Sabemos que a informação representa um ativo muito relevante, não somente para os titulares dos dados, mas também para os entes públicos e o desenvolvimento de suas atividades e para as empresas por seu valor econômico, sendo considerada, atualmente, um dos recursos patrimoniais mais importantes para a manutenção do negócio. 

Desse modo, não é surpresa que o diploma legal que aborda especificamente a questão do tratamento de dados – a Lei nº 13.709/18 - tenha se preocupado em tratar, em seu texto, do tema da segurança e das boas práticas, especificamente em relação ao sigilo de dados, da governança e da fiscalização.

Os agentes de tratamento devem adotar medidas de segurança aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

As medidas de segurança deverão ser observadas desde a fase de concepção do produto ou do serviço até a sua execução.

Os agentes de tratamento ou qualquer outra pessoa que intervenha em uma das fases do tratamento obriga-se a garantir a segurança da informação prevista na Lei nº 13.709/18, em relação aos dados pessoais, mesmo após o seu término.

O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares. A comunicação será feita em prazo razoável, conforme definido pela autoridade nacional, e deverá mencionar, no mínimo:

I - A descrição da natureza dos dados pessoais afetados;
II - As informações sobre os titulares envolvidos;
III - A indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial;
IV - Os riscos relacionados ao incidente;
V - Os motivos da demora, no caso de a comunicação não ter sido imediata; e
VI - As medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.

A autoridade nacional verificará a gravidade do incidente e poderá, caso necessário para proteger os direitos dos titulares, determinar ao controlador a adoção de providências, tais como a ampla divulgação do fato em meios de comunicação e medidas para reverter ou mitigar os efeitos do incidente.

Os sistemas utilizados para o tratamento de dados pessoais devem ser estruturados de forma a atender aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais previstos na Lei nº 13.709/18 e às demais normas regulamentares.

Curso online LGPD - Prevenção de Ataques e Protocolos de Segurança da Informação

Vamos nos debruçar agora sobre as questões de boas práticas e governança.

O termo “Boas práticas” denomina o conjunto das técnicas, processos, procedimentos e atividades identificados, utilizados, comprovados e reconhecidos por diversas organizações, em determinada área do saber, como sendo os melhores quanto ao mérito, eficácia e sucesso alcançados pela sua aplicação na realização de uma tarefa.

O conceito moderno de governança não se restringe apenas à vinculação dos proprietários e acionistas das empresas com gestores e executivos, estendendo-se de modo a abranger a responsabilidade corporativa e a relação das empresas com a sociedade na qual estas se inserem.

Muitos autores consideram que a governança corporativa não deveria ser um tema disciplinado pelo Direito, uma vez que se refere a temas próprios da Administração e da gestão. No entanto, as regras que disciplinam tais assuntos tanto se fundamentam quanto repercutem na seara jurídica, consistindo em instrumentos jurídicos que deverão ser observados pelos atores envolvidos, em suas respectivas competências.

A governança legal refere-se à organização da documentação jurídica de uma empresa, de modo a permitir que, a qualquer tempo, gestores, administradores e sócios possam acessar a documentação, para os mais variados fins. 

O monitoramento das práticas de governança corporativa envolve ações de fiscalização, controle, acompanhamento e inspeção. 

A Lei nº 13.709/18, em seus arts. 50 e 51, trata do tópico das boas práticas e da governança.

Os controladores e operadores poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.

Ao estabelecer regras de boas práticas, o controlador e o operador levarão em consideração, em relação ao tratamento e aos dados, a natureza, o escopo, a finalidade e a probabilidade e a gravidade dos riscos e dos benefícios decorrentes de tratamento de dados do titular.

Curso online LGPD – Lei Geral de Proteção de Dados – Aplicações e Boas Práticas

Na aplicação dos princípios da segurança e prevenção, o controlador poderá:

I - Implementar programa de governança em privacidade que, no mínimo:
a) demonstre o comprometimento do controlador em adotar processos e políticas internas que assegurem o cumprimento, de forma abrangente, de normas e boas práticas relativas à proteção de dados pessoais;
b) seja aplicável a todo o conjunto de dados pessoais que estejam sob seu controle, independentemente do modo como se realizou sua coleta;
c) seja adaptado à estrutura, à escala e ao volume de suas operações, bem como à sensibilidade dos dados tratados;
d) estabeleça políticas e salvaguardas adequadas com base em processo de avaliação sistemática de impactos e riscos à privacidade;
e) tenha o objetivo de estabelecer relação de confiança com o titular, por meio de atuação transparente e que assegure mecanismos de participação do titular;
f) esteja integrado a sua estrutura geral de governança e estabeleça e aplique mecanismos de supervisão internos e externos;
g) conte com planos de resposta a incidentes e remediação; e
h) seja atualizado constantemente com base em informações obtidas a partir de monitoramento contínuo e avaliações periódicas;
II - Demonstrar a efetividade de seu programa de governança em privacidade quando apropriado e, em especial, a pedido da autoridade nacional ou de outra entidade responsável por promover o cumprimento de boas práticas ou códigos de conduta, os quais, de forma independente, promovam o cumprimento da Lei nº 13.709/18.

As regras de boas práticas e de governança deverão ser publicadas e atualizadas periodicamente, sendo que a autoridade nacional estimulará a adoção de padrões técnicos que facilitem o controle pelos titulares dos seus dados pessoais.

Vamos tratar agora da fiscalização, que consiste no exame de uma atividade para comprovar se esta se desenvolve conforme as normas e princípios em vigor. 

A Lei nº 13.709/18, no que tange a fiscalização, determina as sanções administrativas aplicáveis, que, embora já citadas no decorrer de nosso Curso, analisaremos com mais detalhe a seguir.

Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional:

I - Advertência, com indicação de prazo para adoção de medidas corretivas;
II - Multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
III - Multa diária, observado o limite total a que se refere o inciso II;
IV - Publicização da infração após devidamente apurada e confirmada a sua ocorrência;
V - Bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
VI - Eliminação dos dados pessoais a que se refere a infração.

As sanções serão aplicadas após procedimento administrativo que possibilite a oportunidade da ampla defesa, de forma gradativa, isolada ou cumulativa.

Time de Gestão de Conteúdo e Tutoria Unieducar