LGPD e a autorregulação regulada



Por Gabriela Totti - Advogada da Biolchi Empresarial, especialista em proteção de dados


Uma das inovações da Lei Geral de Proteção de Dados (LGPD) foi prever a possibilidade de os agentes de tratamento formularem regras de boas práticas e de governança no âmbito de suas competências. Isto é, a lei permite que o próprio setor possa se autorregular em relação à privacidade e à proteção de dados.


A norma estabelece que a responsabilidade de cuidado e de proteção dos dados é de quem faz o tratamento (Princípio da Responsabilização e Prestação de Contas). A falta da constituição da Autoridade Nacional de Proteção de Dados (ANPD) não impede que organizações públicas e privadas busquem a adequação à lei. Na verdade, é uma oportunidade para as empresas desenvolverem boas práticas de governança, tendo como parâmetro as especificidades de cada setor.


A LGPD define alguns critérios a serem considerados no momento de estabelecer as boas práticas por setor. São eles: a natureza, o escopo, a finalidade, a probabilidade e a gravidade dos riscos e dos benefícios que decorrem do tratamento de dados. Assim, cada setor pode começar a trabalhar as boas práticas a partir de suas especificidades, desde que observadas as premissas legais.


A partir do artigo 46, a lei apresenta um capítulo de segurança, de boas práticas e de governança, um roteiro para as organizações que querem proteger os dados tratados. Ou seja, a LGPD é um mapa do que deve conter um programa de conformidade de proteção de dados. Sobre a autorregulação, a norma determina os critérios mínimos a serem observados na implementação de um programa de governança em privacidade:


1) Demonstração do comprometimento do controlador em adotar processos e políticas internas que assegurem o cumprimento de normas e boas práticas em relação à proteção de dados.

2) Aplicação do programa em todo o conjunto de dados pessoais tratados.

3) Adaptação à estrutura, escala e volume das operações, e também em relação à sensibilidade dos dados tratados.

4) Estabelecimento de políticas e salvaguardas com base em processo de avaliação sistemática de impactos e riscos à privacidade.

5) Estabelecimento de relação de confiança com o titular dos dados, garantindo transparência e mecanismos de participação do titular.

6) Integração com a estrutura geral de governança, com aplicação de mecanismos de supervisão internos e externos.

7) Planos de respostas a incidentes e remediação.

8) Atualização constante a partir de monitoramento contínuo e de avaliações periódicas.


A LGPD é uma quebra de paradigmas em relação a regulação. A lei prevê a possibilidade de o Estado não regular diretamente o setor e, sim, ter uma atuação passiva. Ele cria a sua regulação e apresenta à ANPD reconhecer as boas práticas implementadas. Essa oportunidade está contemplada no parágrafo 3º do artigo 50 da lei:


§ 3º As regras de boas práticas e de governança deverão ser publicadas e atualizadas periodicamente e poderão ser reconhecidas e divulgadas pela autoridade nacional.


A chancela das boas práticas pela ANPD dá garantia da segurança jurídica para o setor. Todos ganham com esse processo, pois a autoridade nacional não terá braço para regular rapidamente. E, em relação ao conhecimento técnico do negócio e a segurança necessária, ninguém tem mais propriedade do que o próprio setor.


A autorregulação regulada na Europa já é prevista na General Data Protection Regulation (GDPR). No entanto, os destinatários desse modelo regulatório na norma europeia são apenas as associações. Já no Brasil, a lei é mais abrangente ao possibilitar que tanto as associações quanto as empresas – de forma individual – criem o programa de governança em privacidade.


A única ressalva sobre a autorregulação regulada é que a LGPD não apresenta o procedimento de como fazer o processo de validação das boas práticas, o que na GDPR está previsto detalhadamente. No entanto, tramita no Congresso Nacional projeto de lei de autoria do senador Antonio Anastasia (PL 6212/2019), que trata sobre o procedimento da homologação da ANPD em relação às boas práticas criadas pelos setores. Além disso, a própria autoridade nacional poderá publicar o procedimento de validação.


Em resumo: o processo de autorregulação regulada, prevista na LGPD, trouxe para o Brasil o conceito da construção colaborativa das normas regulatórias. Criou um campo fértil para as organizações começarem a trabalhar boas práticas a partir de suas especificidades e necessidades, sendo possível o reconhecimento e validação pela ANPD após a sua constituição.


VOLTAR
  • Facebook
  • Telegram