas empresas, o que não é mais admissível na atualidade. A falta 
de monitoramento da cadeia produtiva acarreta em perdas irreparáveis, visto que, as crises 
reputacionais afetam diretamente o negócio tomador do serviço terceirizado, com perda de 
clientela, que não quer mais se aliar a marcas que não representem seus ideias e crenças, 
acarretando boicotes e protestos contra essas empresas. 
Nesse sentido, nota-se a importância de avaliação da cadeia de suprimentos e da 
gestão adequada dos stakeholders, com adoção de práticas sustentáveis e socialmente 
responsáveis para evitar exposições negativas. O monitoramento constante da cadeia de 
fornecimento gera resultados de médio e longo prazo, garantindo, ou pelo menos, 
remediando impactos significativos aliados à reputação das empresas, que devem, a cada 
dia, observar práticas mais responsáveis e sustentáveis. 
 
REFERÊNCIAS 
 
ABNT. PR 2030. Prática Recomendada Ambiental, Social e Governança (ESG) – 
Conceitos, Diretrizes e Modelo de Avaliação e Direcionamento para organizações, 2022. 
 
BRASIL. Lei da Terceirização. 13.467/2017. Disponível em: 
<http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2017/lei/l13467.htm>. 
BRASIL. Lei sobre Trabalho Temporário. Lei 13.429/2017. Disponível em: 
<https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2017/lei/l13429.htm>. 
CHILD, John. Organização: Princípios e Prática Contemporâneas. 1ª edição. Editora 
Saraiva, 2012. E-book. ISBN 9788502142862. Disponível em: 
<https://app.minhabiblioteca.com.br/#/books/9788502142862/>. Acesso em: 26 fev. 2023. 
https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2017/lei/l13429.htm
21 
 
 
 
CORRÊA, Henrique L.; CAON, Mauro. Gestão de serviços: lucratividade por meio de 
operações e de satisfação dos clientes. [São Paulo/SP]: Grupo GEN, 2012. E-book. ISBN 
9788522479214. Disponível em: 
<https://app.minhabiblioteca.com.br/#/books/9788522479214/>. Acesso em: 26 fev. 2023. 
DOS NETO, João A.; ANJOS, Lucas Cardoso; JUKEMURA, Pedro K.; et al. ESG 
Investing: um novo paradigma de investimentos? Editora Blucher, 2022. E-book. ISBN 
9786555065619. Disponível em: 
<https://app.minhabiblioteca.com.br/#/books/9786555065619/>. 
 
GAULIA, Luiz Antonio. Relações públicas, comunicação empresarial, marca e reputação. 
In: ASHLEY, Patricia Almeida (Org.). Ética, Responsabilidade Social e Sustentabilidade 
nos negócios – (des)construindo limites e possibilidades. São Paulo: Saraiva Educação, 
2019. 
 
MALARA, Tamara Ginciene. ESG e o monitoramento desses valores na cadeia de 
fornecimento. In: NASCIMENTO, Juliana Oliveira (coord.). ESG O Cisne Verde e o 
Capitalismo de Stakeholder. A Tríade Regenerativa do Futuro Global. São Paulo: 
Thomson Reuters, 2021. 
MARTINEZ, Luciano. Curso de Direito do Trabalho. 11ª edição. São Paulo: Saraiva 
Educação, 2020. 
NEVES, Edmo C. Compliance Empresarial - o tom da liderança, 1ª edição. Editora 
Trevisan, 2018. E-book. ISBN 9788595450332. Disponível em: 
<https://app.minhabiblioteca.com.br/#/books/9788595450332/>. 
PORTO, Éderson Garin. Compliance & Governança Corporativa. Uma abordagem 
prática e objetiva. Lawboratory, Porto Alegre, 2020. 
SASSON, Jean Marc. EMMERICH, David. Gestão da cadeia de fornecimento, o 
calcanhar de Aquiles de toda agenda ESG. JOTA. Disponível em: 
<https://www.jota.info/opiniao-e-analise/colunas/regulacao-e-novas-tecnologias/gestao-da-
cadeia-de-fornecimento-o-calcanhar-de-aquiles-de-toda-agenda-esg-29102022?amp>. 
SENADOR, André. JOSGRILBERG, Fábio B. ESG, Reputação e “a razão da simpatia, do 
poder, do algo mais e da alegria. In: NASCIMENTO, Juliana Oliveira (coord.). ESG O 
Cisne Verde e o Capitalismo de Stakeholder. A Tríade Regenerativa do Futuro Global. 
São Paulo: Thomson Reuters, 2021. 
VAZ, Larissa S. Mocelin; MORENO, Laura Carréa de. ESG: Panorama da Due Diligence e 
M&A. In: NASCIMENTO, Juliana Oliveira (coord.). ESG O Cisne Verde e o Capitalismo 
de Stakeholder. A Tríade Regenerativa do Futuro Global. São Paulo: Thomson Reuters, 
2021. 
 
https://app.minhabiblioteca.com.br/#/books/9788595450332/
22 
 
 
 
O RIPD E GOVERNANÇA E REGULAÇÃO DA PROTEÇÃO DE DADOS 
PESSOAIS 
Ariel Augusto Lira de Moura1 
Bernardo Leandro Carvalho Costa2 
Leonel Severo Rocha3 
 
Resumo: O presente artigo objetiva analisar o Relatório de Impacto a Proteção de Dados na 
cultura das redes a partir do questionamento sobre que de pontos pode-se observar de modo 
a conectá-lo à um contexto maior de transformações da sociedade contemporânea. A 
metodologia utilizada é a pragmático-sistêmica de Leonel Severo Rocha, unida a técnica de 
pesquisa bibliográfica. De início, disserta-se sobre os modos de governança e regulação da 
proteção de dados pessoais diante da cultura das redes. Após, observa-se o Relatório de 
Impacto à Proteção de Dados Pessoais a partir de sua inspiração regulatória europeia. 
Conclui-se, preliminarmente, que esse instrumento é, em realidade, parte do processo de 
reestruturação dos modos de regulação e governança das e nas organizações e que o foco em 
sua obrigatoriedade não revela sua potencialidade para o re-desenho das organizações e a 
efetivação do direito fundamental a proteção de dados. 
Palavras-chave: Governança. Regulação. Proteção de Dados Pessoais. Cultura das Redes. 
Relatório de Impacto a Proteção de Dados (RIPD). 
 
1 INTRODUÇÃO 
A proteção de dados pessoais é um dos temas centrais para se pensar as novas 
configurações da sociedade contemporânea. No Brasil, isso se reforça pela entrada em vigor 
da Lei Geral de Proteção de Dados Pessoais, que se insere no contexto de uma nova geração 
de investidas regulatórias ao redor do globo e passa a reorganizar o contexto dos processos 
jurídicos, políticos, econômicos diante da crescente digitalização e aplicação de novas 
tecnologias. 
Como um tema “prático” atual no contexto brasileiro, têm-se a necessidade de 
“adequação” à essa nova lei em conjunto com todo o arcabouço regulatório em constante 
mutação.O Relatório de Impacto a Proteção de Dados Pessoais, nesse sentido, apresenta-se 
como um instrumento-chave. Diante disso, questiona-se sobre a partir de que pontos pode-
 
1 Advogado (OAB/SP nº 480.161). Data Protection Officer e Information Security Officer (EXIN). Mestrando 
em Direito Público e Graduando em Filosofia pela UNISINOS, bolsista PROEX/CAPES, membro do Grupo 
de Pesquisa Teoria do Direito (CNPq). E-mail: ariel.moura@digitalattractor.com.br. 
2 Advogado (OAB/RS nº 108.164). Delegado da ESA (Escola Superior da Advocacia) da OAB/RS. 
Doutorando em Direito Público (UNISINOS e Paris 1 Panthéon-Sorbonne), bolsista PROEX e PDSE CAPES, 
membro do Grupo de Pesquisa Teoria do Direito (CNPq). E-mail: bernardo@digitalattractor.com.br. 
3 Professor titular UNISINOS e URI. Doutor pela École des Hautes études en Sciences Sociales. Bolsista de 
Produtividade em Pesquisa do CNPq – Nível 1D. Coordenador do Grupo de Pesquisa Teoria do Direito 
(CNPq). Lattes: http://lattes.cnpq.br/3283434447576859. E-mail: leonel@unisinos.br. 
23 
 
 
 
se observar o relatório de impacto de modo a conectá-lo à um contexto maior de 
reestruturação da sociedade na cultura das redes. Objetiva-se, dessa forma, analisar o 
Relatório de Impacto a Proteção de Dados na cultura das redes. 
A metodologia utilizada é a pragmático-sistêmica de Leonel Severo Rocha, unida a 
técnica de pesquisa bibliográfica. (ROCHA, 2013). De início, disserta-se sobre os modos de 
governança e regulação da proteção de dados pessoais diante da cultura das redes. Após, 
observa-se o Relatório de Impacto à Proteção de Dados Pessoais a partir de sua inspiração 
regulatória europeia. Conclui-se, preliminarmente, que esse instrumento é, em realidade, 
parte do processo de reestruturação dos modos de regulação e governança das e nas 
organizações e que o foco em sua obrigatoriedade é apenas o início de desenvolvimento de 
uma cultura de proteção de dados pessoais. 
2 NOTAS SOBRE REGULAÇÃO E GOVERNANÇA DA PROTEÇÃO DE DADOS 
PESSOAIS 
De início, ressalta-se que a potencialidade da União Europeia ser o grande modelo 
de regulação da proteção de dados. Para a Lei Geral de Proteção de Dados (LGPD) brasileira, 
a justificativa se reforça dada a clara inspiração no modelo europeu do RGPD (Regulamento 
Geral de Proteção de Dados). (UNIÃO EUROPEIA, 2016) (BRASIL, 2018). 
Adiciona-se a isso as décadas (histórico) de desenvolvimento teórico e prático, que 
permitiu a consolidação de inúmeros mecanismos de proteção de dados, e, ainda, pelo fato 
de o bloco ser um excelente objeto de estudo para a regulação e governança em rede, já que 
se caracteriza por uma simbiose de dimensões – “semi-hierarquia” jurídica (regional e 
nacional); “triangulação” política entre Conselho, Comissão e Parlamento; e infraestrutura 
administrativa “hybrida” de estruturas de governança. (KJAER, 2019). 
Ainda a título de introdução, têm-se que, no Brasil, a proteção de dados fora 
reconhecida como um direito fundamental (autônomo), com enfoque de fundamento na 
autodeterminação informacional, seguindo o exemplo alemão-europeu, pelo Supremo 
Tribunal Federal no “caso IBGE”, sendo positivada, posteriormente, por meio da Emenda 
Constitucional 115. (BRASIL, 2020; 2022a). 
A revelia da tradição norte-americana, na Europa, desde a Carta de Direitos 
Fundamentais (artigo 8º), consolidou-se o entendimento sobre a independência do direito à 
24 
 
 
 
proteção de dados em relação à privacidade (como uma “liberdade positiva”, e não 
“negativa”). (UNIÃO EUROPEIA, 2000). 
A “autodeterminação informacional”, nessa perspectiva, deve ser entendida como 
um direito procedimental de “controle” das pessoas sobre o fluxo de seus dados no meio em 
que eles circundam, já que eles (os dados) figuram, hoje, como o elemento primordial de “tradução” 
(construção) da subjetividade (“personalidade”) nos meios digitais. (VESTING, 2018a). 
(NISSENBAUM, 2010). 
Para além da reestruturação da sociedade-de-organizações e dos meios de 
comunicação eletrônicos (de massa) – que reorganizaram a sociedade liberal à grupos-
plurais e passaram a introduzir a especialidade técnica dos conhecimentos – a internet (e 
suas redes), possibilitada pelo computador (e as “novas tecnologias”), passa a figurar cada 
vez mais como o Outro com o qual o indivíduo se relaciona. (VESTING, 2016b). 
Por essa razão, deve-se observar a estruturação de novos modos de governança e 
regulação da proteção de dados pessoais. No RGPD, a dimensão autorregulatória da proteção 
de dados por meio das organizações privadas, como medidas de compliance, seguem o 
princípio da accountability, previsto no seu artigo 5(2). Esse princípio, lido em conformidade 
com o artigo 32 (segurança do tratamento de dados), consubstancia diversos outros 
mecanismos (cor)regulatórios, como os códigos de conduta (artigo 40), os mecanismos de 
certificação do nível de proteção de dados pessoais (artigo 42-43) e, tema principal, aqui, o 
relatório de impacto a proteção de dados (artigo 35), entendido como uma medida prévia 
para tratamentos de alto risco a lesão aos direitos dos titulares. (UNIÃO EUROPEIA, 2016). 
Fala-se, nesse sentido, em um modelo de autorregulação regulada, na qual a 
autorregulação das organizações segue parâmetros procedimentais estabelecidos na 
regulação estatal. A regulação da proteção de dados segue, nesse sentido, uma forma de 
direito “proceduralizado”, no qual “[...] procedimentos sejam criados para compreender a 
incerteza e gerar conhecimento sobre a persecução de certos objetivos e interesses públicos 
estabelecidos”. (ABBOUD; CAMPOS, 2018, p. 35). 
O principal direcionamento deste modo de regulação é encontrar parâmetros para 
“[...] regras de monitoramento e de avaliação de resultados mais específicas, de estímulo de 
geração e de mantimento de conhecimento novo [...]”. (LADEUR, 2016, p. 161). É que na 
base das problemáticas que envolvem a governança e regulação da proteção de dados 
25 
 
 
 
pessoais está na ausência de um conhecimento comum (compartilhado) e na incapacidade 
de se centralizar as respostas em apenas um “ponto”. (VESTING, 2016a). 
Após a constatação da “morte do conhecimento comum”, diante dos pressupostos 
técnicos e cognitivos da cultura das redes, e a correlata dependência para com conhecimentos 
especializados, pode-se apontar, como direcionamento de resposta, justamente a busca pela 
(re)construção (constante) de sentidos comuns. Isto pode-se realizar via experimentações de 
novas formas de regulação, orientadas pelos diretos fundamentais, e projetadas 
conjuntamente com a (re) organização dos modos de governança (em rede). Nessa 
perspectiva, explica-se que: 
O campo das novas tecnologias complexas [...] se baseia em um tipo de 
conhecimento que se distanciou do conhecimento geral acessível à experiência, 
[e] coloca, nesse sentido, limites à capacidade de autocorreção espontânea de 
decisões erradas. Isso justifica, especialmente, a criação de deveres 
procedimentais e deveres de prestar informações que, por sua vez, devem ser 
simultaneamente ancorados na atuação da auto-organização do sistema técnico. 
(LADEUR, 2016, p. 160) 
Isso quer dizer que o direito na cultura das redes, diante das novas tecnologias e dos 
correspondentes novos modos de organização das práticas sociais, não pode garantir a 
eficácia do direito à proteção de dados pessoais, assim como não o pode o Estado, de modo 
isolado. O princípio da accountability orienta, neste sentido, não só uma série de 
mecanismos regulatórios, como acima descritos, como também representa um ponto de 
observação sobre o modo de “governar” a proteção de dados pessoais. 
A fiscalização e as pressões exercidas para que as empresas “se adequem” às 
legislações que tratam de dados pessoais não vem apenas de órgãos estatais com poderes 
específicos para tal função – como a Agência Nacional de Proteção deDados Pessoais no 
Brasil ou as “autoridades independentes” na Europa – como também de outras empresas – 
por exemplo, de diversas organizações que fazem parte de uma cadeia de suprimentos – e 
pelos próprios titulares de dados. 
Ademais, destaca-se que a Lei Geral de Proteção de Dados (2018) brasileira têm 
sua origem em um extenso debate multissetorial (governo, academia, sociedade civil, 
iniciativa privada) desde a primeira década deste século, assim como o Marco Civil da 
Internet (2014). Há, nesse sentido, uma transdisciplinaridade que é inerente ao próprio 
26 
 
 
 
desenvolvimento da governança não só brasileira como global da internet. (ROCHA; 
MOURA, 2020). 
Contudo, a promulgação e entrada em vigor da LGPD se encontra em um contexto 
global de “convergência” de processos (autor)regulatórios jurídicos, políticos e econômicos 
globais para enfrentamento das novas dinâmicas da sociedade e economia movida à dados, 
algo que remete sua origem ao processo transnacional de construção de regulamentações 
sobre o tema impulsionado pela Organização para a Cooperação e Desenvolvimento 
Econômico (OCDE) desde o século passado com seus recentes “estímulos” ao governo 
brasileiro com relação à matéria. (MOURA; ROCHA, 2022b). 
Da complexidade envolvida entre a conexão entre diversos atores envolvidos em 
um contexto de governança global da proteção de dados e a sua inerente 
transdisciplinaridade, destaca-se, nessa sequência, a dimensão técnica (e tecnológica) de sua 
governança e regulação. No direito europeu, pode-se citar o exemplo da Seção 2 do RGPD 
(“Segurança dos dados pessoais”) e, no direito brasileiro, na Seção I do Capítulo VII da 
LGPD (Da Segurança e do Sigilo de Dados”). (UNIÃO EUROPEIA, 2016) (BRASIL, 
2018). 
Em ambas as legislações se prescreve ao responsável pelo tratamento de dados 
pessoais (“controlador”) e ao subcontratante (“operador”) a aplicação de medidas técnicas e 
organizativas (“administrativas”) para garantir o tratamento inadequado ou ilícito. Na 
LGPD, essas prescrições estão no capítulo junto às boas práticas e governança e, no RGPD, 
junto aos procedimentos de notificação da violação às autoridades de controles e da 
comunicação aos titulares de dados – os dois graus da escala de impacto de incidentes de 
dados pessoais aos direitos e liberdades dos titulares. (KUNER; BYGRAVE; DOCKSEY, 
2020). (BRASIL, 2018). 
Nessa sequência, têm-se, no artigo 32 do RGPD a expressa menção de que as 
medidas são destinadas a “assegurar um nível de segurança adequado ao risco”. Há um 
extenso debate sobre possíveis tensões entre a perspectiva de regulação do risco (e 
“risquificação”) na proteção de dados pessoais (e suas conexões com a regulação ambiental 
e das novas tecnologias) e a observação centrada nos direitos fundamentais (da construção 
alemã-europeia da auto-determinação informativa). (ZANATTA, 2017). (MENKE, 2019). 
27 
 
 
 
Contudo, neste momento, quer-se ressaltar que a interrelação entre a segurança da 
informação e a gestão do risco mostram a dimensão técnica da governança e regulação de 
dados pessoais. Há uma necessária complementariedade entre as observações jurídicas (e 
dos juristas) com as observações das ciências da tecnologia (e os cientistas) para o necessário 
aprendizado recíproco e enfrentamento das problemáticas envoltas à sociedade em rede. 
(GRABER, 2021). Algo que deve ser incorporado à reflexão sobre a proteção de direitos 
fundamentais – e à própria teoria constitucional. (MOURA; ROCHA, 2022a). (VESTING, 
2016b). 
Neste ponto, encontra-se uma abertura para introdução de inúmeros padrões e 
frameworks globais que estruturam o contexto técnico-organizacional da proteção de dados 
pessoais. Na perspectiva aqui desenvolvida, eles representam justamente formas de 
conhecimentos técnicos, práticos e organizacionais necessários à regulação e governança da 
proteção de dados pessoais diante dos pressupostos técnicos e cognitivos da cultura das 
redes. (VESTING, 2018). 
Isso porque na atual cultura das redes, as “forças” que orientam as transformações 
sociais também dependem, não só de conhecimentos teóricos, como antes já lecionava 
Daniel Bell (1976), mas também incluem uma espécie de “[...] conhecimento implícito que 
é inconscientemente assimilado em contextos práticos e passado horizontalmente entre as 
pessoas, e.g. programadores”.4 (VESTING, 2022, p. 185, tradução nossa) 
Com relação à gestão de risco, de um modo geral, para as organizações, e, de um 
modo específico, para a segurança da informação, têm-se, por exemplo, as normas ISO/IEC 
27005:2022 e ISO/IEC 31000:2018, que fazem parte da estruturação de um sistema de 
gestão de segurança da informação (ISO/IEC 27001:2022), assim como do sistema de gestão 
da privacidade (ISO/IEC 27701:2019). (ISO, 2022). (KYRIAZOGLOU, 2016). (ITGP, 
2020). 
A ISO/IEC 27701:2019, de gestão da privacidade, por exemplo, é reconhecida não 
só no âmbito europeu, como também no Brasil a partir do ressente entendimento consolidado 
pelo TCU no TC 039.606/2020-1 – com o diagnóstico do grau de implementação da lei geral 
de proteção de dados na administração pública federal. (BRASIL, 2022b). 
 
4 “[...] implicit knowledge that is unconsciously assimilated in practical contexts and passed on horizontally 
between people, e.g. programmers”. 
28 
 
 
 
Ressalta-se que esses standards adentram a regulação e governança do fluxo global 
de dados pessoais, principalmente após os julgamentos dos casos Schrems pelo Triubnal de 
Justiça da União Europeia, no qual invalidou-se os acordos de transferências internacionais 
entre União Europeia e Estados Unidos. (MOURA; ROCHA, 2022b). 
Quando não há uma decisão de adequação que autorize a transferência internacional 
de dados entre países e regiões com legislações protetivas “equivalente”, a certificação de 
empresas nessas normas técnicas garantem a adoção de “medidas suplementares” para a 
proteção do direito à privacidade. (EDPB, 2021). 
No contexto brasileiro, em que ainda não se sabe sobre a regulação de esses e outros 
mecanismos para transferência internacional, como as denominadas “cláusulas contratuais-
padrão” e as “normas corporativas vinculantes”, essas certificações são um bom ponto de 
ancoragem para garantir que os dados estão sendo protegidos quando transferidos – ainda 
mais se se pensar que boa parte das operações de tratamento de dados pessoais, hoje, 
compreendem a transferência internacional, desde a contratação de serviços em nuvem até 
questões mais simples relacionadas ao uso de serviços de streaming e videochamadas. 
Por fim, além das normas ISO, destaca-se, ainda que existem diversos outros 
frameworks que orientam a construção da governança da Tecnologia e da Informação (e.g. 
COBIT 2019) e/ou da governança de dados (e.g. DAMA-DMBOK) nas organizações, sem 
as quais a proteção de dados pessoais não pode ser facilmente orquestrada, ainda mais se se 
pensar que eles agregam valor (econômico) aos processos de sustentação das legislações 
pelo fato das empresas se reestruturarem em acordo com os novos modos de geração de lucro 
na economia de dados. 
3 O RELATÓRIO DE IMPACTO À PROTEÇÃO DE DADOS PESSOAIS EM 
PERSPECTIVA 
As autoridades independentes têm um papel fundamental diante das características 
acima descritas sobre a regulação e governança da proteção de dados pessoais. A partir 
desses tipos de órgãos públicos (e.g. agência reguladoras Autoridade Nacional de Proteção 
de Dados e ANS) pode-se estruturam uma rede na qual o Estado regulamenta os pressupostos 
da (autor)regulação de organizações (e.g. hospitais, clínicas) e os modos de governança de 
setores específicos (e.g. saúde) com relação à proteção de dados. 
Isso não só para consolidação de conhecimentos especificamente jurídicos, como 
também para a sua interlocução com os conhecimentos técnicos necessários à atuação de 
29inúmeros outros tipos de organizações. Veja-se, por exemplo, as Guidelines on Data 
Protection Impact Assessment (DPIA) and determining whether processing is “likely to 
result in a high risk” for the purposes of Regulation 2016/679 do Working Party 29. 
(EUROPA, 2017). 
As situações obrigatórias para o DPIA segundo o artigo 35(3) do RGPD são: 
a) Avaliação sistemática e completa dos aspetos pessoais relacionados com 
pessoas singulares, baseada no tratamento automatizado, incluindo a definição de 
perfis, sendo com base nela adotadas decisões que produzem efeitos jurídicos 
relativamente à pessoa singular ou que a afetem significativamente de forma 
similar; 
b) Operações de tratamento em grande escala de categorias especiais de dados a 
que se refere o artigo 9º, nº 1, ou de dados pessoais relacionados com condenações 
penais e infrações a que se refere o artigo 10º; ou 
c) Controlo sistemático de zonas acessíveis ao público em grande escala. 
Porém, as Guidelines não apenas ressaltam que o rol não é taxativo, como 
recomendam que ele seja feito caso exista dúvida sobre determinada atividade de tratamento, 
já que é um dos instrumentos chaves para o compliance, mas também elencam os 9 critérios 
para serem levados em consideração para avaliação do “elevado risco”. Esses 9 critérios 
acabam por superar o engessamento das denominadas Black and White Lists e os exemplos 
dados pré-estruturam as tomadas de decisões nas organizações. 
O Relatório de Impacto à Proteção de Dados Pessoais, desta forma, apresenta-se 
como um procedimento que deve ser utilizado pelas organizações em um contexto técnico-
organizacional de governança mais amplo. Dentro de um “projeto” de “adequação”, 
pensando-se na noviça situação brasileira, esse relatório é feito apenas após as grandes 
atividades de desenhar os fluxos e realizar o mapeamento dos dados nas organizações. 
(KYRIAZOGLOU, 2016). (ITGP, 2020). Contudo, ele vai além da dimensão de “projeto” 
para ser um mecanismo de constante controle constante diante de mudanças – dentro de um 
sistema de governança efetivo, o antigo ciclo de Deming (PDCA) da melhoria contínua ainda 
se aplica sem grandes modificações. (DEMING, 1990). 
Desta forma, o próprio planejamento do projeto, antes de se chegar a esta etapa, 
compreende a movimentação de diversos tipos de conhecimentos na preparação para as 
mudanças desejadas. A pré-analise de leis, regulamentos e normas, a análise do negócio e o 
levantamento dos principais processos gerenciais, o levantamento de ativos de informação e 
a estruturação da comunicação com todas as partes interessadas (“steakholders”), a 
30 
 
 
 
exemplos, são fases anteriores ao próprio relatório que preparam o caminho para uma 
transformação da organização em diversos outros sentidos para além da proteção de dados 
pessoais – desde questões relacionadas a inovação, eficiência e redução de custos 
operacionais até a mudança de estratégias mais amplas, como àquelas relacionadas ao ESG. 
Destaca-se que o Relatório de Impacto a Proteção de Dados (RIPD) é uma inovação 
jurídica na legislação brasileira e inspira-se no DPIA – Data Protection Impact Assessment, 
o qual, por sua vez, remonta a ideia de (co)regulação do risco no direito ambiental. Contudo, 
diferentemente do exemplo Europeu, a própria LGPD não prescreve de forma sistemática 
este tipo de relatório. 
Em seu artigo 5º, inciso XVII, a lei brasileira o define como uma documentação do 
controlador de dados que “contém a descrição dos processos de tratamento de dados pessoais 
que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, 
salvaguardas e mecanismos de mitigação de risco”. Não se prevê, aqui, a questão do 
“elevado risco”. Apenas que este é um documento que poderá ser exigido pela ANPD (artigo 
38, caput e parágrafo único, LGPD), principalmente nos casos de tratamentos de dados com 
fundamento no legítimo interesse (artigo 10, § 3º, LGPD), e que deve conter: 
“no mínimo, a descrição dos tipos de dados coletados, a metodologia utilizada para 
a coleta e para a garantia da segurança das informações e a análise do controlador 
com relação a medidas, salvaguardas e mecanismos de mitigação de risco 
adotados”. (BRASIL, 2018). 
Contudo, diante de todos os princípios elencados no artigo 6º da LGPD, 
principalmente o da “transparência” e da “responsabilização e prestação de contas”, ele é um 
instrumento que vai além do cumprimento à legislação, como já ressaltado. Nesse sentido, 
explica-se que: 
[...] o relatório de impacto à proteção de dados na LGPD vem da organização 
sistemática das operações de tratamento de dados, a fim de viabilizar a 
visualização de processos e procedimentos internos, bem como o tratamento de 
dados existentes, para que seja possível através dele realizar a prevenção de riscos 
e a mitigação desses, caso eles já sejam existentes. (GOMES, 2019, p. 175-176). 
Ele é direcionado ao diagnóstico e estruturação organizacional da proteção de dados, 
de forma que a “prevenção” de riscos (e.g. regulatório-jurídicos) tem um sentido mais 
profundo no modo de tratamento das incertezas futuras que (re)formulam os parâmetros de 
governança das organizações em uma sociedade movida à dados. O relatório, que informa 
31 
 
 
 
tomadas de decisões específicas sobre, por exemplo, quais controles técnicos e 
organizacionais são necessários para proteção de dados, tornam-se premissas para futuras 
decisões, momento em que, por exemplo, os problemas são diferentes ou já se reformulou 
os parâmetros teóricos e práticos. 
Pode-se usar a forma risco/perigo de Luhmann, nesse sentido, para explicar que o 
risco das tomadas de decisão denota uma reintrodução interna desta distinção para questões, 
por exemplo, de “gerenciamento de riscos”, em relação as consequências futuras da própria 
decisão, e em relação ao perigo, danos externos, isto é, referente as “causas” ambientais. 
(LUHMANN, 1993). O risco, desse modo, não adentra a descrição da sociedade como um 
todo, mas apenas como uma forma (risco/perigo) de observação extremamente útil para a 
tomada de decisão em uma sociedade indeterminada. (ROCHA; AZEVEDO, 2012). 
O sucesso das organizações está justamente em como tratar as incertezas, 
especificando-as (e.g. proteção de dados, segurança da informação, governança), reduzindo 
seus custos (e.g. análise de custo/benefício para implementação de medidas só é possível 
após conhecer e especificar os “riscos”) e, paradoxalmente, aumentando-a (e.g. como é claro 
na dispendiosa construção de um RIPD). (LUHMANN, 2010). 
O relatório, inserido em um contexto mais complexo de governança, como já 
referido, pode-se servir como um “epicentro” que desencadeia não só reestruturações 
internas – e.g. criação de novas funções, como o DPO/Encarregado de Dados e o 
CISO/Diretor de Segurança da informação, ou até remodelação de uma “gestão por 
processos” – mas tem o efeito de (re)estruturar o ambiente externo das organizações (social, 
psíquico/indivíduo e natural). 
O design da organização é justamente uma categoria luhmanniana que descreve 
como a organização consegue manter sua autopoiese (de suas decisões) em condições de 
“fascinação”, “orientação” e “compromisso” dos sistemas psíquicos que percebem seu 
“desenho” como uma característica perceptível do sistema social. 
Na hodierna cultura das redes, o “re-desenho” é orientado pela relação entre a 
ampliação de tecnologias de governança e gestão e a adoção de formas mais “sutis” de 
comunicação organizada. Mas o ganho comunicacional e tecnológico só tem seu sucesso se 
consegue incluir a percepção. Isso fica claro quando se pensa na relação entre o privacy (and 
security) by design e o correspondente aumento de capacidade de inclusão (“participação” e 
32 
 
 
 
“controle”) dos indivíduos (“titulares de dados”) na (auto)regulação (regulada) e 
(auto)governança (“responsável”) dos processos comunicacionais. (CAVOUKIAN,2006). 
Assim, ressalta-se que essa (re)organização só é conquistada, hoje, nas organizações, 
mediante: a) a mudança dos pontos de referência, da “hierarquia” e o “ambiente” para 
“redes” e “projetos”; b) a capacidade de lidar com os “riscos” por meio de conexões em 
redes; c) e a de se amparar em um tipo de “inteligência” que, para além dos tradicionais 
conhecimentos especializados (teórico e prático), seja capaz de gerar melhores conexões 
entre o interno e o externo. (BAECKER, 2006). 
4 CONSIDERAÇÕES FINAIS 
A proteção de dados é uma temática central para se pensar as problemáticas da atual 
cultura das redes. Os novos modos de governança (em rede) e (autor)regulação (regulada) 
contemporâneo, quando aplicados à temática da proteção de dados pessoais, mostram toda 
a complexidade que a efetividade desse direito carrega. Revela-se, nesse sentido, não só a 
intricada relação entre processos políticos, jurídicos e econômicos globais e digitais, como, 
também, a dimensão técnica, prática e organizacional da proteção de dados. O Relatório de 
Impacto a Proteção de Dados Pessoais pode ser observado como um exemplo de “epicentro” 
da reformulação da regulação e governança das questões atuais, no qual a prestação de contas 
e a gestão integrada de riscos (de negócios, da informação e dos dados) em sistemas de 
governança nas organizações, em um contexto de reestruturação em rede de diversos atores, 
pode sustentar não só a proteção de dados pessoais como diversos outros direitos. 
REFERÊNCIAS 
ABBOUD, Georges; CAMPOS, Ricardo. A autorregulação regulada como modelo do 
Direito proceduralizado: regulação de redes sociais e proceduralização. In: ABBOUD, 
Georges; NERY JUNIOR, Nelson; CAMPOS, Ricardo (coord.). Fake news e regulação. 
São Paulo: Thomson Reuters Brasil, 2018. p. 19-39. 
BAECKER, Dirk. The design of organization in society. In: SEIDL, David; BECKER, Kai 
Helge. Niklas Luhmann and organization studies. Frederiksberg: Copenhagen Business 
School Press, 2006. p. 191-204. 
BELL, Daniel. The coming of post-industrial society: a venture in social forecasting. [S.l]: 
Basic Books, 1976. 
BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados (LGPD). 
Brasília, DF: Presidência da República, 2018. Disponível em: 
<http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm>. Acesso em: 
10 nov. 2022. 
33 
 
 
 
BRASIL. [Constituição (1988)]. Emenda Constitucional n° 115, de 10 de fevereiro de 
2022. Altera a Constituição Federal para incluir a proteção de dados pessoais entre os direitos 
e garantias fundamentais e para fixar a competência privativa da União para legislar sobre 
proteção e tratamento de dados pessoais. Brasília, DF: Presidência da República, 2022a. 
Disponível em: 
<http://www.planalto.gov.br/ccivil_03/constituicao/Emendas/Emc/emc115.htm>. Acesso 
em: 10 nov. 2022. 
BRASIL. Tribunal de Contas da União. TC 039.606/2020-1. Grupo I – Classe V – Plenário. 
Relator: Augusto Nardes. Data da Sessão: 15/6/2022b – Ordinária. Disponível em: 
<https://portal.tcu.gov.br/data/files/B4/21/FE/38/5F9618102DFE0FF7F18818A8/038.172-
2019-4-AN%20-%20auditoria_Lei%20Geral%20de%20Protecao%20de%20Dados.pdf>. 
Acesso em 10 nov. 2022. 
BRASIL. Supremo Tribunal Federal. Referendo na Medida Cautelar na Ação Direta de 
Inconstitucionalidade 6.390. Medida Cautelar em Ação Direta De Inconstitucionalidade. 
Referendo. Medida Provisória nº 954/2020. Emergência de saúde pública de importância 
internacional decorrente do novo coronavírus (Covid-19). Compartilhamento de dados dos 
usuários do serviço telefônico fixo comutado e do serviço móvel pessoal, pelas empresas 
prestadoras, com o Instituto Brasileiro de Geografia e Estatística (IBGE). Fumus boni juris. 
Periculum in mora. Deferimento. Requerente: Partido Socialismo e Liberdade (P-SOL). 
Intimado: Presidente da República. Relatora: Ministra Rosa Weber, 7 de maio de 2020. 
Disponível em: <https://in.gov.br/en/web/dou/-/decisoes-259921921>. Acesso em: 10 nov. 
2022. 
CAVOUKIAN, Ann. The 7 Foundational Principles Implementation and Mapping of Fair 
Information Practices. Information & Privacy Commissioner. Nov. 2006. Disponível em: 
<https://bit.ly/3Ws2icD>. Acesso em: 10 nov. 2022. 
DEMING, W. E. Qualidade: a revolução da administração. São Paulo: Marques Saraiva, 
1990 
EUROPEAN UNION. Article 29 Data Protection Working Party (WP29). Guidelines on 
Data Protection Impact Assessment (DPIA) and determining whether processing is 
“likely to result in a high risk” for the purposes of Regulation 2016/679. 4 Oct. 2017. 
Disponível em: <https://ec.europa.eu/newsroom/article29/items/611236>. Acesso em: 10 
nov. 2022. 
EUROPEAN UNION. European Data Protection Board (EDPB). Recommendations 
01/2020 on measures that supplement transfer tools to ensure compliance with the EU 
level of protection of personal data, 18 June 2021. Disponível em: 
<https://edpb.europa.eu/system/files/2021-
06/edpb_recommendations_202001vo.2.0_supplementarymeasurestransferstools_en.pdf>. 
Acesso em: 10 nov. 2022. 
GOMES, Maria Cecília Oliveira. Relatório de impacto à proteção de dados. Revista do 
Advogado, São Paulo, n. 144, nov. 2019. p. 174-183. Disponível em: 
<https://aplicacao.aasp.org.br/aasp/servicos/revista_advogado/paginaveis/144/173/index.ht
ml#zoom=z>. Acesso em: 10 out. 2022 
34 
 
 
 
GRABER, Christoph B. How the law learns in the digital society. Law, Technology and 
humans, v. 3, n. 2, 2021. Disponível em: <https://lthj.qut.edu.au/article/view/1600>. Acesso 
em: 10 nov. 2022. 
INTERNATIONAL ORGANIZATION FOR STANDARDIZATION (ISO). Information 
security, cybersecurity and privacy protection. Disponível em: 
<https://www.iso.org/committee/45306/x/catalogue/p/1/u/0/w/0/d/0>. Acesso em: 10 nov. 
2022. 
IT GOVERNANCE PRIVACY TEAM (ITGP). EU General Data Protection Regulation 
(GDPR): an implementation and compliance guide. 4. ed. Cambridgeshire: IT Governance 
Publishing, 2020. 
KJAER, Poul. Three-dimensional conflict of laws in Europe. Zentrum für Europäische 
Rechtspolitik (ZERP), Universität Bremen, 1 Mar. 2019. Disponível em: 
<https://papers.ssrn.com/sol3/papers.cfm?abstract_id=1489939>. Acesso em: 10 nov. 2022. 
KUNER, Christopher; BYGRAVE, Lee; DOCKSEY, Christopher. The EU General Data 
Protection Regulation (GDPR): a commentary. Oxford: Oxford University Press, 2020. 
KYRIAZOGLOU, John. Data protection and privacy management system: data 
protection and privacy guide. v. 1. [S.l]: bookboon, 2016. 
LADEUR, Karl-Heinz. Crítica da Ponderação na Dogmática dos Direitos Fundamentais: 
apelo para uma renovação da teoria liberal dos direitos fundamentais. In: CAMPOS, Ricardo 
(org.). Crítica da ponderação: método constitucional entre dogmática jurídica e a teoria 
social. São Paulo: Saraiva, 2016. p. 130-225. 
LUHMANN, Niklas. Risk: a sociological theory. Berlin; New York: De Gruyter, 1993. 
LUHMANN, Niklas. Organización y decisión. Ciudad del México: Universidad 
Iberoamericana; Herder, 2010. 
MENKE, Fabiano. A proteção de dados e o direito fundamental à garantia da 
confidencialidade e da integridade dos sistemas técnico-informacionais no direito alemão. 
Revista Jurídica Luso-Brasileira, Lisboa, n. 1, 2019. p. 781-809. Disponível em: 
<https://www.cidp.pt/revistas/rjlb/2019/1/2019_01_0781_0809.pdf>. Acesso em: 10 nov. 
2022. 
MOURA, Ariel Augusto Lira de; ROCHA, Leonel Severo. Direitos Fundamentais e redes 
sociais: Da moderação de conteúdo no Facebook ao Direito na cultura das redes. Revista de 
Direito Mackenzie, São Paulo, v. 16, n. 2, out. 2022a. Disponível em: 
<https://bit.ly/3Nu5hgv>. Acesso em: 1 nov. 2022. 
MOURA, Ariel Augusto Lira de; ROCHA, Leonel Severo. Governança e regulação do fluxo 
de dados pessoais: observando os casos Schrems (TJUE). Revista de Direito, Governança 
e Novas Tecnologias, v. 8, n. 1, jan/jul. 2022b. p. 21 – 46. Disponível em: 
<https://www.indexlaw.org/index.php/revistadgnt>. Acesso em: 10 nov.