LGPD, Lei Anticorrupção e compliance como atenuante de eventuais penalidades
Autores
31 de janeiro de 2023, 19h22
A Lei Geral de Proteção de Dados é uma realidade no cenário brasileiro, devendo toda operação de tratamento [1] observar os seus ditames, sob pena da aplicação das penalidades elencadas na norma, notadamente as inseridas no artigo 52 em seus diversos incisos (as quais começam com uma "mera" advertência e chegam a, até mesmo, multas milionárias e proibição do tratamento dos dados).
Por isso, exsurge importante a adequação dos agentes de tratamento às regras impostas pela LGPD, tais como a disponibilização facilitada sobre as informações de tratamento aos titulares [2], a elaboração de relatórios de impacto em caso de tratamentos que possam gerar riscos às liberdades civis e direitos fundamentais [3], bem como a manutenção de registro[4] das operações de tratamento devidamente apoiadas nas hipóteses autorizadoras dos dispositivos do artigo 7° e do artigo 11 da LGPD. Caso contrário, a autoridade apta à aplicação das sanções, ou seja, a Autoridade Nacional de Proteção de Dados (ANPD), entrará em cena e desempenhará o seu papel trazido no âmbito do artigo 55- J e seus incisos.
Tendo isso em mente e partindo de premissas já estabelecidas pela doutrina a respeito de diversos dispositivos da norma, o que se pretende neste artigo é tratar de um tema ainda não muito versado na literatura especializada e que diz respeito a uma das "atenuantes" [5] inseridas no âmbito do artigo 52, §1° da LGPD, especificamente em seus incisos VIII e IX, que trata de normas de compliance [6]. Feita explicação breve sobre estes dispositivos, partiremos para o estudo da Lei Anticorrupção (Lei n° 12.846), a qual também possui dentre suas "atenuantes", regras de compliance aplicadas por empresas e corporações, buscando, como escopo central desse breve artigo mútuas contribuições entre as matérias, principalmente no que tange à regulamentação da temática no âmbito da LGPD pela ANPD. Com isso, somente tem a ganhar o Direito enquanto ciência una e que deve primar pela sua compreensão enquanto sistema coerente e íntegro [7].
Dessa feita, para iniciar nosso breve estudo, todavia, elenquemos o artigo que nos serve de objeto de estudo, com especial enfoque às regras de compliance:
"Artigo 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional:
(…)
§1º As sanções serão aplicadas após procedimento administrativo que possibilite a oportunidade da ampla defesa, de forma gradativa, isolada ou cumulativa, de acordo com as peculiaridades do caso concreto e considerados os seguintes parâmetros e critérios:
(…)
VIII – a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados, em consonância com o disposto no inciso II do §2º do artigo 48 desta Lei;
IX – a adoção de política de boas práticas e governança;"
Como se depreende de uma breve leitura, a LGPD trata os incisos como "parâmetros" e "critérios" a serem sopesados quando da dosimetria e fixação da pena, levando em consideração, principalmente a existência de mecanismos de prevenção e boas práticas (governança), que nada mais passam do que a existência do compliance em relação ao tratamento de dados. A doutrina especializada já teceu alguns comentários sobre tal prática, sendo importante o seu destaque [8]:
"(…) mecanismos de boas práticas e governança têm como objetivo buscar o cumprimento da lei. Nesse sentido, são instrumentos de governança corporativa que visam a estabelecer procedimentos que facilitem e viabilizem o cumprimento da legislação. Não pretendem eliminar completamente a chance de ocorrência de um ilícito, mas sim minimizar as possibilidades de que os desvios de comportamento ocorram e criar mecanismos para que eventuais equívocos sejam devidamente identificados e combatidos de forma eficaz, rápida e adequada."
Bem destacado pela doutrina está o incentivo, a indução de comportamento por parte da Lei para com os particulares destinatários de sua regulação, ou seja, uma verdadeira "divisão" da responsabilidade de implementação da norma, sendo de se pontuar, ademais, que existe até mesmo uma "sanção premial" para os agentes de tratamento que adotarem e "comprarem" a ideia da norma, o que pode ser percebido a partir do artigo 50 da LGPD:
"Artigo 50. Os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais."
Inexiste, como se depreende do postulado e do verbo do dispositivo, uma obrigação enquanto modal deôntico, mas tão somente uma efetiva possibilidade, ou melhor, uma faculdade para o destinatário da norma. Todavia, a sua adoção vai na esteira do que roga o diploma, até mesmo em face de a LGPD adotar, enquanto princípio, a própria ideia da prevenção, o que se depreende de seu artigo 6º, VIII [9].
A mesma lógica pode ser observada na Lei Anticorrupção, notadamente a partir do seu artigo 7º, VIII:
"Artigo 7º Serão levados em consideração na aplicação das sanções:
(…)
VIII – a existência de mecanismos e procedimentos internos de integridade, auditoria e incentivo à denúncia de irregularidades e a aplicação efetiva de códigos de ética e de conduta no âmbito da pessoa jurídica;"
O compliance é presente na Lei Anticorrupção, sendo que o citado dispositivo citado pelo inciso VIII do artigo 7º é regulado, hoje, pelo Decreto 11.129, vejamos:
"CAPÍTULO V
DO PROGRAMA DE INTEGRIDADE
Artigo 56. Para fins do disposto neste Decreto, programa de integridade consiste, no âmbito de uma pessoa jurídica, no conjunto de mecanismos e procedimentos internos de integridade, auditoria e incentivo à denúncia de irregularidades e na aplicação efetiva de códigos de ética e de conduta, políticas e diretrizes, com objetivo de:
I – prevenir, detectar e sanar desvios, fraudes, irregularidades e atos ilícitos praticados contra a administração pública, nacional ou estrangeira; e
II – fomentar e manter uma cultura de integridade no ambiente organizacional.
Parágrafo único. O programa de integridade deve ser estruturado, aplicado e atualizado de acordo com as características e os riscos atuais das atividades de cada pessoa jurídica, a qual, por sua vez, deve garantir o constante aprimoramento e a adaptação do referido programa, visando garantir sua efetividade."
De nosso ponto de vista, a lógica é deveras semelhante à LGPD, ou melhor, é a LGPD que acaba por se basear na lógica do compliance presente na Lei e em seu Decreto regulamentador. Vemos, aí, uma verdadeira tentativa de se colocar, tanto na figura das empresas/corporações, quanto nos agentes de tratamento (no caso da LGPD), uma postura proativa ao invés de uma postura reativa [10], tendo, ao final, até mesmo uma espécie de sanção premial, que nada mais é do que uma atenuação em eventual pena a ser aplicada, isso tanto no que tange o combate à corrupção, quanto no que se refere a ilícitos no tratamento de dados.
O que nos parece é que há nestas Leis uma tentativa de mudança cultural, o que é deveras previsto em ambas as normas, tanto na parte principiológica, quanto, efetivamente, nos dispositivos analisados. Isso somente reforça a ideia de que, por se tratar a LGPD de uma legislação ainda em fase incipiente, por mais que já inserida no mundo jurídico pátrio, possa ela se basear nos conceitos e terminologias empregados pela Lei Anticorrupção e pelo seu Decreto regulamentador, o que somente reforça a complementaridade entre os ramos do Direito e, até mesmo, promove o salutar diálogo entre as fontes, algo de há muito defendido pela doutrina pátria [11].
Para fins de conclusão, então, destacando esse salutar diálogo entre a Lei Anticorrupção e a LGPD, que a ANPD possa exercer seu mister de regular a LGPD com os olhos bem abertos para comandos jurídicos deveras similares, o que, ao final do dia, fará com que a coerência e a integridade sejam vitoriosas.
[1] Nos ditames da norma se considera tratamento toda operação realizada com dados pessoais, como as que se referem à coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração. O conceito "alongado", de nossa parte faz sentido em razão do elevado grau de importância dos dados para a economia nos dias atuais, o que não passa despercebido à doutrina: "Na sociedade contemporânea, dados pessoais são bens jurídicos de valor econômico que se tornaram insumo essencial para o funcionamento da chamada 'economia da informação'. Desta forma, sendo o tratamento de dados de natureza pessoal uma operação material realizada voluntária e unilateralmente, por um ou vários agentes de tratamento, estes somente poderão assim proceder mediante um dos permissivos legais previstos na LGPD, a qual submete o tratamento de dados a certas condições de licitude" in BUCHAIN, Luiz Carlos. Proteção de dados: legítimo interesse e consentimento. Revista da Faculdade de Direito da UFRGS, Porto Alegre, nº 45, p. 103-127, abr. 2021. DOI: https://doi.org/10.22456/0104-6594.107259.
[2] Artigo 9º O titular tem direito ao acesso facilitado às informações sobre o tratamento de seus dados, que deverão ser disponibilizadas de forma clara, adequada e ostensiva acerca de, entre outras características previstas em regulamentação para o atendimento do princípio do livre acesso: I – finalidade específica do tratamento; II – forma e duração do tratamento, observados os segredos comercial e industrial; III – identificação do controlador; IV – informações de contato do controlador; V – informações acerca do uso compartilhado de dados pelo controlador e a finalidade; VI – responsabilidades dos agentes que realizarão o tratamento; e VII – direitos do titular, com menção explícita aos direitos contidos no artigo 18 desta Lei.
[3] Artigo 10, §3º A autoridade nacional poderá solicitar ao controlador relatório de impacto à proteção de dados pessoais, quando o tratamento tiver como fundamento seu interesse legítimo, observados os segredos comercial e industrial.
[4] Artigo 37. O controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse.
[5] Entendido aqui o termo não em sua acepção técnica retirada do Direito Penal, mas como "medidas", "comportamentos" e "situações" que possibilitam a diminuição das penalidades administrativas por parte da ANPD, notadamente, neste artigo, no que diz respeito ao compliance.
[6] O significado do termo, neste artigo, se dá especificadamente em relação às normas de governança criadas individualmente pelas organizações/empresas para fins de adequação em face de normas regulatórias e boas práticas mercadológicas.
[7] Sendo isso ressaltado pelo CPC no seu artigo 926 e, doutrinariamente, defendido, com primazia, por Ronald Dworkin, um dos grandes nomes da filosofia pós-positivista e que defende, contrariamente ao positivismo, uma limitação da interpretação, dentre outros, pela coerência e integridade do sistema jurídico, o que não permite a discricionariedade na "zona de penumbra", algo deveras defendido pelos positivistas clássicos, ou seja, que a decisão seria uma escolha do julgador. Ver, dentre outras obras: DWORKIN, Ronald. Levando os direitos a sério. Tradução de Nelson Boeira. São Paulo: Martins Fontes, 2002.
[8] CARVALHO, Vinicius Marques de, MATTIUZZO, Marcela, PONCE, Paula Pedigoni. Boas práticas e governança na LGPD. in: DONEDA, Danilo [et al.]. Tratado de proteção de dados pessoais. Rio de Janeiro: Forense, 2021, p. 364.
[9] Artigo 6º As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios: (…) VIII – prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
[10] CARVALHO, Vinicius Marques de, MATTIUZZO, Marcela, PONCE, Paula Pedigoni. Boas práticas e governança na LGPD. in: DONEDA, Danilo [et al.]. Tratado de proteção de dados pessoais. Rio de Janeiro: Forense, 2021, p. 361.
[11] "(…) diante do pluralismo em um sistema unitário e um novo overlapping de diferentes 'comunidades normativas', há necessidade de coordenação entre elas, de forma a restaurar a coerência e os valores superiores". in BENJAMIN, Antônio Herman, MARQUES, Claudia Lima. A teoria do diálogo das fontes e seu impacto no Brasil: uma homenagem a Erik Jayme. Revista de Direito do Consumidor. Vol. 115. Ano 27. p. 21-40. São Paulo: Ed. RT, jan. – fev. 2018.
Autores
Encontrou um erro? Avise nossa equipe!