O que é essencial no plano de adequação à LGPD?

Prévia do material em texto

www.opiceblum.com.br | contato@opiceblum.com.br 
Al. Joaquim Eugênio de Lima, 680 - 1º andar Jardim Paulista - 01403-000 - São Paulo, SP, Brasil 
Telefone: +55 (11) 2189-0061 
 
Compliance e LGPD: plano de adequação como 
ferramenta de mitigação de riscos legais 
O que é essencial em todo plano de adequação à Lei Geral de Proteção de Dados? 
 
Rony Vainzof 
Caio César Carvalho Lima 
Maurício Antonio Tamer 
 
Estar em compliance. Aí está um dos maiores desafios contemporâneos de qualquer 
empresa no Brasil. O compliance e, dentro de tal ideia a adoção de políticas 
anticorrupção, tem ganhado cada vez mais relevância nos cenários nacional e 
internacional, especialmente diante de uma mudança de percepção social pela 
necessidade de se respeitar o sistema legal, principalmente pela compreensão dos 
prejuízos sociais crescentes e decorrentes da ausência das melhores práticas de 
conformidade. 
 
Essa preocupação não é recente e historicamente encontra base em agendas que se 
ajustam (combate ao crime organizado, tráfico internacional, atos de corrupção, entre 
outras).¹ Engana-se, porém, quem compreende o compliance apenas como medidas de 
mitigação de riscos atrelados às práticas de corrupção. Em verdade, trata-se de 
verdadeira mudança cultural multidisciplinar nas empresas envolvendo as áreas 
jurídicas, de tecnologia e segurança da informação, recursos humanos, marketing, 
entre outras, bem como os ideais de ética empresarial e responsabilidade social. 
 
Nesse contexto, sem sombra de dúvidas, a Lei Geral de Proteção de Dados Pessoais 
(LGPD), que entrou em vigor no dia 18 de setembro, é o novo grande paradigma de 
conformidade no Brasil. Aliás, mais que isso, com a previsão expressa do princípio da 
responsabilização e prestação de contas em seu art. 6º, X², e com uma série de 
disposições que considera ser fundamental a adequação pelos agentes de tratamento 
(v.g. como critério à aplicação de sanção pela Autoridade Nacional
3
–
4
), é possível dizer 
que a LGPD representa o segundo
5
 marco legislativo no Brasil em relação ao 
compliance, mas agora voltado aos dados pessoais, dispondo expressamente sobre a 
adoção dos referidos procedimentos de integridade. 
http://www.opiceblum.com.br/
mailto:contato@opiceblum.com.br
 
 
 
2 
 
 
A LGPD consolida a necessidade do uso ético, seguro e responsável dos dados pessoais, 
e a adequação consiste em verdadeiro plano multidisciplinar para que toda empresa 
alcance esses objetivos. 
 
O olhar a ser dado para esse projeto é de algo amplo para todas as áreas da empresa, 
com a implementação top-down. Ou seja, não deve ser projeto de uma área, mas da 
própria empresa. Não basta, portanto, sanear apenas um ou mais setores, as regras e 
princípios de privacidade e proteção de dados precisam ser inseridos e previstos nos 
princípios, valores e missões de toda a corporação. 
 
Os empresários que enxergarem a proteção de dados pessoais como importante direito 
dos indivíduos, que pode se tornar inclusive fundamental
6
, e não somente como mais 
uma obrigação a ser cumprida, certamente executarão melhor as necessidades legais, 
mitigarão mais riscos e ganharão a confiança dos cidadãos e do mercado. 
 
Para tanto, algumas providências são fundamentais, quais sejam: 
i) o board da empresa deve dar visibilidade corporativa sobre a importância do projeto 
de adequação; 
ii) nomear comitê multidisciplinar que será responsável por elaborar o plano de 
adequação à LGPD com visão holística; e 
iii) designar Project Management Ofice – PMO para conduzir e gerenciar o projeto de 
adequação, por meio de medidas de padronização e efetividade, junto com o comitê; 
posteriormente, a providência será a própria implementação desse plano. 
 
Ou seja, a ideia é que os agentes de tratamento que respondem pela Lei (qualquer 
pessoa jurídica ou natural que trate dados pessoais
7
 e que não esteja enquadrada nas 
causas de exceção de aplicabilidade do art. 4º
8
) tenham uma área estruturada e em 
mãos um plano de ação, verdadeiro passo a passo que mapeie e classifique as 
atividades, instrua os profissionais envolvidos e indique a contratação de novos 
colaboradores se necessário, reformule estruturas, planeje e implante normas internas 
de conformidades, etc. O plano de adequação, em razão dessas aptidões práticas, passa 
a ser ferramenta fundamental a viabilizar que o agente de tratamento esteja em 
conformidade com a LGPD. Traz para o plano concreto as principais necessidades, 
 
 
 
3 
 
 
permitindo que as empresas e pessoas naturais se adequem de forma prática ao que a 
lei exige. 
 
Mas quais seriam as principais medidas a serem implantadas; ou seja, o que é 
essencial em todo plano de adequação à LGPD? 
 
O primeiro passo é mapear as atividades e todo o data flow. É nessa análise de risco ou 
risk assessment que de fato se entende o cenário das mais variadas atividades da 
empresa e modelos de negócio pautados em dados pessoais. 
 
E por que essa análise é fundamental? Porque é a partir dela que se extrai o retrato de 
conformidade do fluxo de dados em todas as áreas da empresa, visando avaliar a 
legalidade e apontar ajustes (gap analysis). 
 
Em outros termos, o compliance não se dá de qualquer forma, mas passa 
necessariamente por referida avaliação, uma vez que o controlador e o operador devem 
manter registro das operações de tratamento de dados pessoais que realizarem (art. 
37). Isso sem prejuízo das regras que devem prever a realização de Relatórios de 
Impacto à Proteção de Dados Pessoais,
9
 que poderá ser exigido pela Autoridade 
Nacional de Proteção de Dados – ANPD (Arts. 10, §3º, 32, e 38), e visa, por meio da 
descrição dos processos de tratamento de dados pessoais que podem gerar riscos às 
liberdades civis e aos direitos fundamentais, traçar medidas, salvaguardas e 
mecanismos de mitigação de riscos. 
 
Isso tudo é fundamental para se avaliar, por exemplo, quais bases legais de tratamento 
são necessárias, se é possível a comunicação ou o uso compartilhado entre as 
empresas, o quanto vale a pena investir em medidas de anonimização e a existência de 
padrões ou normas técnicas específicas. 
 
Identifica-se também qual o ciclo de vida dos dados pessoais na empresa. Isso é 
fundamental para se compreender quais departamentos e colaboradores devem ser 
instruídos e onde devem ser aplicadas as soluções tecnológicas, de segurança e 
procedimentos para garantir a contenção de tais informações, por exemplo. 
 
 
 
 
4 
 
 
Também se apura, na prática, qual a categorização legal da empresa que trata os dados 
pessoais, se será considerada controladora ou operadora
10
. 
 
Por que essa compreensão é importante? Porque é a partir dela que se sabem quais 
medidas de adequação devem ser adotadas e a quais riscos de responsabilização a 
empresa está submetida. Enfim, a análise de risco permite que seja tirada verdadeira 
fotografia da atividade de tratamento de dados pessoais da empresa, representando o 
ponto de partida das medidas de adequação. 
 
A segunda providência do Plano de Adequação, de certa forma relacionada à própria 
análise de risco, é demonstrar a necessidade do comprometimento dos profissionais 
com poder de direção em relação à adequação da empresa. 
 
A conformidade depende, necessariamente, da destinação de recursos humanos e 
financeiros, sendo importante que os administradores tenham essa consciência. É 
investimento a ser feito hoje, que diminuirá os riscos de incidentes de dados pessoais, 
mitigando prejuízos sancionatórios e de reputação. Melhor atuar preventivamente hoje 
ou sujeitar a empresa a multas de até 50 milhões de reais por infração (art. 52, II)? 
Prevenir é sempre melhor que remediar. 
 
Outra medida de adequação importante é a contratação pelos controladores de 
profissional vocacionado a assegurar a conformidade da empresa com a LGPD e a 
realizar a interlocução com a ANPD. Deve a administraçãoda empresa nomear o 
chamado Encarregado (art. 5º, VIII) ou Data Protection Oficer, atendendo ao que dispõe 
o art. 41. A quem estiver nessa função competirá aceitar reclamações e comunicações 
dos titulares, prestar esclarecimentos e adotar providências, receber comunicações da 
autoridade nacional e adotar providências, orientar os funcionários e os contratados da 
entidade a respeito das práticas a serem tomadas em relação à proteção de dados 
pessoais; e executar as demais atribuições determinadas pelo controlador ou 
estabelecidas em normas complementares. Como visto, são tarefas variadas e 
complexas, razão pela qual além do DPO, é importante que a empresa estruture uma 
área com profissionais que lhe deem respaldo
11
. 
 
 
 
 
5 
 
 
Como quarta providência de destaque do Plano está a adoção de medidas de segurança, 
a fim de proteger o tratamento de dados pessoais e a contenção das informações. As 
medidas de segurança são destinadas a mitigar acessos não autorizados aos dados 
pessoais tratados, situações acidentais ou ilícitas de destruição, perda, alteração, 
comunicação ou qualquer forma de tratamento inadequado ou ilegal (art. 46). São 
medidas fundamentais e, em realidade, são essas medidas que também vão manter o 
agente de tratamento em conformidade. 
 
O Plano de Adequação também será responsável por implementar as chamadas 
medidas de boa governança (art. 50), ou seja, medidas que resultem na organização 
interna com padrões, normas e procedimentos por meio da implementação de programa 
de governança em privacidade que no mínimo demonstre o comprometimento do 
agente em buscar o cumprimento da lei. É nesse ponto, por exemplo, que serão criadas 
ou ajustadas as políticas internas de segurança da informação, assim como os jobs 
descriptions dos colaboradores, os códigos de ética, o manual de incidente de 
segurança, dentre outros. 
 
Por fim, também será fundamental a criação da cultura de proteção de dados, o que 
pode ser iniciado por meio de cursos, palestras e simulações para instrução permanente 
dos colaboradores, a fim de demonstrar a importância do tema e esclarecer os riscos a 
que a empresa e os próprios profissionais estão sujeitos. Como qualquer providência de 
organização, o comprometimento das pessoas direta ou indiretamente envolvidas e o 
direcionamento top-down são absolutamente fundamentais. 
 
Portanto, o Plano de Adequação se apresenta como ferramenta fundamental e mais 
adequada, do ponto de vista prático, para colocar a empresa em compliance com a 
LGPD, pois reúne, de forma direcionada, todas as medidas necessárias e viabiliza a 
conformidade da empresa ponta a ponta - da análise da atividade e dos riscos 
envolvidos até a implementação das providências concretas de ajuste. 
 
————————————– 
 
1 Destacam-se em cenário internacional o Foreign Corrupt Practices Act – FCPA dos 
Estados Unidos e o The England’s Bribery Act de 2010 da Inglaterra. No Brasil, a agenda 
 
 
 
6 
 
 
ganha importância ainda maior a partir da Lei Anticorrupção nº 12.846 de 2013 e o seu 
Decreto regulamentador nº 8.420 de 2015. 
 
2 Art. 6º As atividades de tratamento de dados pessoais deverão observar a boa-fé e 
os seguintes princípios: […] X – responsabilização e prestação de contas: 
demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a 
observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, 
da eficácia dessas medidas. 
 
3 Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às 
normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas 
aplicáveis pela autoridade nacional: […] §1º As sanções serão aplicadas após 
procedimento administrativo que possibilite a oportunidade da ampla defesa, de forma 
gradativa, isolada ou cumulativa, de acordo com as peculiaridades do caso concreto e 
considerados os seguintes parâmetros e critérios: […] VIII – a adoção reiterada e 
demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, 
voltados ao tratamento seguro e adequado de dados, em consonância com o disposto 
no inciso II do § 2o do art. 48 desta Lei. 
 
4 Sobre a criação, estrutura e atribuições da Autoridade Nacional de Proteção de Dados 
– ANPD veja: https://www.jota.info/opiniao-e-analise/artigos/a-criacao-da-anpd-e-a-
mp-no-869-2018-25012019. 
 
5 O primeiro é a Lei 12.846/13, que dispõe sobre a responsabilização administrativa e 
civil de pessoas jurídicas pela prática de atos contra a administração pública, nacional 
ou estrangeira, e dá outras providências. 
 
6 Proposta de Emenda à Constituição n° 17, de 2019. Acrescenta o inciso XII-A, ao art. 
5º, e o inciso XXX, ao art. 22, da Constituição Federal para incluir a proteção de dados 
pessoais entre os direitos fundamentais do cidadão e fixar a competência privativa da 
União para legislar sobre a matéria. 
 
7 Art. 5º Para os fins desta Lei, considera-se: […] X – tratamento: toda operação 
realizada com dados pessoais, como as que se referem a coleta, produção, recepção, 
https://www.jota.info/opiniao-e-analise/artigos/a-criacao-da-anpd-e-a-mp-no-869-2018-25012019
https://www.jota.info/opiniao-e-analise/artigos/a-criacao-da-anpd-e-a-mp-no-869-2018-25012019
 
 
 
7 
 
 
classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, 
arquivamento, armazenamento, eliminação, avaliação ou controle da informação, 
modificação, comunicação, transferência, difusão ou extração. 
 
8 Art. 4º Esta Lei não se aplica ao tratamento de dados pessoais: I – realizado por 
pessoa natural para fins exclusivamente particulares e não econômicos; II – realizado 
para fins exclusivamente: a) jornalístico e artísticos; ou b) acadêmicos; III – realizado 
para fins exclusivos de: a) segurança pública; b) defesa nacional; c) segurança do 
Estado; ou d) atividades de investigação e repressão de infrações penais; ou IV – 
provenientes de fora do território nacional e que não sejam objeto de comunicação, uso 
compartilhado de dados com agentes de tratamento brasileiros ou objeto de 
transferência internacional de dados com outro país que não o de proveniência, desde 
que o país de proveniência proporcione grau de proteção de dados pessoais adequado 
ao previsto nesta Lei. 
 
9 O Relatório é definido no art. 5º, XVII, da LGPD como a “documentação do controlador 
que contém a descrição dos processos de tratamento de dados pessoais que podem 
gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, 
salvaguardas e mecanismos de mitigação de risco.” Quer dizer, logo em um dos artigos 
inaugurais e cirúrgicos da Lei, ela traz a importância da confecção de um documento 
específico que detalha toda a atividade de tratamento para a fiscalização e a quem essa 
compete. 
 
10 Se à empresa competir as decisões referentes ao tratamento de dados pessoais 
(v.g. quais dados serão coletados e para qual finalidade), será classificada como 
controladora (art. 5º, VI). Porém, se apenas realizar o tratamento dos dados sob 
orientação e comando de outra empresa, será considerada mera operadora. 
 
11 Inclusive, no caso de eventual e indesejado incidente de exposição de dados, deverá 
a empresa, por meio do Encarregado, informar à Autoridade o mais rápido possível (art. 
48), correndo o risco de ser sancionada caso não o faça ou atrase injustificadamente 
tal comunicação. A existência de uma área estruturada é fundamental também nesse 
aspecto. 
 
 
 
 
8 
 
 
RONY VAINZOF – Advogado, professor e árbitro especializado em Direito Digital e 
Proteção de Dados. Sócio do Opice Blum, Bruno, Abrusio e Vainzof Advogados 
Associados. Coordenador e professor do MBA em Direito Eletrônico da Escola Paulista 
de Direito e do Curso de Extensão em Proteção de Dados da FIA. Mestre em Soluções 
Alternativas de Controvérsias Empresariais pela Escola Paulista de Direito. Fundador daAssociação Brasileira de Proteção de Dados (ABPDados). Diretor do Departamento de 
Defesa e Segurança e responsável pelo Grupo de Trabalho de Defesa Cibernética da 
Federação das Indústrias do Estado de São Paulo (FIESP). Membro da Câmara de Direito 
e Segurança do Comitê Gestor da Internet do Brasil. 
 
CAIO CÉSAR CARVALHO LIMA – Sócio do Opice Blum, Bruno, Abrusio e Vainzof 
Advogados, mestre em Direito Processual Civil pela PUC-SP e professor de Proteção de 
Dados e Direito Digital em diversas universidades. 
 
MAURÍCIO ANTONIO TAMER – Coordenador da área contenciosa digital do Opice 
Blum, Bruno, Abrusio e Vainzof Advogados, doutorando em Direito pela Universidade 
Presbiteriana Mackenzie e professor em cursos de graduação e pós-graduação 
(http://lattes.cnpq.br/1292641448156094). 
 
 
http://lattes.cnpq.br/1292641448156094