O PAPEL DOS AGENTES DE MERCADO NA DE EFETIVAÇÃO DA TUTELA DOS DADOS PESSOAIS POR MEIO DA ADOÇÃO DE BOAS PRÁTICAS E GOVERNANÇA 

Por Joelane Rodrigues Carvalho 

1. INTRODUÇÃO 

A Lei Geral de Proteção de Dados (LGPD) representa um grande marco para o ordenamento jurídico brasileiro, não só pela intensa movimentação que gerou nas instituições públicas e no mundo corporativo em direção a um debate sobre adoção de medidas concretas e com efeitos reais para a sociedade, mas também por alçar o Brasil a uma posição de destaque no cenário internacional em matéria de proteção de dados.  

Em que pese muito se diga sobre a normativa brasileira de proteção de dados ser de alguma maneira uma versão enxuta do GDPR (General Data Protection Regulation da União Europeia), é inegável o seu mérito em relação aos avanços na efetivação de direitos fundamentais. A LGPD colocou em evidência outros diplomas normativos¹ que tratavam de forma tangencial a proteção de dados e a privacidade ao conectá-los, em alguma medida, em um verdadeiro sistema de proteção. Ademais, a LGPD também foi capaz de gerar um debate significativo que culminou na efetivação da proteção de dados como direito fundamental positivado pela emenda constitucional n° 115 de 2022.² 

Para o mundo corporativo a Lei trouxe uma série de desafios em razão da necessidade de se adequar às suas disposições. Contudo, muito além de uma obrigação legal a ser respeitada, a LGPD também propiciou um cenário de oportunidades de negócio para empresas dispostas a investir em boas práticas e governança visando proteger os dados sob sua guarda, com a possibilidade de aumentar a competitividade no mercado, a credibilidade perante o consumidor e órgãos de controle. Nesse sentido, boas práticas e governança não só têm potencial de tornar as empresas mais preparadas para enfrentar as ameaças que o mundo digital impõe como também de promover desenvolvimento econômico. 

Este artigo pretende explorar o tema sobre boas práticas e governança investigando o papel dos agentes de mercado no processo de efetivação da tutela de dados. O ponto de partida é uma análise dos aspectos gerais dos arts. 50 e 51 da LGPD, que integram o Capítulo VII, sobre Segurança e Boas Práticas.  

2. BOAS PRÁTICAS E GOVERNANÇA NA LGPD 

Conforme dispõe o art. 50 da LGPD, os controladores e operadores, no âmbito de suas competências, individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais. 

Um primeiro olhar sobre o art. 50 nos permite concluir que o legislador brasileiro optou por um modelo regulatório que prestigia a participação dos agentes econômicos,³ ao possibilitar aos próprios regulados, os agentes de tratamentos, o poder de formular regras de boas práticas e de governança. Isso resulta na maior autonomia dos agentes de tratamento para elaboração de normas mais alinhadas às realidades do mercado, especialmente quando falamos de empresas que integram setores tecnológicos movidos a dados, que mudam constantemente, tornando mais difícil para o agente estatal a sua regulação. Aliás, nesse sentido, Isabela Santos Rosal destaca que o modelo de autorregulação adotado pela LGPD, acaba sendo um mecanismo importante, muito em razão de que há nesses setores uma dificuldade em se atualizar as regulações aplicáveis.⁴  

Em geral, as especificidades de qualquer setor demandam um cuidado direcionado quando a questão for proteção de dados. Aliás, é nesse sentido a redação do § 1º do art. 50 que prescreve que ao estabelecer regras de boas práticas, o controlador e o operador deverão levar em consideração, em relação ao tratamento e aos dados, a natureza, o escopo, a finalidade e a probabilidade e a gravidade dos riscos e dos benefícios decorrentes de tratamento de dados do titular.  

Um bom exemplo é o “Código de Boas Práticas: Proteção de Dados para Prestadores Privados de Serviços em Saúde” de iniciativa da Confederação Nacional da Saúde.⁵ Esse código orienta quanto às condutas a serem praticadas pelos hospitais e laboratórios privados, com o objetivo de permitir o correto uso dos dados dos pacientes. Como se sabe, o setor da saúde tem características peculiares, seja pela natureza dos dados pessoais tratados (de saúde, de menores, e com potencial para perfilamento), pelos agentes de tratamento, seja por possuir regulações específicas, o que exige, no que tange à proteção de dados, uma orientação mais setorial.  

Na mesma direção é Código de Boas Práticas de Proteção de Dados no Setor de Telecomunicações⁶, publicado recentemente pela Conexis Brasil Digital, que por meio da adoção de diretrizes para o tratamento de dados demonstra importante iniciativa de autorregulação do setor para a promoção de maior transparência aos titulares de dados pessoais. Destaca-se o estabelecimento de restrições às ligações de telemarketing (por horários, dias, e em observância ao direito de oposição, por exemplo). 

Um segundo olhar sobre o caput do art. 50, por sua vez, nos permite perceber que embora a LGPD não ofereça um guia específico para elaboração de regras produzidas pelo setor regulado, o referido artigo apresenta um conjunto de elementos essenciais que devem ser observados, com destaque para (i) normas de segurança (ii) ações educativas e (iii) mecanismos internos de supervisão e de mitigação de riscos.   

Em um mundo em que a digitalização dos dados se tornou a regra, normas de segurança, sobretudo aquelas voltadas para a cybersegurança, são essenciais para oferecer um nível adequado de proteção, tanto para os dados pessoais quanto para informações de valor estratégico relacionadas ao negócio. Isso é importante, sobretudo, em um cenário pendente de regulação pela Autoridade Nacional de Proteção de Dados (ANPD), mas que pode se beneficiar de estudos e iniciativas internacionais como os Padrões ISSO/ABNT e NIST. 

Em relação às ações educativas, conforme destaca Frazão, Carvalho e Milanez, são fundamentais para a conscientização dentro da organização, fortalecendo a cultura organizacional dentro da empresa. ⁷ Os mecanismos internos de supervisão e de mitigação de riscos, por sua vez, se constituem de ferramentas poderosas na medida que possibilitam o emprego de mecanismos de controle da efetividade das medidas de segurança adotadas e ajudam a fornecer respostas adequadas aos incidentes de seguranças.  

Adiante, dialogando diretamente com o princípios da segurança (inciso VII) e da prevenção (inciso VIII) dispostos no art. 6º, o §2º do art. 50 traz alguns parâmetros mínimos que devem ser observador na implementação de um programa de governança em privacidade que deve pelo menos: 

a) demonstrar o comprometimento do controlador em adotar processos e políticas internas que assegurem o cumprimento, de forma abrangente, de normas e boas práticas relativas à proteção de dados pessoais; 

b) ser aplicável a todo o conjunto de dados pessoais que estejam sob seu controle, independentemente do modo como se realizou sua coleta; 

c) ser adaptado à estrutura, à escala e ao volume de suas operações, bem como à sensibilidade dos dados tratados; 

d) estabelecer políticas e salvaguardas adequadas com base em processo de avaliação sistemática de impactos e riscos à privacidade; 

e) ter o objetivo de estabelecer relação de confiança com o titular, por meio de atuação transparente e que assegure mecanismos de participação do titular; 

f) ser integrado a sua estrutura geral de governança e estabeleça e aplique mecanismos de supervisão internos e externos; 

g) contar com planos de resposta a incidentes e remediação; e 

h) ser atualizado constantemente com base em informações obtidas a partir de monitoramento contínuo e avaliações periódicas; 

Apesar da abertura para que cada setor promova normas gerais de proteção de dados, a ANPD, como antecipado, terá um papel essencial nesse processo tendo em vista que o §3º define que as regras de boas práticas e de governança poderão ser reconhecidas e divulgadas pela autoridade nacional. O tema está na agenda regulatória da Autoridade para o biênio 23-24. 

Por fim, o art. 51 estabelece que a ANPD estimulará a adoção de padrões técnicos que facilitem o controle pelos titulares dos seus dados pessoais. Esse artigo merece destaque em razão de sua estreita conexão com um dos fundamentos da LGPD consubstanciados no art. 2,  a autodeterminação informativa, que espelha um direito geral de personalidade voltado a garantir ao cidadão o direito de controlar a amplitude da divulgação ou utilização de qualquer aspecto relacionado a sua personalidade por meio de seus dados pessoais.⁸  

A partir dos marcos definidos nos arts. 50 e 51, os agentes de mercado tem um contexto propício para serem protagonistas da efetivação da tutela dos dados pessoais. Primeiro porque também poderão ajudar a moldar o cenário regulatório. Segundo porque, ao implementarem boas práticas e mecanismos de governança, os agentes e mercado tem o poder de promover efetivamente aos titulares de dados uma plataforma de acesso a direitos de bases principiológicas, qual sejam todos aqueles elencados no seu art. 6º: finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparências, segurança, prevenção, não discriminação e responsabilização. Nesse segundo ponto, o destaque fica para programas Compliance, referenciado indiretamente em vários outros dispositivos da LGPD (arts 5º, VII, 6º, VIII, X, 37, 38, 44, II, 46, 48, IV etc.) e para os Códigos de Conduta ou Manuais de Boas Práticas, como o já mencionado código de boas práticas da Conexis Brasil Digital.  

O ecossistema de princípios da LGPD não se fecha em si mesmo. É importante considerar que incidentes de segurança tem potencial de causar graves consequências para os titulares, resultando na violação de sua intimidade, e sua privacidade sua dignidade. Desse modo, a proteção de dados deve ser vista com suas conexões com outros direitos fundamentais e com princípios constitucionais, em especial a dignidade da pessoa humana (1º, III, CF), a não discriminação (3º, III, CF), a intimidade (5º, X, CF), o sigilo de dados (5º, XII, CF).  

3. CONCLUSÃO 

Até aqui, foi possível observar que o poder de influência regulatória no mercado gravita muito mais em torno do próprio mercado do que em torno do agente regulador. Daí a afirmação de Camila Jimene, de que o modelo adotado pela LGPD contribui para a conscientização da sociedade acerca da importância da proteção de dados pessoais e ajuda a criar um mercado mais maduro e ético a respeito do tema.⁹ Para Jimene, isso se dá na medida em que operadores e controladores, entre si, vão exigir mutuamente conformidade com as regras de boas práticas e de governança que estabeleceram de comum acordo.¹⁰ 

Embora a LGPD nem sempre aborde de modo detalhado temas importantes, ao contrário do que faz o GDPR no que toca à segurança e boas práticas, é possível extrair da normativa brasileira as balizas mínimas, seja para a adoção de medidas seja para o estabelecimento de regras setoriais que atendam a necessidade de regular essas medidas de forma ordenada e direcionada. 

4. REFERÊNCIAS BIBLIOGRÁFICAS 

BRASIL, Emenda Constitucional nº 115. Presidência da República, 10 fev. 2022. Disponível em: http://www.planalto.gov.br/ccivil_03/constituicao/Emendas/Emc/emc115.htm#art1. Acesso em: 25 de jan. 2023. 

CNSAUDE. Código de Boas Práticas: Proteção de Dados para Prestadores Privados de Serviços em Saúde. 2021. Disponível em: http://cnsaude.org.br/publicacoes/codigo-de-boas-praticas-protecao-de-dados-para-prestadores-privados-de-servicos-em-saude/#:~:text=A%20Confedera%C3%A7%C3%A3o%20Nacional%20de%20Sa%C3%BAde,Prote%C3%A7%C3%A3o%20de%20Dados%20(LGPD). Acesso em: 25 de jan. 2023.  

CONEXIS BRASIL DIGITAL. Código de Boas Práticas de Proteção de Dados no Setor de Telecomunicações. 2022. Disponível em: https://conexis.org.br/setor-de-telecomunicacao-publica-codigo-de-boas-praticas-para-a-protecao-de-dados/.  Acesso em: 25 de jan. 2023. 

DONEDA, Danilo. Panorama histórico da proteção de dados pessoais. In: DONEDA, Danilo (coord.); SARLET, Ingo Wolfgang (coord.); MENDES, Laura Schertel (coord.); RODRIGUES JUNIOR, Otavio Luiz (coord.) BIONI, Bruno Ricardo (coord.). Tratado de Proteção de Dados Pessoais. Rio de Janeiro: Forense, 2021. p. 423. 

FRAZÃO, Ana. CARVALHO, Ângelo Prata de. MILANEZ, Giovanna. Curso de proteção de dados pessoais: fundamentos da LGPD. 1ª. Ed. Rio de Janeiro: Forense, 2022. 

JIMENE. Camilla do Vale. Capítulo VII: Da Segurança e das Boas Práticas. p.387. in: LGPD: Lei Geral de Proteção de Dados comentada [livro eletrônico] / coordenadores Viviane Nóbrega Maldonado e Renato Opice Blum. – 2. ed. rev., atual. e ampl. – São Paulo: Thomson Reuters Brasil, 2020. p. 398. 

ROSAL SANTOS, I. M. As formas de autorregulação na LGPD a partir da regulação responsiva. Journal of Law and Regulation, [S. l.], v. 8, n. 1, p. 149–162, 2022. Disponível em: https://periodicos.unb.br/index.php/rdsr/article/view/37968. Acesso em: 25 jan. 2023.