Com a entrada em vigor da Lei 12.846/2013, conhecida como a Lei de Anticorrupção e as crescentes discussões acerca dos programas de integridade das empresas, o Compliance se tornou indispensável na rotina das entidades, sobretudo, no tocante a mitigação de riscos oriundos das atividades empresariais.
Dentre as diversas ferramentas que compõe os programas de integridade, salutar observar a Gestão de Riscos, também conhecida como Risk Assessment, que tem o condão de identificar os riscos; avaliar seus impactos na organização; mitigar; potencializar as oportunidades e monitorar as incertezas para atuar no momento oportuno, protegendo a empresa e a sua reputação no mercado.
A gestão de riscos é uma ferramenta fundamental para lidar com as incertezas de um negócio, organizando, gerindo e controlando os recursos financeiros, materiais e humanos de uma organização, com a finalidade de prevenir e mitigar ao máximo os efeitos de riscos e aproveitar de forma mais assertiva as oportunidades que promovem o crescimento das entidades empresariais.
A Lei 13.709/2018, também conhecida como Lei Geral de Proteção de Dados - LGPD, foi sancionada e entrou em vigor no dia 18 de setembro deste ano, momento que as empresas viram a necessidade de se adequar às obrigações previstas na redação da legislação. Dentre as diversas obrigações e responsabilidades contidas na lei, as empresas terão que realizar avaliações de riscos no tocante ao tratamento dos dados utilizados nas suas operações.
Quando abordamos a análise e avaliação de riscos no tratamento dos dados pessoais realizado pelas organizações, devemos observar, inicialmente, quais são os dados necessários para o cumprimento da finalidade da empresa e verificar se as informações coletadas do titular serão armazenadas com segurança, conforme determina a legislação em vigor.
No entanto, estar em conformidade com a Lei Geral de Proteção de Dados não se resume apenas a monitorar e avaliar o processo do tratamento dos dados - conforme mencionado anteriormente -, mas significa também reconhecer que o atendimento a todos os preceitos contidos na lei decorre de uma adequação multidisciplinar, uma vez que engloba estratégias nas atividades da empresa, adequação jurídica, tecnologia, conduta dos colaboradores, sobretudo, a cultura da corporação.
Nesse contexto, com escopo de efetivar a mitigação dos danos causados pelo tratamento arbitrário dos dados pessoais, a Lei Geral de Proteção de Dados prevê que a entidade empresarial utilize a ferramenta do risk assessment, a fim de mapear e prevenir as ameaças atreladas ao processo do tratamento das informações pessoais coletadas dos titulares.
A Lei Geral de Proteção de Dados, na redação do dispositivo 5°, inciso XVII, menciona como uma das formas de risk assessment, a confecção do Relatório de Impacto à Proteção de Dados (RIPD). Este instrumento é de responsabilidade do controlador, pelo qual, toda e qualquer operação que seja realizado o tratamento de dados pessoais que possa gerar riscos às liberdades civis e aos direitos fundamentai deverá ser realizada a descrição dos processos para mitigação dos riscos e das responsabilidades.
Esta avaliação deverá ser incorporada dentro dos procedimentos de governança em privacidade corporativa do controlador, servindo como base para o cumprimento de diversos princípios da LGPD, principalmente aos princípios da finalidade, adequação, necessidade, segurança e prevenção, previstos no texto do dispositivo 6° da lei.
Em que pese a Agência Nacional de Proteção de Dados - ANPD ainda esteja em composição, quando estiver no exercício das suas atribuições, a agência poderá solicitar ao controlador o referido Relatório de Impacto, e, por essa razão, é de suma importância que todas as empresas iniciem o mapeamento de dados, também denominado como inventário de dados ou data mapping.
Assim como o Relatório de Impactos de Proteção de Dados, o Legitimate Interests Assessment (LIA), também conhecido como Avaliação de Legítimo Interesse, é bastante importante no setor corporativo, uma vez que tem o condão de atestar que o interesse do controlador dos dados pessoais não sobrepõe aos direitos dos titulares das informações.
Dessa forma, muito embora o interesse legítimo seja considerado uma alternativa legal que autoriza a coleta e tratamento de dados pessoais, isso não isenta a empresa de demonstrar os motivos que levaram a essa conclusão com justificativas razoáveis.
Por fim, não menos importante, cumpre mencionar também o instrumento denominado de privacy assessment, também conhecido como Avaliação de Privacidade (AP). Este documento tem como finalidade mensurar o grau de conformidade da empresa com as normas previstas no ordenamento jurídico brasileiro vigente, assim como também tem a finalidade de verificar se as políticas internas estão sendo efetivas na empresa.
Nesse diapasão, nota-se que o risk assessment poderá ser verificado nas atividades empresariais de diversas formas, no entanto, seja qual for a forma utilizada para mapeamento de riscos, o que não se deve perder de vista é que esta análise deve ser constantemente realizada e reavaliada pelas empresas, com intuito de proteger a entidade das severas penalidades previstas na lei ou até mesmo prejuízos a sua reputação perante o mercado.
Recorde-se ainda que a entidade empresarial além de obter a responsabilidade de agir de forma preliminar na análise de riscos no tratamento dos dados pessoais, ela também precisa estar preparada para um eventual vazamento de informações. Tal ponto é de suma importância, uma vez que a empresa, seguindo as orientações previstas na Lei Geral de Proteção de Dados, ao verificar a exposição indevida dos dados pessoais dos titulares, deverá tornar o fato público e reparar, de imediato, a falha no armazenamento dos dados que decorreu a exposição das informações.
Considerando as exigências contidas na legislação que tutela o tratamento dos dados pessoais e as severas punições caso o tratamento não seja realizado conforme determina o texto de lei, não há como negar a importância da entidade empresarial obter uma equipe técnica e jurídica especializada no assunto, expert no desenvolvimento de medidas preventivas - como a utilização de ferramentas de risk assessment -, a fim de proteger a empresa das sanções administrativas e judiciais.
Sem sombra de dúvidas, as instituições empresariais precisam investir em profissionais com expertise no assunto e que tenham habilidade técnica nas ferramentas efetivas na mitigação de riscos, como forma de erradicar os eventuais prejuízos financeiros da empresa.
*Ana Paula Ribeiro Serra, advogada. Especialista em direito empresarial e compliance. Membro da comissão de compliance da OAB-BA
