-02-02.png)
A LGPD entrou em vigor na última sexta-feira (14 de agosto de 2020). Suas sanções somente serão aplicadas a partir de 2021. Assim, temos hoje uma vigência parcial da lei, ou se preferirem, uma vacância parcial.
Particularmente, nos estudos que realizo em Direito Comparado, creio que a iniciativa de uma vacância parcial tem criado ambientes para melhor implantação de leis que exigem, seja do Estado, seja das instituições ou das pessoas, esforços relevantes para se adaptarem. Esse tempo serve para testar e revisar a implantação de políticas, capacitar e treinar as pessoas que atuarão nessa nova realidade e conscientizar a sociedade das mudanças.Assim, os programas de compliance terão ainda um tempo para se adequarem às disposições da LGPD.
A sistemática regulatória do compliance, especialmente o modelo anticorrupção, e a LGPD tem pontos similares:
Outras aproximações possíveis serão certamente clarificadas, quando a autoridade nacional de proteção de dados for efetivamente implantada. Especialmente, creio na necessidade de incluir atenuantes nos valores de multa às empresas e entes que possuírem um eficiente programa de proteção e autodenunciarem questões de inconformidade.
Se as aproximações entre o modelo de regulação são claramente reconhecíveis, também será necessário que os programas de compliance tornem-se mais cuidadosos com a proteção de dados. Um ponto que precisa ser discutido e aprimorado é justamente que a base da regulação de integridade, a questão da transparência e do acesso livre às informações relevantes sejam do Estado e a Administração seja das empresas.
Para os programas de compliance das empresas, um ponto obrigatório de revisão está nos canais de denúncia.
Os canais recebem nas comunicações informações pessoais, além de informações e documentos sobre a situação profissional, familiar, relações pessoais que podem enquadrar-se em dados sensíveis.
Sempre defendi que o “canal de denúncias” e a investigação interna corporativa aproximem-se dos critérios e princípios garantidores do processo penal, respeitando os direitos fundamentais (inclusive de proteção de dados) de todas as pessoas implicadas: sejam supostas vítimas ou supostos agentes de condutas indevidas ou que podem ser consideradas ilícitas.
Além de proteger os dados pessoais, durante o processo de apuração deve-se cuidar ainda com mais rigor dos riscos de vazamento ou de acesso indevido aos dados.
Nos processos de apuração de notícias que possuam algum procedimento já iniciado é recomendável pelo programa de compliance o seu arquivamento, logo é necessário um novo protocolo para garantir a segurança da proteção de dados de todas as pessoas referidas.
Para as noticias infundadas que são consideradas irrelevantes de serem apuradas deve-se definir como se cuidará de eliminar os dados.
Como muitas empresas contratam sistemas de recebimento de noticias de inconformidade terceirizados é imprescindível definir e estratificar as responsabilidades da operadora dos dados (empresa terceirizada) e da controladora dos dados (empresa contratante do canal de denúncias).
O primeiro passo para revisar a política de compliance de recebimento e apuração de notícias de situações de suposta inconformidade (canal de denúncias) é descrever as etapas da politica: a) ingresso da noticia; b) registro da notícia; c) encaminhamento da notícia para decisão de apuração; d) registro da decisão.
No processo de apuração de notícia e investigação interna para se adequar a LGPD
•avaliar a forma de registro das informações recebidas;
•avaliar o modo de informar às pessoas relacionadas na apuração dos fatos;
•avaliar o tipo de informação que será disponibilizada as pessoas relacionadas;
•avaliar o tipo de documentação que será solicitada ou juntada no procedimento de apuração;
•avaliar as pessoas do operador e controlador que terão acesso as informações;
•avaliar as pessoas do controlador que decidirão sobre a possíveis sanções;
•avaliar formas de registro e guarda do procedimento;
•avaliar formas de exclusão e apagamento dos dados.
A LGPD indica a produção de relatório de impacto à proteção de dados. Para a produção do relatório e da politica interna de proteção de dados é necessário um diagnóstico prévio que exige uma compreensão de todo o fluxo do dado no operador e no controlador, conforme indiquei acima. A partir da análise diagnóstica, é possível alinhar o relatório de impacto considerando os seguintes pontos importantes a identificar:
A LGPD impõe ao controlador do dado uma política de ainda mais respeito às pessoas relacionadas. Melhor caminho sempre foi a aproximação da política ao modelo de respeito e garantia próprio do processo penal, equiparando a situação de vítima ou de investigada.
Além do direcionamento que deve cuidar de preservar os direitos e garantias das pessoas relacionadas com a ampla defesa e o contraditório, esta sim a responsabilidade pela proteção da suposta vítima e da pessoa investigada em sua esfera de direitos de intimidade, preservando sua imagem e do sigilo dos seus dados de qualquer vazamento ou acesso indevido.
Creio que é chegada hora de explicitar nas páginas prévias dos “canais de denúncia” e nos códigos de conduta mais do que a garantia da não retaliação. É preciso também indicar as possíveis consequências negativas decorrentes do início do procedimento, seja a responsabilidade por denunciação caluniosa ou por atos de discriminação por parte da pessoa que noticia a conduta indevida, sejam as consequências negativas para pessoa investigada, no âmbito interno funcional ou contratual, esclarecendo sobre seu direito ao aconselhamento por advogado de sua confiança para avaliar possíveis consequências negativas no âmbito civil, administrativo e criminal. Por isso sempre recomendo a formulação de advertências prévias no “canal de denúncias” e assinatura de termos de ciência e consentimento para que as pessoas relacionadas a partir do momento em que a noticia passa a ser considerada admitida para fins de apuração.
Com a LGPD mais informações devem ser acrescidas e termos precisam ser revisados. Assim será necessário em um passo inicial na abertura da escuta
É preciso, contudo, estar preparado para prestar informações mais precisas, quando for solicitado pelas pessoas relacionadas sejam elas noticiantes ou indicadas como supostas autoras de atos de inconformidade:
É necessário criar estratégias para minimizar os riscos decorrentes da possibilidade de vazamento de dados ou acesso indevido a eles. Em termos de segurança informática, a ocultação parcial dos dados pessoais desde o início de sua coleta até o momento em que a noticia é considerada admitida é um recurso para reduzir o risco de exposição indevida de dados pessoais. A subdivisão da notícia para que os documentos anexados sejam armazenados em sistema operacional distinto e o recurso de criptografia também podem ser avaliados como viáveis, especialmente, para a empresas que possuam um grande fluxo de notícias. O certo é que haverá custos relevantes para implantar sistemas computacionais com mais linhas de defesa e segurança da informação. O controle de acesso ao dado por meio de senhas é certamente o primeiro passo e o menos impactante no planejamento orçamentário da empresa.
Por isso creio que focar em treinamento do operador e do controlador, conscientização das pessoas envolvidas no processo e informações claras e precisas para as pessoas afetadas (noticiante, suposto autor e demais pessoas envolvidas) são mais eficientes e menos custosos para o momento atual de escassez econômica.
Sempre gosto de chamar atenção ao fato que estabelecer uma politica para receber noticias de atos de inconformidade é um desafio e tem seus riscos inerentes. O maior deles sempre foi a inércia, ou seja, cria-se ou contrata-se um “canal de denúncias” e não se realizam os passos seguintes da politica. “Engavetar” a notícia de inconformidade, especialmente, quando ela pode ter alguma procedência, é ampliar o risco de inconformidade e gera responsabilidades maiores. A LGPD vai agora impor mais uma responsabilidade: agir também focado no respeito aos direitos fundamentais das pessoas relacionadas além da proteção dos interesses da empresa.