Conexidade entre Proteção de Dados e Corrupção
26 de setembro de 2020
Autora: Gabriela Guimarães
A corrida para a criação e implementação de medidas para atendimento da Lei Geral de Proteção de Dados (Lei 13.709/2018, denominada “LGPD”), em vigor desde o dia 18 de setembro, ganha força na medida que as autoridades ampliam a fiscalização e decisões judiciais já vem sendo observadas, ainda que a ANPD- Agência Nacional de Proteção de Dados esteja em processo de instalação e sua previsão de funcionamento seja para agosto de 2021.
A construtora Cyrela foi condenada a pagar multa por danos morais, no valor de R$ 10.000,00, por compartilhar dados de um cliente. De acordo com a decisão da juíza Tonia Yuka Koroku, da 13ª Vara Cível do Foro Central de São Paulo, o cliente “foi assediado por diversas empresas pelo fato de ter firmado instrumento contratual com a ré para a aquisição de unidade autônoma em empreendimento imobiliário”.
- As multas que foram diferidas para 2021 se referem às punições que podem ser aplicadas administrativamente pela ANPD.
Fonte: G1
Como resultado da lei, um novo profissional também surgiu no mercado, o DPO – Data Protection Officer (em português, Agente de Proteção de Dados; na LGPD denominado “Encarregado”), que é o responsável por orientar qualquer ação relacionada à proteção de dados.
Na condição de “guardião da LGPD” é ele o profissional responsável pela administração de todo fluxo das informações que permitem a identificação de uma pessoa, também daquelas caracterizadas como sensíveis, conforme dispõe o artigo 5º da Lei, desde a sua coleta e tratamento à eventual distribuição/ compartilhamento.
Este profissional, assim como o Compliance Officer, pela amplitude da temática, deve ter conhecimento multidisciplinar, e a ele é prudente que seja garantida a autonomia e independência, como especificamente disposto na GDPR (Regulamento Geral sobre a Proteção de Dados da União Europeia), sem as quais presente o risco de prejuízos à estrutura de Governança em Privacidade e Proteção aos Dados Pessoais, que exige (i) recursos próprios condizentes com a natureza e porte da organização, e com o volume e especificidades das operações de tratamento de dados, (ii) acesso irrestrito aos dados pessoais e às operações de tratamento, (iii) medidas para evitar ingerência/ interferência em suas atividades, conflito de interesses e eventual retaliação ao profissional.
Contudo, a similaridade entre proteção de dados e Compliance vai muito além do perfil e particularidades dos cargos – linha de reporte – e mesmo das atividades que são comuns a ambos os Programas, o de Compliance, e o de Segurança da Informação e Proteção de Dados (por muitos denominados Compliance Digital): treinamento, monitoramento de normas, avalição de risco, criação de políticas e atualização constante do Programa.
As matérias encontram confluência em risco de infração à dispositivos legais até então dispares, mas que com a lei tornaram-se conexos. É o caso da Lei de Propriedade Industrial (Lei 9.279/96) que em seu artigo 195, incisos IX e X, trata da “corrupção privada”.
No caso, aquele que receber dinheiro ou qualquer objeto de valor, ou aceitar promessa de paga ou recompensa pelo compartilhamento de dados pessoais, proporcionando vantagem a um concorrente do seu empregador, poderá sofrer sanções administrativas, civis e/ou penais. A empresa, por sua vez, apesar do infrator ter faltado ao seu dever de empregado, poderá ser responsabilizada caso evidenciado que o ocorrido decorreu de ações ineficazes de preservação dos princípios gerais de proteção de dados, de medidas de segurança falhas/de tratamento irregular de dados.
Em novembro de 2019, um funcionário da operadora de telefonia móvel T-Mobile vendeu dados pessoais de clientes britânicos à concorrência. O caso chegou ao Information Commissioner’s Office (ICO), órgão ligado ao Ministério da Justiça britânico que defende o direito à privacidade de dados dos indivíduos.
Fonte: G1
Nesse sentido, importante que o Compliance Officer e o DPO trabalhem lado a lado, desde o mapeamento legal e monitoramento de novas regulamentações à interação com autoridades públicas. No trabalho de cooperação, não se pode olvidar do gerenciamento e tratamento compartilhado de riscos comuns, tampouco das medidas necessárias à prevenção e contenção de crises – o vazamento de dados inevitavelmente traz consigo riscos reputacionais, pois colocam em xeque a segurança da empresa, pelo que podem resultar, dentre outras coisas, em fuga de capital.
A cooperação entre os profissionais, no entanto, não deve ser confundida com dependência ou subordinação entre eles, pois, uma supervisiona a outro. Se por um lado as rotinas de Compliance demandam tratamento constante e relevante de dados pessoais, impondo a necessidade de uma fiscalização independente, por outro, a interação do DPO com a autoridade nacional, gera para a atividade o risco de corrupção, razão da importância do seu monitoramento pelo Compliance Officer.
Em junho do presente ano, a Autoridade Belga de Proteção de Dados multou uma operadora de telefonia local em 50 mil euros em razão de inadequada nomeação de DPO, que concluiu pela impossibilidade de cumulação das funções de DPO e Head de Compliance.
Fonte: Migalhas
No tocante a corrupção, além da promessa, oferta e entrega de vantagem indevida a agente público, é importante atentar para os riscos de atuação orientada para dificultar atividade de investigação ou fiscalização da ANDP, pois isso poderá configurar ato lesivo à Administração Pública e, como consequência, infração ao disposto no art. 5º da Lei Anticorrupção (Lei 12.846/13).
Os riscos de corrupção e infração à lei de proteção de dados parecem ser bem maiores na área pública, como, por exemplo, a disponibilização dos cadastros de aposentados e pensionistas do INSS para instituições financeiras venderem crédito consignado, também o recorrente compartilhamento de informações constantes em banco de dados de delegacias e centros de atendimento ao cidadão.
Pode-se deduzir do exposto que dados pessoais são ativos valiosíssimos, que devem ser preservados para evitar atos de corrupção. Nesse sentido, a articulação entre o Compliance Officer e o DPO é de fundamental importância para que todo o regramento seja seguido, garantindo a preservação da reputação corporativa e de pessoas relacionadas.