quinta-feira , outubro 18 2018
Início / PERFIL / Lei de Proteção de Dados Pessoais vai exigir um planejamento mais eficaz dos auditores, avalia especialista

Lei de Proteção de Dados Pessoais vai exigir um planejamento mais eficaz dos auditores, avalia especialista

O Congresso Nacional aprovou antes do início do atual recesso parlamentar, um projeto de lei que institui no Brasil uma lei de proteção de dados pessoais. Toda vez que um cidadão preencher um cadastro pessoalmente ou pela internet a empresa pública ou privada que obter essas informações terá a responsabilidade de protege-las. Se houver algum tipo de vazamento haverá punições que podem variar de uma advertência a multas que podem chegar a 2% do faturamento, excluídos tributos. São valores que podem chegar a R$ 50 milhões por infração, além da proibição parcial ou total do exercício de atividades relacionadas ao tratamento de dados.

A proposta que ainda depende da sanção presidencial, determina também a criação de um órgão regulador denominado Autoridade Nacional de Proteção de Dados (ANPD) que estaria vinculado ao Ministério da Justiça. Mesmo a empresas com sede no exterior, estariam sujeitas a essa lei desde que a operação de tratamento de dados seja realizada no território nacional. Para os legisladores brasileiros a Lei Geral de Dados Pessoais (LGDP) como já está sendo chamada, é o ponto de partida para a implementação no Brasil de uma estratégia social em defesa dos cidadãos já existente em outros países.

Como se trata de um assunto importante que ainda traz dúvidas, o Portal Dedução buscou esclarecimentos com a presidente do Comitê de Ética do Instituto dos Auditores Internos do Brasil – IIA Brasil e Data Protection Officer (DPO) da Volkswagen do Brasil, Nancy Bittar.

Nancy, o que muda efetivamente no planejamento anual das auditorias com entrada em vigor dessa Lei Geral de Proteção de Dados Pessoais?

O planejamento anual das auditorias normalmente é feito com base na avaliação do risco dos processos e o tema de proteção de dados pessoais passa a ter um risco maior porque agora fará parte de um processo regrado por leis específicas, com penalidades capazes de abalar ou até mesmo encerrar negócios. Observo, entretanto, duas maneiras de inserir o tema no planejamento anual, uma delas é incluir análises de proteção de dados dentro de cada tema que compõe o programa de auditoria. Por exemplo, ao auditar o processo de pós-venda, incluir testes para verificar se a base de clientes está sendo tratada conforme os princípios básicos da lei. Outra maneira é fazer uma auditoria pura do assunto, são as chamadas “privacy audits” mais eficazes quando as empresas já estão com um nível mínimo de maturidade no tema.

Importante lembrar que há tempos o papel da Auditoria Interna deixou de ser apenas reativo apontando falhas pura e simplesmente. O bom profissional de auditoria na atualidade, busca atender as expectativas dos seus stakeholders e sempre que possível levanta a bandeira apontando riscos e oferecendo consultoria antes que um problema aconteça. Informar o risco à alta administração e apoiar controles mitigatórios, respeitando os limites de segregação de função e independência dos auditores, é sem dúvida um grande diferencial. Desta maneira, os auditores não devem esperar que a lei entre em vigor para simplesmente apontar os erros em um relatório. Eles devem se antecipar para que tudo corra bem e possam auditar apenas as aparas.

Quanto às empresas quais as precauções a serem seguidas?

Na era digital cada vez mais negócios são baseados em dados e isso não mudará. Na era do Big Data, da Internet das Coisas e do avanço da tecnologia que permite que os dados sejam coletados e tratados em uma escala sem precedentes, proteger os dados pessoais adotando controles de segurança e incentivando uma consciência legal é uma questão cada vez mais desafiadora. Caso a nova Lei Geral de Dados Pessoais (LGDP) seja sancionada como foi aprovada, mais do que nunca a coleta de dados pode significar tanto um valor, como um risco.

A nova lei de proteção de dados demandará das empresas um plano estratégico e, é claro, investimentos para assegurar que as medidas saiam do papel e cumpram pelo menos os requerimentos legais mínimos. Se por um lado, será necessário mais investimento em projetos de tecnologia, por outro, uma maior segurança jurídica, garantias e direitos aos titulares de dados pessoais serão providos.

Com clientes sedentos por privacidade, as empresas podem oportunamente usufruir do momento para ir além dos requisitos mínimos da lei que alinhado com um marketing inteligente tende a render vantagem comercial, agregar valor à imagem da empresa, conquistar clientes e é claro gerar mais lucros. Tudo depende de como a alta administração percebe este cenário e reage a ele.

De modo prático, após a aprovação da lei, entendo que provavelmente as empresas terão 18 meses para se adequarem aos seus requisitos. Elas precisarão começar criando ou atualizado suas políticas de privacidade e regras internas, nomeando um encarregado de proteção de dados pessoais (conhecido como Data Protection Officer – DPO), em seguida, estabelecendo um plano de resposta para incidentes de segurança, oferecendo muito treinamento e interação, e é claro, contando com um forte apoio e exemplo dos níveis mais altos da organização. Sem um “tone at the top” toda tentativa tende a falhar.

Analogamente, a lei anticorrupção tende a abrandar penalidades para empresas que tem um programa anticorrupção efetivo. A Lei de Dados Pessoais prevê que as entidades que tenham estabelecido um sistema de controle para evitar tratamento indevido de dados terão possivelmente sanções atenuadas. Isto reforça a importância de começar desde já a construção de um alicerce para proteção de dados, algo que requer tempo e dedicação, num país em que a privacidade não tem um valor ressaltado por motivos históricos como a Alemanha, por exemplo.

– Certo, mas como a lei brasileira de proteção de dados ainda não está regulamentada, como verificar se a empresa ou o negócio auditado está dentro do escopo da legalidade?

A futura lei, caso permaneça como foi aprovada, sem nenhum veto, será aplicável a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, país sede ou do país onde estejam localizados os dados, desde que a operação de tratamento seja realizada no território nacional. Portanto, não há como fugir dela e a transparência nas informações obtidas e a quem transmitidas será cada vez mais fundamental.

E como fica a situação do auditor diante de uma empresa auditada que eventualmente não queira expor dados pessoais de seus dirigentes?

A nova lei não prejudicará processos de auditoria. Os auditores internos trabalham de acordo com práticas que regram sua profissão. O Instituto dos Auditores Internos do Brasil (IIA Brasil) filiado ao Instituto dos Auditores Internos Global (IIA Global) estabelece em suas normas obrigatórias o direito irrestrito à informação aos auditores internos para que estes possam exercer suas funções. Munido deste direito e desde que estes dados estejam sendo requeridos em acordo com os princípios relevantes para tratamento de dados pessoais conforme descritos na LGDP, o auditor interno tem o direito de recebê-los e caso isto não ocorra, teremos uma limitação de escopo que deverá ser levada para discussão do mais alto nível hierárquico dentro da própria organização, ao conhecimento do Comitê de Auditoria ou, dependendo da criticidade do tema e do motivo da solicitação, a questão poderá até mesmo ser formalmente comunicada a um órgão externo.

– A criação de uma Agência Nacional de Proteção de Dados (ANPD), a seu ver irá funcionar bem no sentido de facilitar o trabalho dos auditores?

Primeiro, há ainda a incerteza se a lei será sancionada com ou sem a Autoridade de Proteção de Dados, porque a criação desta é uma atribuição do Poder Executivo e não do Legislativo. Na minha opinião, esta autoridade é fundamental para que haja uma interação produtiva com as empresas, promovendo, ao invés de inquisição e sanção, a prioridade para o diálogo, apoio, mutua cooperação, orientação, conscientização e informação. As sanções devem ser a última medida, principalmente quando houver dolo, práticas negligentes, condutas reiteradas ou extremamente graves. Espero sim que a ANPD desta maneira facilite o trabalho dos auditores.

A situação ainda nos parece pouco esclarecida em relação a possíveis multas que venham a ser aplicadas. Existe algum alerta a fazer?

A LGDP prevê a aplicação de sanções administrativas e multas de até dois por cento do faturamento da pessoa jurídica no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50 milhões por infração, independentemente de outras sanções administrativas, civis ou penais definidas em legislação específica.

O teor pesado das multas vem seguindo a tendência da GDPR e pode facilmente quebrar uma empresa que incorra em graves infrações e seja displicente com os dados pessoais de seus clientes, consumidores ou parceiros de negócios. Vale o alerta: as empresas deverão comunicar ao órgão competente e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, em prazo razoável (traçando um paralelo com a lei europeia são 72 horas).

Quanto ao Código Civil, Código Penal e Ministério Público, como estes poderão se enquadrar a legislação de proteção de dados?

O Ministério Público está cada vez mais atuante no tema. Muitos escândalos de tratamento indevido de dados pessoais já são destaques na mídia e têm sido alvo de investigações independente de termos uma legislação específica publicada. Não tenho o que comentar sobre a relação com o Código Civil e Código Penal.

Houve nos Estados Unidos escândalo ao se descobrir que durante a campanha presidencial a empresa Cambridge Analytica extraiu perfis do Facebook de pessoas favoráveis às ideias do então candidato Donald Trump e junto a elas fez propaganda eleitoral. Com a nova lei em vigor no Brasil será possível evitar algo semelhante durante a nossa campanha presidencial?

A nova lei tende a minimizar as chances de tratamento indevido ou vazamento de dados (como o caso do Facebook) mas não é possível afirmar que impedirá que tais situações ocorram. Ter a lei nunca é garantia que não haverá infração. Como a nova lei é esperada para entrar em vigor daqui há 18 meses é muito cedo para acreditar que ela possa evitar situações como a que ocorreu na campanha de Trump nas nossas próximas eleições.

Voltando às empresas vale a pena orientar para que seus executivos busquem ajuda de especialistas jurídicos para uma análise da lei brasileira com base na legislação internacional, especialmente a europeia aprovada recentemente? Você sabe em detalhes a lei europeia, por favor explique.

A lei europeia, conhecida pela sigla GDPR, prevê novas obrigações às empresas que coletam ou processam dados pessoais, estejam ou não em território europeu. Fica proibida a transferência de dados entre sociedades europeias e estrangeiras, salvo se atendidas condições da nova regulamentação. O alcance internacional das regras de proteção de dados pessoais foi uma das diretrizes fundamentais na elaboração da lei europeia.

Vale buscar ajuda de especialistas. Uma análise de compliance com os itens mandatórios e recomendáveis da legislação local e internacional é fundamental. A boa notícia é que se a empresa estiver aderente a GDPR muito provavelmente já estará cumprindo os requisitos da LGDP.

E sobre dados pessoais secretos, como de saúde, biometria, bem como dados sobre de menores de idade, há como se requerer uma proteção maior? Qual sua orientação?

Sem dúvida, dados pessoais relacionados a saúde, biometria, bem como dados de menores requerem proteção extra. O Relatório de Impacto à Proteção de Dados Pessoais (Privacy Impact Assessment – PIA), ferramenta aplicável em qualquer organização, permite identificação, análise e mitigação dos riscos de privacidade em processos, políticas e até mesmo em novos projetos. Esse certamente é um instrumento que pode auxiliar a mapear estes dados nas empresas e avaliar seu tratamento e salvaguardas. Pode ser o caminho para identificação de pontos críticos dentro da empresa como estes tipos particulares de dados pessoais mencionados.

 

– Enfim, Nancy. Qual a sua expectativa em relação à implantação no Brasil da nossa Lei Geral de Dados Pessoais (LGDP). Gostaria que ressaltasse os benefícios ou possíveis prejuízos que ela pode trazer e quais os prazos previstos para a adaptação completa das empresas a essa nova legislação?

Resultado de um longo debate público iniciado em 2010, a LGPD esperançosamente trará não apenas uma lei sobre a internet, mas uma legislação robusta em termos de proteção de dados pessoais. Este novo modo de utilizar dados pessoais tende para um equilíbrio de interesses sociais e econômicos, entre liberdade, empoderamento e segurança. Espero que favoreça o crescimento dos negócios digitais e inovação, uma vez que proporcionará um ambiente e infraestrutura para garantir a privacidade do cidadão quanto ao uso de seus dados.

Não há chance de frear uma economia baseada em dados, que são tratados em uma velocidade sem precedentes e utilizados como moeda de pagamento para excelentes serviços e benefícios para os cidadãos. Contudo, é preciso haver conceitos claros, regras, controles, monitoramento e fiscalização para que tal utilização seja realizada de forma justa, transparente e proporcional.

Os países da União Europeia tiveram 24 meses de adaptação para a GDPR e a correria foi grande. Nós teremos um pouco menos tempo (18 meses) e ainda o desafio cultural. A maioria dos brasileiros ainda não conhece o valor de seus dados e a cultura de proteção de dados nas organizações brasileiras ainda é incipiente. Não há tempo a perder.

 

Texto e entrevista: Geraldo Nunes
Crédito foto: Amanajé Comunicação

Próximo Post

Como obter a restituição do Imposto de Importação?

O imposto de importação é o imposto devido em relação a um produto estrangeiro. Ele …