Data Protection Officer (Encarregado) - Ed. 2020

Plano de Resposta a Incidentes de Segurança de Dados Pessoais

Entre no Jusbrasil para imprimir o conteúdo do Jusbrasil

Acesse: https://www.jusbrasil.com.br/cadastro

Camilla do Vale Jimene 1

Maurício Antonio Tamer 2

Introdução

No capitalismo informacional, proposto por Manuel Castells na trilogia A Era da Informação: Economia, Sociedade e Cultura, o conhecimento privilegiado de informações sobre algo ou alguém representa poder. É nesse contexto sociológico que a LGPD veio para regulamentar o ecossistema de proteção de dados pessoais no Brasil, estabelecendo diversas regras, direitos e deveres, com especial enfoque nos agentes de tratamento de dados pessoais.

Sob a perspectiva da governança corporativa, referido Diploma Legal foi bastante positivo, pois forneceu um guia orientativo para as organizações ao recomendar a implementação de um programa de governança em privacidade, baseado em um conjunto de controles internos a ser adotado pela alta administração para gerir dados pessoais nos termos da lei, de modo a conferir segurança jurídica razoável de que os objetivos do negócio estão sendo alcançados dentro da legalidade e com eficiência nas operações.

O estabelecimento de Políticas Internas, respaldadas em processos de avaliação de riscos à privacidade, é o alicerce desse modelo de gestão voltado à conformidade.

Inclusive, fica clara a intenção da lei de estimular os agentes de tratamento de dados nesse sentido, na medida em que estabelece como um dos parâmetros balizadores para a aplicação de sanções administrativas, a existência de política de boas práticas e governança e a pronta adoção de medidas corretivas.

Ao descrever o que deveria minimamente constar do programa de governança em privacidade, a lei menciona os planos de resposta a incidentes e remediação, tema sobre o qual nos debruçaremos ao longo do presente artigo.

1.Governança corporativa e controles internos em privacidade

A existência de programa de compliance em privacidade que se propõe com seriedade e no melhor exercício de conformidade às normas que regulam a proteção de dados pessoais, passa também pela boa estruturação interna do agente de tratamento (controlador ou operador).

Quanto mais bem estruturada a organização, melhor são potencializadas as chances de efetividade na atuação preventiva e/ou reativa diante de um episódio que implique riscos ou danos à privacidade. Inclusive, pensando-se no Encarregado ou do Data Protection Officer – DPO, em si considerada, como em relação a qualquer outra própria da atividade empresarial, a estruturação interna, com a delimitação de tarefas e responsabilidades só tem a acrescentar ao desempenho da função. Os mecanismos de governança corporativa são, em linhas gerais, os instrumentos por meio dos quais tal estruturação se dá e evolui.

A governança corporativa, enquanto ideia ou reunião de instrumentos aptos à estruturação, tem bases históricas no melhor trato das chamadas relações de agência 3 . A primeira noção da necessidade de melhor estruturação das organizações se dá em 1933 com a publicação do trabalho The modern corporation and private property por Adolf Berle Jr. e Gardiner Means em que sustentam a necessidade de maior transparência e prestação de contas pelos administradores aos acionistas ou efetivos proprietários (relação de agência) 4 - 5 . Em 1999, a OCDE também confere contribuição destacada ao tema com a publicação do documento OECD Principles of Corporate Governance, que passou pela segunda revisão mais recente, em 2015 (G20/OECD Principles of Corporate Governance). Apresenta definições e princípios que melhor delimitaram a ideia de governança corporativa, destacando o endereçamento da questão em cenário internacional.

No Brasil, merecem destaque o Código de Melhores Práticas de Governança Corporativa do Instituto Brasileiro de Governança Corporativa – IBGC, de 2015 6 , o Código Brasileiro de Governança Corporativa – Companhias Abertas 7 , a Instrução nº 480 de 2009 da Comissão de Valores Mobiliários – CVM 8 e o documento do Banco Central intitulado Governança Cooperativa, sobre os mecanismos de governança nas cooperativas de crédito 9 .

Nos termos do Código do IBGC, é “o sistema pelo qual as empresas e demais organizações são dirigidas, monitoradas e incentivadas, envolvendo relacionamentos entre sócios, conselho de administração, diretoria, órgãos de fiscalização e controle e demais partes interessadas” 10 . No mesmo sentido, conforme prefácio do Secretário-Geral da OCDE no documento G20/OECD Principles of Corporate Governance, a governança corporativa tem por objetivo ajudar a construir um ambiente de confiança, transparência e prestação de contas necessários para fomentar os investimentos consistentes de longo-prazo, a estabilidade financeira e a integridade das atividades empresariais, em apoio ao crescimento econômico e ao desenvolvimento de sociedades mais inclusivas 11 . Também, como coloca Marcelo Zenkner, a governança corporativa pode ser compreendida como “o conjunto de disposições que permitem assegurar que os objetivos pretendidos pelos dirigentes são legítimos e que os meios escolhidos para atingir esses objetivos são adequados” 12 - 13 .

Como compromisso originário, tem por objetivo sanar ou mitigar cinco questões presentes nas grandes organizações: (i) os chamados conflitos de agência; (ii) os chamados custos de agência; (iii) o problema dos direitos assimétricos; (iv) a necessidade do tratamento equilibrado de todos os atores envolvidos na atividade econômica desenvolvida; e (v) as chamadas forças de controle. Estas últimas que tocam especialmente ao tema aqui tratado.

Forças de controle são externas ou internas. São as estruturas normativas e práticas vocacionadas a evitar a ocorrência de ilícitos ou sancionar os responsáveis se estes não foram evitados previamente. Como forças externas, têm-se, por exemplo, os marcos legislativos regulatórios, como o próprio Marco Civil da Internet, o Decreto nº 8.771 de 2016, a General Data Protection Regulation – GDPR e a Lei Geral de Proteção de Dados – LGPD. Como forças internas podem ser mencionadas as políticas internas de estruturação e modelos diferenciados de remuneração de gestores (como, v.g., a remuneração do DPO divorciada de qualquer resultado financeiro da organização para evitar conflito de interesse). Em segurança da informação e privacidade, destaca-se a existência necessária de uma política consistente de segurança da informação, de uma política de privacidade, documentação de jobs descriptions com responsabilidades bem delimitadas etc. As chamadas medidas de enforcement são identificadas na aplicação prática e transparente das sanções decorrentes dessas forças externas e internas. As sanções legais (responsabilização civil, penal ou administrativa), assim, são exemplos de medidas de enforcement externas. As consequências decorrentes de inobservância das normas internas de governança e compliance (v.g. não promoção do colaborador, aplicação de multas etc.) são medidas de enforcement internas.

Fato é que as estruturas de governança e controles internos são fundamentais para que a tarefa de conformidade (compliance) em privacidade seja constantemente aperfeiçoada e efetiva, dentro do modelo de negócio da organização. Assim, as ideias relacionadas à governança corporativa têm natureza eminentemente principiológica 14 , com a estruturação normativa mais ampla, permitindo a adaptação das diretrizes para cada modelo de negócio.

Parece ser por isso, por exemplo, que a GDPR indica princípios a serem observados no tratamento dos dados pessoais (art. 5º) e, da mesma forma, a LGPD relaciona, em seu art. 6º, os princípios de observância obrigatória no tratamento de dados pessoais: (i) finalidade; (ii) adequação; (iii) necessidade; (iv) livre acesso; (v) qualidade dos dados; (vi) transparência; (vii) segurança; (viii) prevenção; (ix) não discriminação; e (x) responsabilização e prestação de contas. Em relação aos parâmetros de governança corporativa, destaca-se a incorporação pela LGPD dos princípios da transparência e da prestação de contas (accountability), ambos, inclusive, presentes nos documentos normativos referidos anteriormente.

Por sua vez, as chamadas “boas práticas de governança em privacidade” são aquelas que bem convertem as principais diretrizes ou princípios de respeito à privacidade em práticas e atitudes concretas no dia a dia da organização e dos serviços que presta. São as providências que trazem para a verificação prática os cuidados de privacidade e o respeito aos marcos regulatórios específicos. Medidas que concretizam um quadro próprio de proteção e compliance da organização.

Por isso, também, a LGPD indica que os agentes de tratamento devem seguir as boas práticas de governança em privacidade: “Art. 50. Os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.”.

No § 2º, do mesmo artigo, são relacionadas providências exemplificativas de uma estrutura de governança em privacidade adequada: “§ 2º Na aplicação dos princípios indicados nos incisos VII e VIII do caput do art. 6º desta Lei, o controlador, observados a estrutura, a escala e o volume de suas operações, bem como a sensibilidade dos dados tratados e a probabilidade e a gravidade dos danos para os titulares dos dados, poderá: I – implementar programa de governança em privacidade que, no mínimo: a) demonstre o comprometimento do controlador em adotar processos e políticas internas que assegurem o cumprimento, de forma abrangente, de normas e boas práticas relativas à proteção de dados pessoais; b) seja aplicável a todo o conjunto de dados pessoais que estejam sob seu controle, independentemente do modo como se realizou sua coleta; c) seja adaptado à estrutura, à escala e ao volume de suas operações, bem como à sensibilidade dos dados tratados; d) estabeleça políticas e salvaguardas adequadas com base em processo de avaliação sistemática de impactos e riscos à privacidade; e) tenha o objetivo de estabelecer relação de confiança com o titular, por meio de atuação transparente e que assegure mecanismos de participação do titular; f) esteja integrado a sua estrutura geral de governança e estabeleça e aplique mecanismos de supervisão internos e externos; g) conte com planos de resposta a incidentes e remediação; e h) seja atualizado constantemente com base em informações obtidas a partir de monitoramento contínuo e avaliações periódicas; II – demonstrar a efetividade de seu programa de governança em privacidade quando apropriado e, em especial, a pedido da autoridade nacional ou de outra entidade responsável por promover o cumprimento de boas práticas ou códigos de conduta, os quais, de forma independente, promovam o cumprimento desta Lei”.

É nesse contexto mais amplo que a existência de um plano de resposta de incidente em segurança em dados pessoais se justifica. Providências preventivas são absolutamente importantes, mas são igualmente fundamentais as providências que serão adotadas pela organização ao ser identificado um incidente de segurança dessa natureza e relevante para a LGPD (sobre o qual se falará no próximo item).

As medidas que integram um plano de resposta a incidentes e que, em boa parte, devem ser capitaneadas pelo Encarregado ou DPO no momento de tratamento do episódio não só tem objetivos de contenção de prejuízos externos (v.g. responsabilização jurídica de parceiros comerciais; responsabilização jurídica por danos aos titulares de dados pessoais individual ou coletiva; responsabilização administrativa por parte das autoridades; riscos de abalos reputacionais perante o mercado etc.), mas também objetivos de evolução de governança internos. Um plano bem executado ou planos bem executados em sequência, em caso de vários episódios, são responsáveis por criar uma trilha de identificação de falhas anteriores do trato da privacidade pela organização e de conhecimento das medidas de correção necessárias, possibilitando um ciclo virtuoso de avanço à conformidade em privacidade.

2.O que é um incidente de segurança para a LGPD?

Partindo-se da premissa que o plano de resposta a incidentes de segurança de dados pessoais, consiste nas providências que serão adotadas pela organização ao ser identificado um incidente de segurança, é fundamental a definição da premissa basilar: o que pode...

Uma experiência inovadora de pesquisa jurídica em doutrina, a um clique e em um só lugar.

No Jusbrasil Doutrina você acessa o acervo da Revista dos Tribunais e busca rapidamente o conteúdo que precisa, dentro de cada obra.

  • 3 acessos grátis às seções de obras.
  • Busca por conteúdo dentro das obras.
Ilustração de computador e livro
jusbrasil.com.br
7 de Dezembro de 2021
Disponível em: https://thomsonreuters.jusbrasil.com.br/doutrina/secao/1207548788/plano-de-resposta-a-incidentes-de-seguranca-de-dados-pessoais-data-protection-officer-encarregado-ed-2020