A entrada em vigor da Lei Geral de Proteção de Dados Pessoais (LGPD) trouxe consigo uma série de novos desafios e riscos para os profissionais de Compliance. O papel das investigações internas no processo de defesa da empresa e dos Encarregados de Proteção de Dados Pessoais em casos de violações aos dispositivos da lei é um bom exemplo disso.
Depois de alguns anos como o principal foco de atenção das áreas de Compliance, que correram muito junto com outras áreas das empresas para colocar de pé os programas de compliance em proteção de dados, os profissionais de Compliance puderam respirar. As sanções da Lei Geral de Proteção de Dados Pessoais (LGPD) entraram em vigor em agosto do ano passado e a maior parte das grandes empresas já estava com o programa implementado ou em vias de ser implementado. O trabalho prévio de adequação ao GDPR, o regulamento europeu de proteção de dados e padrão ouro em legislações do tipo, permitiu que as companhias expostas a essa legislação, já saíssem de um ponto bem avançado do processo. Ao menos nesse grupo de companhias, pouca gente precisou sair desesperada correndo atrás de consultoria para implementar o programa de um dia para o outro.
Mas, o fato de poderem respirar um pouco mais agora, não quer dizer que a área possa tirar a atenção e, mais importante, se dedicar a entender no dia a dia as peculiaridades que a nova legislação traz para práticas tradicionais da área de Compliance. É o caso das investigações internas.
Segundo dados da pesquisa Compliance ON TOP 2021, realizada com a participação de 435 lideranças do mercado, nas empresas com áreas de Compliance, em 57,3% dos casos coube a alguém da área exercer a função de encarregado de proteção dados pessoais ou DPO (da sigla em inglês), a pessoa indicada pelo controlador e que entre diferentes responsabilidades, deve atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD) e que funciona como um gestor e guardião dos processos de privacidade e proteção de dados nas companhias. Não se trata aqui de mero acúmulo de funções, principalmente agora, que as sanções e multas previstas na LGPD passam a valer de fato. O profissional que abraçou essa missão – por vontade própria ou não – precisa atentar e entender o tamanho dos riscos assumidos, não só pelas empresas, mas também para ele na pessoa física. Em caso de qualquer descumprimento, a lei prevê responsabilização solidária de todos os agentes da cadeia, o que pode render não só uma multa, mas também indiciamento na esfera civil.
Até que ponto esses profissionais estão cientes das implicações relacionadas com a nova função?
A verdade é que muitos dos que hoje estão assumindo como encarregado de dados ainda não se deram conta do escopo de trabalho e responsabilidade que estão assumindo ao exercer oficialmente essa função.
A lei brasileira não fala expressamente que o DPO pode ser punido por violações da empresa à legislação. Mas ele pode se ver à mercê de processos em algumas situações que estão previstas no texto legal. Isso pode acontecer em casos de negligência, imperícia ou imprudência que venham gerar danos aos titulares de dados. Nesses casos, será necessário provar que a culpa decorre exclusivamente do titular dos dados ou de terceiro. “A partir do momento em que a ANPD começar a fiscalizar ou convocar a pessoa física, o CPF para responder judicialmente, acredito que os profissionais vão começar a se dar conta disso”, acredita Cynthia Marinovic, especialista em Governança e Compliance e que foi responsável pela implementação do programa de LGPD numa das maiores operadoras de saúde do País.
E não é só. O próprio controlador pode estabelecer obrigações e responsabilidades específicas para o encarregado, e assim, responsabilizá-lo por qualquer dano causado a terceiros, se não cumprir com suas funções ou extrapolar as obrigações que lhe tenham sido atribuídas. Esse último ponto tende a se aplicar mais nos casos em que o DPO é externo (até uma empresa pode ser indicada pelo controlador como encarregado), mas não se deve fazer vista grossa, porque é provável que em muitas empresas se tente atribuir mais responsabilidade à função do DPO, como uma forma preventiva de ter um “anteparo” aos diretores da empresa em caso de problemas.
Quando Marinovic diz que os profissionais indicados para a posição “vão começar a se dar conta”, é porque , ao assumi-la, há possibilidade desse tipo de situação acontecer é bastante real. “O DPO ou encarregado vai ser responsabilizado civil e criminalmente, sim”, emenda Marinovic. A natureza da LGPD certamente deixará as empresas expostas a esses riscos com uma frequência muito maior do que a que ele está habituado trabalhando no Compliance. Consequentemente, o risco para o DPO vem junto.
O fato de ser uma legislação muito nova, com zonas cinzentas e necessidade de muita regulamentação, não contribui para um melhor entendimento dos profissionais que estão assumindo a função.
A diretora Jurídica e Compliance Officer da Publicis, companhia francesa de publicidade e comunicação, Andressa Genovesi, conta que a empresa optou por não indicar nenhum funcionário do grupo para a posição, por entender que a responsabilidade pessoal do profissional na lei local ainda não está muito bem definida. “Aqui, embora muito do dia a dia do trabalho seja executado pelo time de Compliance, contamos com um DPO externo, para fins de responsabilidade junto à ANPD”, explica a executiva. Genovesi concorda que a ficha (sobre a responsabilidade pessoal) ainda não caiu para muita gente que está assumindo a função, especialmente para os profissionais mais juniores que estão sendo apontados. “Tem empresa indicando pessoas com poucos anos de formação, gente que está no Compliance ou no Jurídico e que a empresa nomeia porque ela começou a se interessar por LGPD e fez um curso”, pontua. Para a diretora da empresa francesa, muitas pessoas estão abraçando a função sem ter a real noção sobre onde estão se metendo.
Quem tem mais experiência em cargos de liderança e sabe como é ter o seu CPF à disposição das autoridades por problemas ocorridos na empresa, enxerga a situação com outro olhar. Se o Compliance Officer assume a missão de encarregado de dados da empresa, toda e qualquer suspeita, ainda que pequena, envolvendo dados deve ser tratada como situação de crise. “Não importa o que seja, qualquer ocorrência suspeita aqui é tratada como ‘o pior cenário possível’, não importa a quão pequena pareça. Caso se mostre irrelevante depois da verificação, melhor. Mas até termos certeza, ela é tratada com a diligência de qualquer situação crítica”, afirma Marina Soares, que acumula as diretorias Jurídica, de Compliance, ESG e é a encarregada de dados da siderúrgica ArcelorMittal no Brasil.
Como membro da diretoria executiva e participante do Conselho de Administração em outras empresas, além de advogada, Soares sempre esteve ciente das responsabilidades e dos riscos assumidos com o novo posto. “Até pelo meu escopo de trabalho, eu sei o que isso representa. Meu CPF já está na ANPD, meus dados já estão todos com a agência e todos os dias são novas informações que eles solicitam”, conta. Com plena consciência da sua responsabilidade, a diretora da ArcelorMittal diz que sua tolerância (com qualquer situação que infrinja a LGPD) é zero e a análise sempre deve ser extremamente conservadora e rigorosa. “Afinal, quem toma a decisão é o encarregado e é ele quem vai responder no final”, garante Marina Soares.
As Investigações corporativas internas e a LGPD
Além de eventual responsabilização do Encarregado, a LGPD também traz a necessidade de um novo approach para as investigações internas. Primeiro pela sua abrangência. O vazamento de dados certamente é das violações mais críticas e conhecidas da LGPD, mas não a única. Da falta de um plano de resposta adequado a incidentes até o compartilhamento equivocado dos dados de um funcionário com um parceiro pelo RH, muita coisa pode ser enquadrada como violação à lei pela ANPD.
E aqui, a diferença do que acontece, por exemplo, na Lei Anticorrupção, cuja responsabilidade da empresa é objetiva (por mais que ela consiga provar que “não teve culpa” naquela situação, ela não vai deixar de ser punida pelo regulador), a LGPD não traz expressamente a responsabilidade objetiva dos agentes de tratamento. “A investigação pode ajudar muito na defesa da empresa e do profissional, porque a ação depende da culpa ou dolo e da comprovação do agente envolvido”, lembra Andressa Genovesi. A investigação é fundamental para descobrir se houve um culpado naquele incidente e levantar provas e evidências que sustentem a defesa da empresa (ou a acusação, quando for o caso). Ainda que a lei fale em responsabilidade solidária, e que o controlador do dado, geralmente a maior empresa entre os envolvidos, acabe tendo que responder pela violação inicialmente, a investigação interna é fundamental, até para dar condições de a empresa se defender e, eventualmente, processar quem de fato foi culpado pela situação. “Isso é essencial para mitigar qualquer tipo de sanção ou mesmo livrar a empresa da culpa, caso consiga se comprovar que a infração não foi dela, mas de alguma questão externa ou do próprio usuário”, continua a executiva da empresa francesa.
Impacto orçamentário
A decisão de uma empresa de abrir uma investigação interna ou não, e depois, quais recursos serão aportados nela, engloba uma série de fatores: do nível hierárquico dos envolvidos ao risco daquela situação, até a pressão externa por uma resposta aquele ocorrido. Mas, a autorização para abrir a investigação geralmente vem de cima. Daí que é de se questionar qual o papel que esse profissional terá na definição da abertura e até no escopo da investigação quando ela envolver fatos pertinentes à LGPD. Se uma boa investigação pode ajudar a empresa em sua defesa perante a Justiça, ela é ainda mais importante para o encarregado de dados. Afinal, os achados do processo podem ser fundamentais para determinar a situação dele perante à ANPD.
Em suma, especialmente nessa fase inicial, para os profissionais encarregados de dados toda situação envolvendo vazamento ou violações de dados pessoais deveria analisada e, se dependendo da criticidade, ser tratada como situação de crise e demandar uma investigação, até como forma de lhe dar mais segurança. A independência para exercer as suas funções deveria ser um das prerrogativas do encarregado, bem como não receber instruções sobre como exercer suas atividades e não ser demitido ou punido por realizar suas funções, entre outros, como previsto no GDPR. Mas embora tenha responsabilidades sobre o tema, a decisão final por abrir a investigação pode não ser do DPO.
Não é novidade para ninguém da área de Compliance que uma investigação corporativa é um processo dispendioso. As relacionadas a LGPD, que podem demandar todo um aparato de ferramentas tecnológicas e mais especialistas, podem custar ainda mais. “Ela fica mais cara no sentido de que talvez seja preciso despender mais horas naquela investigação e, provavelmente, contratar um serviço terceirizado de forense, dependendo da dimensão do vazamento”, acredita Cynthia Marinovic. “E na maioria das empresas, existe um comitê de privacidade, envolvendo os times de compliance, o time de jurídico, TI, e o próprio DPO. Isso também, claro, tem impactos sobre o orçamento”, emenda.
Em abril do ano passado, a ArcelorMittal lançou seu comitê de segurança da informação e proteção de dados. É um programa com sessenta embaixadores, com fluxos dentro de cada área. Queremos uma cultura de privacidade tão forte quanto a de integridade, que aqui sempre foi muito forte”, afirma a DPO da companhia.
Além disso, a tendência é que você tenha necessidade de investigar supostas violações relacionadas à LGPD com mais frequência do que a de se investigar violações de compliance tradicionais. As empresas estão preparadas para isso, do ponto de vista de recursos humanos e financeiros?
Marina Soares acha que, se por conta de contenção de custos o profissional encarregado (no caso de ser alguém do Compliance) começar a misturar as duas coisas num mesmo balaio, ele vai ter problemas. “Não é sustentável. Aqui nós achamos que tudo deve ser investigado, independente de custos. A partir do momento que você tem uma situação, você deve investigar e deve ir até o fim. Obviamente, tem um aumento no orçamento. Mas o custo do projeto é uma coisa transitória. O que fazemos aqui é colocar a LGPD já no orçamento como rotina da área e com um orçamento alto”, revela. “Se você não tem orçamento, você justifica no final do ano. Mas deixar de fazer por falta de orçamento é fechar os olhos e abrir mão de um valor que pode tornar o negócio insustentável”, segue a diretora da ArcelorMittal.
Andressa Genovesi conta que na Publicis o orçamento para lidar com a LGPD é global e separado do orçamento de Compliance. “Como somos operadores de dados e temos compromissos com os nossos clientes que são os controladores, levamos isso muito a sério”, diz a diretora da holding de publicidade. Por isso também, ela conta ter muito mais facilidade para tratar do budget dentro da área de proteção de dados em comparação com o Compliance. “Se acontece algo dentro de proteção de dados, eu posso acessar o orçamento global de proteção de dados”, afirma Genovesi, lembrando que além das questões relacionadas com dados pessoais, existe a própria confidencialidade dos negócios dos clientes.
O momento para informar as autoridades
Embora a autoridade e as atribuições da ANPD estejam definidas, muitos aspectos de seu funcionamento ainda pairam sob uma nuvem de dúvidas que só aos poucos vem se dissipando por meio dos informes produzidos pela agência. O que não está em dúvida é a obrigatoriedade e responsabilidade do encarregado e controlador dos dados de informar à ANPD qualquer ocorrência que envolva um possível vazamento.
Entretanto, a mesma clareza não existe em relação aos prazos para que essa comunicação aconteça. Apesar deste tema ainda não estar regulamentado pela ANPD, há uma diretriz da agência de que, enquanto pendente a regulamentação, recomenda-se que após a ciência do evento adverso e havendo risco relevante, a ANPD seja comunicada com a maior brevidade possível, sendo tal considerado a título indicativo o prazo de dois dias úteis, contados da data do conhecimento do incidente”, lembra Alessandra Gonsales, sócia-fundadora da LEC e do escritório GCAA, especializado em Compliance e Privacidade e Proteção de Dados.
A diretora da Publicis, acha que o momento da comunicação deve ser discutido. “O próprio artigo 48 da lei diz que, havendo uma demora na comunicação, ela deve ser justificada. Caso a demora seja injustificada, você pode ser prejudicado quando as sanções forem aplicadas. Mas o ideal é não demorar e comunicar o quanto antes para evitar que possa transparecer algum tipo de má fé para a Autoridade ou demonstrar tentativa de não cooperação”, pontua Genovesi”.
Na mesma linha, Marina Soares é ainda mais categórica em relação à necessidade de rápida comunicação com as autoridades. “Na dúvida (sobre avisar ou não), reporte”, sugere. A diretora da siderúrgica dá como exemplo sua experiência junto à GDPR para explicar o peso que o momento da comunicação pode ter num processo de violação de dados ou descumprimento da Lei. “Nós já implantamos um procedimento de incidente aqui. Quando começou a se discutir a questão da Lei brasileira, já estávamos bem avançados, mas tivemos que customizar muito mais e foi quando renovamos a política, em 2018. Publicamos uma nova versão, mais rígida, adequando-a à LGPD. Disso, criamos um procedimento que publicamos há pouco que é uma política de incidente. É uma política transversal contendo todas as áreas chaves trabalhando em sinergia com o atendimento da Lei. Eu atuo como DPO e fico encarregada de reportar para a ANPD em 48 horas e dentro de todo o fluxo de informação nosso, e tenho todo um processo de análise de informação que precisa ser muito sério”, explica.
A empresa ainda não viveu nenhum incidente com necessidade de reporte. Mas houve situações em que foi necessário abrir investigação para ter certeza se era uma situação de alto impacto ou não. “Foram situações muito pequenas e irrelevantes, mas tivemos que passar todo o fluxo completo natural de investigação por elas”, conta Soares. Como o tema é novo, hoje, a ArcelorMittal terceiriza cem por cento dessas análises, com escritório que atende a empresa. “Em todos esses casos, fazemos o plano de ação, remediação e trabalho preventivo. Tudo muito rápido e dinâmico”, diz Soares.
Cynthia Marinovic acredita que a questão de informar às autoridades não há que ser questionada, mas ela deve ser feita de forma cadenciada, em decisão conjunta com a diretoria e atuação junto com o DPO. “Mesmo que seja só para mostrar nossa proatividade e boa-fé, no caso de uma fragilidade interna que possa ter sido detectada e já está sendo corrigida. “O principal é quando eu for comunicar às autoridades, eu já esteja com um plano de ação. Então já detectamos o problema, já sabemos como corrigir e prevenir para que ele não volte a ocorrer. No momento em que vai o relatório para a Autoridade, o ideal é que ele já seja enviado com essa vertente”, conclui a especialista.
Artigo publicado originalmente na edição 33 da Revista LEC.
Imagem: Freepik