Lei Geral: O Diálogo entre a Lei Geral de Proteção de Dados e o Compliance
Por Raphael Nunes Tavares
O atual panorama econômico impôs aos principais agentes atuantes no mercado de consumo (ou players, segundo o jargão do mundo corporativo) a necessidade de adotar práticas de redução dos riscos, e neste contexto a área de Compliance emergiu como importante ferramenta estratégica, uma vez que objetiva a mitigação de riscos através da adequação do empreendimento às normas e regulamentos, e inclusive aos preceitos éticos da própria empresa – isto se considerada a conceituação mais resumida.
A implementação de um programa de integridade efetivo, no entanto, não faz surgir um cenário estático e imutável, vez que a sociedade moderna é caracterizada justamente pela velocidade das transformações sociais e econômicas. É neste contexto que repercute a recente Lei 13.709/2018, popularmente conhecida como LGPD, ou Lei Geral de Proteção de Dados.
Há décadas o mercado de consumo foi impactado e posteriormente transformado pela ascensão das ferramentas digitais e pelo próprio comércio eletrônico. Mesmo as vendas realizadas de forma presencial prescindem da utilização de dados pessoais. Não causa estranheza o fato de estas informações serem consideradas no presente o recurso mais valioso do mundo, em detrimento do petróleo.1 Neste escopo, e considerando a relevância do cenário, as nações não tardaram a formular legislações para proteger estes “novos” direitos, sendo esta a causa raiz da promulgação da precitada LGPD.
E é neste contexto que ocorre o diálogo entre o chamado Direito Digital e o Compliance: as empresas, grandes ou pequenas, inevitavelmente deverão investir para se adequarem aos ditames da nova legislação, sob o risco de serem duramente penalizadas. Afinal, a lei sob comento possui um capítulo inteiro destinado às sanções administrativas (artigos 52 a 55 L da Lei 13.709/2018), que apenas agora, cerca de 2 anos após publicada a lei, entrará em vigor.
Mas a verdade é que os prejuízos vão além daqueles previstos na legislação. As pessoas que compõem a sociedade de consumo estão cada vez mais conscientes dos seus direitos, e se tornou prática comum indagar sobre a destinação dos dados pessoais no contexto das relações comerciais, algo que antes era incomum. No mesmo passo, tornam-se públicas as primeiras divagações sobre (ainda) hipotéticas transgressões a essa legislação, por meio de várias campanhas informacionais ou comerciais sobre proteção de dados. O perigo de dano, portanto, é também reputacional, pois a imagem das empresas poderá ser afetada pela inobservância deste novo regramento.
Assim, torna-se especialmente relevante paras as companhias entenderem o seu papel dentro dos conceitos trazidos pela LGPD. Algumas empresas serão mais impactadas do que outras, mas todas serão afetadas. Os conceitos inerentes à esta nova matéria são abrangentes e se enquadram em uma miríade de situações: é surpreendente que a doutrina já aponte, por exemplo, a incidência da legislação no contexto das “gravações decorrentes de câmeras de monitoramento internas (dentro da residência da pessoa física) e externas (espaço público, por também contemplarem as imagens (como rostos) de terceiros2”. Este caso concreto demonstra o quão corriqueiras são as situações abrangidas pela lei sob análise, afinal a existência de equipamentos de filmagem é uma realidade na maioria dos estabelecimentos comerciais de médio ou grande porte.
A LGPD, no entanto, não deve ser compreendida como um paradigma negativo para o mundo corporativo. Apesar da necessidade de ajustes, especialmente neste momento de adaptação, é certo que este novo microssistema emergiu para proporcionar uma maior segurança jurídica em um setor não regulado do mercado, que representaria, eventualmente, um risco para as próprias empresas. E é a legislação que aponta um norte, ao versar em capítulo específico sobre as boas práticas e governança aplicáveis à área de tratamento de dados, em evidente valorização dos conceitos inerentes à área de Compliance (artigos 50 e 51 da Lei 13.709/2018).
Percebe-se claramente a conexão entre os temas sob destaque, pois a implementação das diretrizes exigidas pela nova lei certamente necessita da análise de riscos pela área especializada, o que demonstra ser imprescindível a atuação do Compliance, pelo menos nas empresas que contam com o auxílio de um setor próprio atuante neste campo.
Portanto, é altamente recomendável que haja um esforço de integração das áreas envolvidas, e inclusive dos profissionais mais capacitados (DPO e Compliance Officer), para que a almejada mitigação dos riscos inerentes à esta nova lei seja alcançada, se possível, com o desenvolvimento de uma verdadeira cultura de proteção dos dados pessoais.