Temos que reforçar quem são os principais atores da privacidade: o titular do dado pessoal, o controlador do dado pessoal e o operador do dado pessoal
Luciana Bacci, diretora executiva da ANEFAC
O crescente uso e valor comercial dos dados pessoais sensíveis, seu compartilhamento entre jurisdições legais e o aumento da complexidade nos sistemas de informação e comunicação são fatores que podem dificultar os processos das empresas na hora de garantir a privacidade e alcançar a conformidade com as várias leis aplicáveis.
Neste sentido, implementar mecanismos de proteção de dados pessoais não é somente uma questão regulatória, mas parte de boas práticas da governança corporativa que, segundo o Código das melhores práticas de governança corporativa, do IBGC, “é o sistema pelo qual as empresas e demais organizações são dirigidas, monitoradas e incentivadas, envolvendo os relacionamentos entre sócios, conselho de administração, diretoria, órgãos de fiscalização e controle e demais partes interessadas”. Ainda de acordo com o código, os princípios que norteiam a governança corporativa incluem transparência, equidade, prestação de contas e responsabilidade corporativa que, quando bem implementados, buscam garantir, com razoável segurança, um clima de cobrança tanto internamente quanto nas relações com terceiros.
Para melhor entendimento sobre boas práticas de proteção de dados pessoais, vale destacar algumas definições como:
Dado pessoal, de acordo com a Lei Brasileira nº 13.709, de 14 de agosto de 2018, são informações relacionadas a uma pessoa natural identificada ou identificável; e dado pessoal sensível, são os dados pessoais sobre origem racial ou étnica, convicção religiosa, opinião política, ligação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual.
Já o termo princípios de privacidade, segundo a ISO/IEC: 29.100:2011 (Information technology – Security techniques – Privacy framework), é definido como o conjunto de valores que governam a privacidade do dado pessoal quando processado em um sistema de tecnologia de informação e comunicação. Estes princípios incluem: (i) o consenso e a escolha, (ii) propósito e especificação da legitimidade do proposito, (iii) limitação da coleta, (iv) minimização de dados, (v) limitação do uso, retenção e divulgação, (vi) precisão e qualidade, (vii) abertura, transparência e informação, (viii) acesso e participação individual, (ix) responsabilização, (x) segurança da informação e por fim (xi) cumprimento dos requisitos de privacidade.
Neste sentido, a proteção de dados pessoais pode ser entendida como o aspecto dos sistemas de tecnologia da informação e comunicação que está relacionado com a habilidade de um indivíduo ter ciência e, em alguns casos, controle sobre quais dados em um sistema computadorizado são utilizados ou mesmo compartilhados com terceiros.
Quando o assunto é proteção de dados pessoais, temos que reforçar quem são os principais atores da privacidade: o titular do dado pessoal, o controlador do dado pessoal e o operador do dado pessoal. Para buscar as boas práticas de proteção de dados pessoais, cada um destes atores deve levar em conta seus deveres e responsabilidades, como zelar para que os princípios de privacidade imperem em suas relações com transparência, equidade, prestação de contas e responsabilidade.
Boas práticas
O titular do dado pessoal deve conhecer e exercer os seus direitos garantidos por lei aplicável com ênfase na consciência ao fornecer seus dados pessoais a controladores e/ou operadores com diligência. Deve estar atento ao exigir do controlador e/ou do operador o cumprimento dos princípios de privacidade, conforme estabelecidos pela legislação brasileira de proteção de dados pessoais. Neste caso, estaria exercendo o princípio de responsabilidade.
O controlador, por sua vez, deve possuir mecanismos para identificar, avaliar e mitigar os riscos associados à privacidade do titular do dado pessoal, implementando controles que os protejam e assegurem que o tratamento se dará em conformidade com a lei. Deve priorizar os fundamentos de transparência com o titular, informando-o claramente sobre o tratamento realizado. Garantir a equidade de tratamento do dado pessoal por meio de controles de segurança da informação com precisão e qualidade. Também é imprescindível prestar contas sobre os requisitos de privacidade, assim como prover o acesso e a participação individual ao titular e agir com responsabilidade sobre o propósito, especificação da legitimidade, da limitação de coleta, da minimização de dados, agir proativamente em função da limitação do uso, retenção e divulgação do dado pessoal.
Da mesma forma que o controlador, cabe também ao operador implementar mecanismos efetivos de gerenciamento de riscos de privacidade e os controles associados, agindo de acordo com os princípios de transparência, equidade, prestação de contas e responsabilidade para com os princípios da privacidade de dados.
Já é uma realidade no Brasil que governança corporativa vem seguindo as tendências internacionais por meio da adoção do sistema “pratique ou explique”. Neste sistema as companhias abertas têm a oportunidade de informar ao mercado se seguem as práticas recomendadas pelo informe sobre o Código Brasileiro de Governança Corporativa – Companhias Abertas. Quando sinalizam que adotam parcialmente ou não adotam alguma prática, elas devem explicar o porquê.
No Brasil, cabe a Autoridade Nacional de Proteção de Dados (ANPD) zelar pela proteção dos dados pessoais assim como fiscalizar o cumprimento da legislação o que remeterá os atores da privacidade, quer sejam controladores ou operadores a observarem os princípios do sistema “pratique ou explique” nas boas práticas de proteção de dados pessoais.
Neste sentido, os atores da privacidade devem refletir sobre seus sistemas de governança de proteção de dados pessoais, buscando assegurar que as práticas adotadas realmente façam sentido e cumpram os requisitos mínimos de privacidade. Caso contrário serão solicitados a proverem explicações das não conformidades a todas as partes interessadas.
Artigo escrito por Luciana Bacci, que é diretora executiva de governança corporativa da ANEFAC.