Já escrevi sobre este tema, mas coloco sobre outro enfoque para análise.
Como já explicitado, traduzindo de maneira sucinta, Compliance se traduz em regramento, e é oriundo do verbo To Comply que junto ao tema digital, temos um conjunto de normas, normativas e regras que orientam o mundo digital.
Infelizmente não temos no Brasil a cultura do dado, nem mesmo do digital de forma mais plena.
Como assim?
Por exemplo, ao ingressar numa academia, numa portaria de prédio, nos é solicitado nossa identidade, muitas vezes biometria e a coleta destes dados fica armazenada onde? Para qual finalidade estes dados ficam armazenados? No dia a dia digital, nossos dados também ficam armazenados em navegadores, celulares, computadores entre outros dispositivos e a realidade é simples: Nos pedem os dados, fornecemos e na maioria das vezes após este fornecimento sequer sabemos para que fim estes dados estão sendo utilizados e se concordamos ou não com seu uso.
A Lei Geral de Proteção de Dados aprovada no Brasil (Lei 13.709/2018) registra de forma inequívoca a necessidade de interesse legítimo e autorização para coleta de dados, nos moldes do artigo 6º da lei:
Art. 6º As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:
I – finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
II – adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
III – necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
IV – livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
V – qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
VI – transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;
VII – segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
VIII – prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
IX – não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;
X – responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.
FONTE:
HTTP://WWW.PLANALTO.GOV.BR/CCIVIL_03/_ATO2015-2018/2018/LEI/L13709.HTM
Restritivo não é mesmo? E cria também conceitos que antes eram quiçá existentes, mas ainda não notórios, como por exemplo: Quem irá controlar estes dados dentro das empresas?
Nosso maior exemplo atual é a lei já em vigor européia sobre proteção de dados que criou a necessidade de regramentos como o Data Protection Impact Assessment (DPIA), figura apresentada no artigo 35 do referido regulamento, se fazendo necessário em hipóteses em que um certo tipo de tratamento, em particular que utilize novas tecnologias e tendo em conta a sua natureza, âmbito, contexto e finalidades, for suscetível de implicar um elevado risco para os direitos e liberdades das pessoas singulares. O DPIA trata de regras específicas de compliance digital onde conterão as informações necessárias do impacto da proteção de dados na empresa e seus riscos, cuidados, entre outros.
FONTE:
HTTPS://WWW.I-SCOOP.EU/GDPRARTICLE/GDPR-ARTICLE-35-DATA-PROTECTION-IMPACT-ASSESSMENT-DPIA/
E no Brasil, quem irá tratar do DPIA?
A figura do controlador e do operador estão determinadas a partir do artigo 37 da Lei 13.709/2018 e determinam uma série de exigências e regramentos para coleta, uso e descarte dos dados.
FONTE:
HTTP://WWW.PLANALTO.GOV.BR/CCIVIL_03/_ATO2015-2018/2018/LEI/L13709.HTM
E o impacto destes regulamentos no compliance digital?
Se a lei determina autorização expressa para tratamento dos dados pessoais (artigo 7º, I da Lei 13.709/18) e hoje temos a virtualização dos contatos entre empresas, relacionamento entre cliente e empresa, compras, venda e muito mais tudo no ambiente digital (onde leia-se: site, blogs, redes sociais, aplicativos de celular, blockchain, etc) a coleta e tratamento destes dados deverá obedecer toda normativa da lei e caberá ao jurídico e setores de compliance ditar as regras para como isto será feito.
Num exercício de raciocínio de mercado, vejamos a seguinte hipótese: Empresa A coleta dados do cliente B para que este compre mercadoria da empresa A. Observância clara da finalidade e autorização para coleta nos moldes da Lei. E quando a entrega da compra for finalizada e, portanto, a transação for encerrada? O artigo 15, inciso I é específico quanto ao término dos dados e o artigo 16 e seus incisos que o dado não pode ser armazenado.
Art. 15. O término do tratamento de dados pessoais ocorrerá nas seguintes hipóteses:
I – verificação de que a finalidade foi alcançada ou de que os dados deixaram de ser necessários ou pertinentes ao alcance da finalidade específica almejada;
(…)
Art. 16. Os dados pessoais serão eliminados após o término de seu tratamento, no âmbito e nos limites técnicos das atividades, autorizada a conservação para as seguintes finalidades:
I – cumprimento de obrigação legal ou regulatória pelo controlador;
II – estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
III – transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos nesta Lei; ou
IV – uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados.
E endereço, telefone, cartão de crédito e outros armazenados em sites, bancos de dados e outros?
E antes do término, nos requisitos iniciais para coleta e uso dos dados, houveram autorizações expressas (eletrônicas com prova da autorização)?
A lei entrará em vigor em breve e é imperioso que sejam repensados os fluxos internos atuais nas empresas, seus bancos de dados, relacionamento com cliente e outros para adequação a norma.
Principalmente porque as sanções por descumprimento são de valores elevados e com possibilidade de publicizar a infração (propaganda negativa mesmo), nos termos do artigo 52, incisos I, II, III e IV, que segue:
Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional:
I – advertência, com indicação de prazo para adoção de medidas corretivas;
II – multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
III – multa diária, observado o limite total a que se refere o inciso II;
IV – publicização da infração após devidamente apurada e confirmada a sua ocorrência;
Para que esta realidade seja benéfica e não uma tormenta, será necessário que sejam revistas as regras atuais de compliance, em especial o digital, inserindo a nova norma e seus conceitos de maneira clara, objetiva e principalmente simples, para dar a ciência inequívoca dos principais conceitos de coleta e uso dos dados, bem como minimizando riscos financeiros e de publicidade negativa as empresas.