Se os dados são o petróleo da geração 4.0, a adequação à Lei Geral de Proteção de Dados – LGPD – é a nova fase do Compliance, sendo necessário o comprometimento de todas as empresas, sobretudo das startups, à cultura do tratamento ético e responsável dos dados de pessoas físicas.
Não é novidade que a conformidade às leis e a cultura do Compliance são, além de um diferencial no mercado, uma garantia de escalabilidade, de aumento de faturamento e de perpetuação de startups.
É que, após a sanção da Lei Geral de Proteção de Dados Pessoais, que entrará em vigor em agosto de 2020, todos os envolvidos no tratamento de dados terão o dever de observar os princípios elencados no artigo 6º da referida lei, dentre os quais, chamam atenção o princípio da segurança na proteção de dados e o princípio da responsabilização e prestação de contas.
O princípio da segurança na proteção de dados está intimamente ligado às políticas de integridade que serão implementadas pelos controladores, que devem abarcar não apenas medidas de cibersegurança, mas, principalmente, métodos e normas administrativas que sejam capazes de realizar a proteção dos dados pessoais. Nesse sentido, o objetivo da adoção dessas medidas é impedir que os mesmos sejam acessados por terceiros não autorizados, bem como para que não ocorra qualquer tipo de modificação no uso dos dados que possa acarretar a destruição, perda, alteração ou vazamento dos mesmos de forma acidental ou ilícita.
Apesar de não existirem sistemas de tecnologias da informação completamente invulneráveis, as empresas devem adotar um padrão razoável e proporcional de segurança, de forma a garantir um máximo de proteção e confiabilidade aos titulares quanto ao tratamento de seus dados pessoais.
Assim, é importante a percepção de que a Lei Geral de Proteção de Dados Pessoais, ao exigir que os agentes de tratamento adotem políticas de boas práticas e governança no tratamento de dados pessoais, não está a exigir apenas a adoção de medidas de segurança digital, sendo estas somente uma parte integrante da política de boas práticas e governança.
Não sem razão, a LGPD é expressa em seu artigo 50 ao disciplinar que as regras devem estabelecer medidas que vão além da segurança digital, isto é, devem-se estabelecer, também, as condições de organização, o regime de funcionamento, as obrigações dos envolvidos no tratamento dos dados, as ações educativas, bem como outros aspectos relacionados ao tratamento de dados pessoais.
Daí dizer que um programa de cibersegurança é incompleto sem as bases de Governança, Análise de Riscos e Compliance (GRC), pois o que a lei exige, de fato, é a implementação de um Programa de Governança e Compliance em privacidade efetivo, capaz de proteger os dados pessoais dos titulares, em atendimento às normas e boas práticas de segurança digital.
Logo, a segurança digital integra a governança digital, mas não se confunde com ela e tampouco é independente, não sendo possível a realização de segurança digital sem metodologia técnica que a parametrize de acordo com as normas de Governança e Compliance adotadas. Inclusive, o parágrafo único, do artigo 44, da LGPD, é expresso ao determinar a responsabilidade pelos danos decorrentes da violação de segurança dos dados ao controlador ou operador que deixar de adotar as medidas de segurança adequadas.
Naquilo que diz respeito ao princípio da responsabilidade e prestação de contas, este deixa claro aos controladores e operadores que ambos são responsáveis pelo tratamento dos dados pessoais dos titulares, sendo necessária a comprovação das medidas de proteção adotadas por ambos. Da mesma forma, o princípio em análise é responsável por determinar que recaia também sobre ambos a responsabilidade de prestar contas acerca da eficácia e da efetividade do programa de segurança adotado, de acordo com os objetivos da lei.
Assim, em caso de cometimento de atos ilícitos, o que integra a não observância dos princípios citados, os responsáveis pelo tratamento de dados poderão sofrer sanções administrativas gravosas, dentre as quais: a aplicação de multa de até 50 milhões de reais, a publicização da informação da prática do ilícito, o bloqueio dos dados pessoais e até mesmo a eliminação desses dados, conforme disciplina o artigo 52 da LGPD.
Em relação à cultura da integridade ao tratamento de dados das startups, a publicidade negativa decorrente da divulgação do ato ilícito praticado pela empresa ou a perda dos dados por esta mesma empresa, são, sem sombra de dúvidas, as sanções mais gravosas.
É que, startups que coletam dados e os repassam para outra empresa, por exemplo, ao restarem impedidas de tratar esses dados em razão de sanções decorrentes da LGPD, terão de suspender sua operação, e, por conseguinte, sofrerão enormes prejuízos como a perda de clientes, redução de faturamento, além de serem mal vistas no mercado, inclusive por seus fornecedores.
A perda reputacional é, portanto, o grande dano a ser enfrentado pelas startups que não se adequarem aos ditames da LGPD. E essa perda reputacional poderá ocasionar severos outros prejuízos, que, em muitos casos, poderão ser irreparáveis, levando as startups a não operação e ao esquecimento.
Nenhuma startup quer ser esquecida ou deixada para trás, por isso, de suma importância que essas empresas assumam de vez por todas o protagonismo de adequação à cultura do tratamento ético e responsável dos dados de pessoas físicas.
Precisa-se deixar claro que a LGPD não veio para engessar ou dificultar a atuação das startups, mas sim, que é um instrumento que garante a perpetuação das mesmas, desde que se adaptem à nova realidade de proteção de dados proposta.
Referências:
MALDONADO, Viviane Nóbrega Maldonado; BLUM, Renato Opice. LGPD: Lei Geral de Proteção de Dados Comentada. São Paulo: Thomson Reuters Brasil, 2019.