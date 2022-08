A tecnologia permite novas formas de tratamento, compartilhamento e análise de dados de indivíduos. As infinitas possibilidades que a inteligência artificial e o metaverso apresentam quase que diariamente parecem desafiar os mais criativos. As inúmeras possibilidades e a competição crescente pelo espaço digital e pela inovação exigem responsabilidade por parte das empresas, que devem considerar, impreterivelmente, a proteção de dados pessoais.

O framework regulatório relativo à proteção de dados pessoais vem crescendo em caráter exponencial ao redor do mundo. Segundo dados da Conferência das Nações Unidas sobre Comércio e Desenvolvimento (UNCTAD, na sigla em inglês), em 2021, 71% dos países já contavam com legislação referente à proteção de dados, enquanto apenas 9% estavam no processo de elaboração. Ignorar esse framework enfraquece a capacidade de crescimento escalável e alinhado ao que os consumidores esperam e anseiam: empresas que tratem os seus dados pessoais de maneira justa, transparente e legítima.

Porém, o debate acerca dessa responsabilidade ligada à proteção de dados pessoais deve ultrapassar a esfera dos riscos regulatórios, em geral resumida a evitar sanções e contingências, passando a se fundar igualmente em padrões éticos. A preocupação deve se basear nos riscos aos direitos e liberdades dos indivíduos e em como os tratamentos de dados pessoais realizados pela empresa podem contribuir, verdadeiramente, para o bem-estar e entrega justa, transparente e legítima de serviços e produtos.

A conformidade e a governança são instrumentos para um impacto social verdadeiro. É exatamente nesse espaço ético que o termo ESG desempenha um papel fundamental, tornando-se uma forma de se referir a empresas e entidades socialmente responsáveis, ambientalmente sustentáveis e administradas de forma correta.

Em outras palavras, a sigla ESG (enviromental, social and governance) é muito mais do que uma questão de conformidade regulatória. É, na verdade, uma postura ética, visando impactos amplos na sociedade e voltados sobretudo para o futuro. A finalidade na adoção desses padrões é inegavelmente fortalecimento reputacional e aumento de credibilidade das empresas atentas a esses padrões. São critérios que se traduzem, portanto, em maior confiança de todos os stakeholders, sejam clientes, consumidores finais, parceiros comerciais, reguladores ou fornecedores. O aumento de confiança se reflete em mitigação de riscos, aumento de receitas, fortalecimento de negócios e impacta no desenvolvimento sustentável a longo prazo.

É por esse motivo que as empresas têm se mostrado preocupadas, por exemplo, com questões de diversidade em seus processos seletivos e quadros de executivos, como a proporção de mulheres em conselhos de administração de empresas, que em três anos aumentou mais de 1,8%. Essa preocupação também se estende aos temas ambientais, como a redução de emissão de CO2 – com compromissos públicos inclusive . Apesar dessa preocupação, é fato que a cartilha de proteção de dados pessoais e privacidade como moeda ética de atração de confiança dos colaboradores e demais stakeholders ainda é tímida, mas tende a crescer em ritmo intenso ao passo que os titulares comecem a compreender os impactos desse novíssimo framework, impulsionados pelas novas tecnologias baseadas em dados pessoais. Destacam-se as discussões sobre o tratamento justo, transparente e legítimo dos consumidores que emergiram na década de 80 e hoje são padrões éticos essenciais para a competitividade das empresas em qualquer mercado.

Nesse contexto, como a proteção de dados pessoais se encaixa no ESG? A segunda letra da sigla revela as relações entre uma empresa e seus clientes, funcionários, investidores, parceiros, dentre outros. Está relacionada à responsabilidade social das empresas, o que envolve a coleta e o tratamento de dados pessoais de forma justa, transparente e responsável, prezando, assim, pela proteção adequada dos dados e respeitando os direitos e as liberdades dos titulares. Ser transparente ao tratar dados pessoais; implementar cotidianamente algoritmos atentos à neutralização de vieses discriminatórios; possibilitar que os titulares exerçam de forma fácil os seus direitos, atender prontamente solicitações dos stakeholders; espalhar, divulgar e, sobretudo, exigir dos seus parceiros comerciais uma postura justa, transparente e legítima no tratamento de dados pessoais são ferramentas para o aspecto social do ESG. Na medida em que uma empresa trate dados de menores ou de pessoas vulneráveis em larga escala, por exemplo, os padrões éticos ligados ao aspecto social do ESG devem ser ainda mais restritivos e robustos.

A letra G por sua vez, ligada à governança, também se relaciona intrinsecamente com a proteção de dados pessoais. A conformidade regulatória com os standards globais de proteção de dados pessoais passa por um projeto estruturado de conformidade, que exige uma governança pensada, implementada, útil e funcional. Sem essa estrutura de governança nas corporações, a conformidade e o alcance de padrões éticos relacionados a essa seara são praticamente inatingíveis. Possuir controles técnicos e organizacionais voltados à segurança robusta da informação ; políticas internas que deixem clara a forma como os colaboradores devem tratar e manusear dados pessoais, bem como voltadas ao atendimento tempestivo e correto das solicitações dos titulares; treinar os seus colaboradores para lidar com situações de risco – como com a realização de relatórios de impacto – ou mesmo com violações da lei, em hipótese de incidentes de segurança, são também ferramentas úteis para a instrumentalização de uma governança corporativa correta, orientada para a proteção de dados pessoais.

Tendo em vista o princípio da prestação de contas (accountability), presente em praticamente todos os frameworks de proteção de dados ao redor do mundo, o ESG é ainda mais potencializado. A demonstração da conformidade é um instrumento de transparência e que pode servir também para evidenciar o alcance de níveis altos de padrões éticos com os titulares. A publicação de um relatório de impacto à proteção de dados pessoais, ainda que em formato resumido, é um claro ferramental de accountability perante autoridades e de desenvolvimento da confiança com os clientes.

Os princípios da Lei Geral de Proteção de Dados Pessoais (LGPD) , portanto, são excelentes standards para as organizações implementarem um programa de ESG orientado à proteção de dados pessoais. Aliados às diretrizes do privacy by design (que em muito estão refletidos nos princípios positivados pela LGPD), os princípios da LGPD são um excelente padrão ético para as organizações voltadas à criação dos seus próprios standards de ESG. Como as empresas querem estruturar os seus programas de privacidade e em qual medida elas querem impactar positivamente os indivíduos com os seus produtos e serviços, seja garantindo um nível alto de segurança e confidencialidade, seja viabilizando um nível significativo de transparência?

A desconformidade regulatória, por si só, já é capaz de afetar, de forma relevante, qualquer organização ou entidade pública, sobretudo pelo seu aspecto reputacional. Muitas vezes os vazamentos noticiados não são tão palpáveis para os titulares, que não sabem ao certo se e como os seus dados pessoais vazados foram utilizados. Porém, o mero fato já induz a quebra de confiança. Em momentos de forte estresse em decorrência do vazamento de dados pessoais de grandes proporções, a preocupação anterior com a construção de uma confiança com os stakeholders é essencial para mitigação dos impactos. Demonstrar-se preocupado, transparente e disponível antes, durante e depois de situações de violação é um diferencial atribuível aos padrões éticos de ESG e que, certamente, afetam positivamente o goodwill de qualquer organização. Nota-se, assim, que a proteção de dados em uma organização vai muito além de uma análise de risco sob a luz das legislações pertinentes à matéria e disposições regulatórias. Ela perpassa pela maneira como a empresa atua no mercado e o seu comprometimento com as questões éticas, sociais e de governança corporativa, capazes de demonstrar melhores práticas de modo a mitigar riscos quando da ocorrência de incidentes de segurança.

Revela-se, assim, que a crescente preocupação das organizações na criação, implementação e fortalecimento dos seus programas voltados ao ESG não deve ignorar a seara de proteção de dados pessoais, que pode servir como um instrumento bastante útil à demonstração dos compromissos sociais e de governança das empresas. Os programas de ESG devem ser construídos também com a mentalidade do privacy by design. A possibilidade de ganhar reputação e confiança inclusive dos reguladores e, portanto, de potenciais sancionadores parece ser uma boa forma de conduzir a conformidade regulatória, já exigida, com relação aos frameworks de proteção de dados pessoais e privacidade ao redor do mundo.

*Daniella Raigorodsky, sócia do Tauil & Chequer Advogados associado a Mayer Brown

*Luiz Gustavo Bezerra, sócio do Tauil & Chequer Advogados associado a Mayer Brown

*Cristiane Manzueto, counsel do Tauil & Chequer Advogados associado a Mayer Brown