Por Gabriela Totti - Advogada da Biolchi Empresarial, especialista em proteção de dados
Uma das inovações da Lei Geral de Proteção de Dados (LGPD) foi prever a possibilidade de os agentes de tratamento formularem regras de boas práticas e de governança no âmbito de suas competências. Isto é, a lei permite que o próprio setor possa se autorregular em relação à privacidade e à proteção de dados.
A norma estabelece que a responsabilidade de cuidado e de proteção dos dados é de quem faz o tratamento (Princípio da Responsabilização e Prestação de Contas). A falta da constituição da Autoridade Nacional de Proteção de Dados (ANPD) não impede que organizações públicas e privadas busquem a adequação à lei. Na verdade, é uma oportunidade para as empresas desenvolverem boas práticas de governança, tendo como parâmetro as especificidades de cada setor.
A LGPD define alguns critérios a serem considerados no momento de estabelecer as boas práticas por setor. São eles: a natureza, o escopo, a finalidade, a probabilidade e a gravidade dos riscos e dos benefícios que decorrem do tratamento de dados. Assim, cada setor pode começar a trabalhar as boas práticas a partir de suas especificidades, desde que observadas as premissas legais.
A partir do artigo 46, a lei apresenta um capítulo de segurança, de boas práticas e de governança, um roteiro para as organizações que querem proteger os dados tratados. Ou seja, a LGPD é um mapa do que deve conter um programa de conformidade de proteção de dados. Sobre a autorregulação, a norma determina os critérios mínimos a serem observados na implementação de um programa de governança em privacidade:
1) Demonstração do comprometimento do controlador em adotar processos e políticas internas que assegurem o cumprimento de normas e boas práticas em relação à proteção de dados.
2) Aplicação do programa em todo o conjunto de dados pessoais tratados.
3) Adaptação à estrutura, escala e volume das operações, e também em relação à sensibilidade dos dados tratados.
4) Estabelecimento de políticas e salvaguardas com base em processo de avaliação sistemática de impactos e riscos à privacidade.
5) Estabelecimento de relação de confiança com o titular dos dados, garantindo transparência e mecanismos de participação do titular.
6) Integração com a estrutura geral de governança, com aplicação de mecanismos de supervisão internos e externos.
7) Planos de respostas a incidentes e remediação.
8) Atualização constante a partir de monitoramento contínuo e de avaliações periódicas.
A LGPD é uma quebra de paradigmas em relação a regulação. A lei prevê a possibilidade de o Estado não regular diretamente o setor e, sim, ter uma atuação passiva. Ele cria a sua regulação e apresenta à ANPD reconhecer as boas práticas implementadas. Essa oportunidade está contemplada no parágrafo 3º do artigo 50 da lei:
§ 3º As regras de boas práticas e de governança deverão ser publicadas e atualizadas periodicamente e poderão ser reconhecidas e divulgadas pela autoridade nacional.
A chancela das boas práticas pela ANPD dá garantia da segurança jurídica para o setor. Todos ganham com esse processo, pois a autoridade nacional não terá braço para regular rapidamente. E, em relação ao conhecimento técnico do negócio e a segurança necessária, ninguém tem mais propriedade do que o próprio setor.
A autorregulação regulada na Europa já é prevista na General Data Protection Regulation (GDPR). No entanto, os destinatários desse modelo regulatório na norma europeia são apenas as associações. Já no Brasil, a lei é mais abrangente ao possibilitar que tanto as associações quanto as empresas – de forma individual – criem o programa de governança em privacidade.
A única ressalva sobre a autorregulação regulada é que a LGPD não apresenta o procedimento de como fazer o processo de validação das boas práticas, o que na GDPR está previsto detalhadamente. No entanto, tramita no Congresso Nacional projeto de lei de autoria do senador Antonio Anastasia (PL 6212/2019), que trata sobre o procedimento da homologação da ANPD em relação às boas práticas criadas pelos setores. Além disso, a própria autoridade nacional poderá publicar o procedimento de validação.
Em resumo: o processo de autorregulação regulada, prevista na LGPD, trouxe para o Brasil o conceito da construção colaborativa das normas regulatórias. Criou um campo fértil para as organizações começarem a trabalhar boas práticas a partir de suas especificidades e necessidades, sendo possível o reconhecimento e validação pela ANPD após a sua constituição.
