A Lei Geral de Proteção de Dados (LGPD) em seu capítulo VII, seção II, denominado “Das Boas Práticas e da Governança”, prevê nos artigos 50 e 51, que os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais, poderão formular regras de boas práticas e de governança. (i) por meio de associações ou (ii) de forma individual pelo controlador ou operador de dados pessoais.

Essa previsão busca estabelecer boas práticas em duas diferentes perspectivas. A primeira, no âmbito individual e focado na realidade da organização, como os programas de compliance, projetos de adequação ou boas práticas individuais estabelecidas por uma organização, que buscam focar em uma realidade específica – o tratamento de dados da organização. A segunda, focada em uma perspectiva coletiva de boas práticas, em que associações, entidades, confederações, ou uniões de organizações estabelecem boas práticas setoriais para uma realidade, setor, podendo estabelecer regras deontológicas, que podem se tornar, por exemplo, códigos de conduta, guias de melhores práticas etc.

A criação de regras de boas práticas não possui caráter mandatório, entretanto a Lei Geral de Proteção de Dados (LGPD) busca contribuir e estimular o diálogo entre os agentes de tratamento. O objetivo dessas previsões é trazer uma postura proativa dos agentes de tratamento, em detrimento de uma postura reativa, se comprometendo a adotar políticas e práticas que materializam os princípios e direitos previstos na lei. Assim, as boas práticas dialogam diretamente com a formação de uma cultura de proteção de dados e também com a lógica de regulação responsiva.

O incentivo a criação de boas práticas e estruturas de governança estão dispersos por toda a legislação e ocupam um papel central na LGPD. Por ser uma legislação que busca tutelar de forma específica o uso de dados pessoais e por ser a primeira com essa pretensão no Brasil, a lei traz o enorme desafio de criar e fomentar uma cultura de privacidade e proteção de dados no país. Assim, a criação de regras de boas práticas entre os agentes de tratamento podem possuir um papel fundamental em todo esse processo, já que podem facilitar a criação dessa cultura e torná-la permanente.

Devido a complexidade e especificidades de determinados setores e atividades de tratamento, as boas práticas podem ser aliadas dos agentes de fiscalização e enforcement, pois podem ser uma ferramenta para alocar riscos e compartilhar a garantia do cumprimento da legislação com os agentes de tratamento. Essas ferramentas não devem se restringir apenas ao setor privado, mas também ao setor público, conforme disposto no art. 32, que prevê que a ANPD poderá sugerir a adoção de padrões e de boas práticas para o tratamento de dados pessoais, quando esse tratamento for realizado pelo Poder Público.

Nesse ponto, cabe destacar o papel fundamental da Autoridade Nacional de Proteção de Dados (ANPD) em acompanhar e dialogar com os agentes de tratamento no âmbito das boas práticas. Isso porque, as regras de boas práticas e de governança deverão ser publicadas e atualizadas periodicamente e poderão ser reconhecidas e divulgadas pela autoridade nacional, conforme previsão legal da LGPD em seu parágrafo 3º do art. 50.

Outro ponto fundamental é o previsto no inciso II, do art. 50 da LGPD, em que cabe ao controlador demonstrar a efetividade do programa de governança em privacidade. No mesmo artigo, são descritas uma série de requisitos para os controladores ao implementarem o programa de governança em privacidade, observados a estrutura, a escala e o volume de suas operações, bem como a sensibilidade dos dados tratados e a probabilidade e a gravidade dos danos para os titulares dos dados.

Nesse ponto, a legislação busca demonstrar a necessidade de que um projeto de compliance e adequação leve em consideração os desafios específicos de um determinado agente de tratamento, levando em consideração o risco da sua atividade. Dessa maneira, a legislação busca ir contra a erroneamente reafirmada ideia que a conformidade regulatória é inacessível aos agentes de pequeno porte, devendo ser adequada à realidade organizacional do agente de tratamento.

Além disso, por trás das boas práticas está uma ideia de governança social, em que não só o agente de tratamento vai definir as boas práticas, mas também os titulares, terceiros, organizações da sociedade civil, atores de enforcement vão incidir sobre o reconhecimento dessas boas práticas.

Assim, não é só uma questão de promover a autorregulação, mas também de reconhecer que proteção de dados afeta a sociedade como um todo, e portanto, diversos atores vão atuar nesse processo, desde empresas na escolha de parceiros comerciais/fornecedores, consumidores na escolha de em quem vai confiar o tratamento de seus dados, até organizações da sociedade civil reconhecendo boas práticas.

A partir desse enfoque passam a existir uma multiplicidade de sujeitos ativos em potencial, de modo que o fórum público que julgará as contas prestadas vai muito além da noção tradicional tríade e histórica do campo da proteção de dados formada por titular, autoridades de proteção de dados e agentes de tratamento de dados. Entidades representativas dos titulares, outros órgãos reguladores, que não apenas de proteção de dados, e quem é competidor  – o mercado – podem igualmente levantar a sua voz. Por exemplo, a partir de mecanismos jurídico-administrativos-judiciais para a tutela difusa e coletiva da proteção de dados, bem como técnicas de naming-shaming para moldar a opinião pública sobre eventual comportamento desviante.

É buscando fomentar comportamentos positivos no âmbito individual ou coletivo que o O Data Privacy Brasil, em iniciativa conjunta da Associação Data Privacy Brasil de Pesquisa e do Data Privacy Brasil Ensino, lança a 1ª Edição do Prêmio Artigo 50. Dividida em três categorias, a iniciativa pretende premiar pessoas físicas, individual ou coletivamente, que tenham: i) implementado boa prática no setor público; ii) implementado boa prática no setor privado; e iii) se destacado na atuação pela defesa da proteção de dados – a “personalidade do ano pela defesa da proteção de dados pessoais”.

Simbolicamente programado para ser lançado no mês em que as sanções administrativas previstas na LGPD entram em vigor e nomeado a partir do dispositivo da lei sobre boas práticas e governança, o Prêmio surge da constatação da necessidade de fomento a uma cultura de proteção de dados pessoais e de incentivo à adoção de boas práticas de governança em proteção de dados pessoais em consonância com uma lógica de regulação responsiva, avançando em relação a uma narrativa de adequação de caráter meramente repressivo.

A 1ª edição do Prêmio Artigo 50 será lançada na próxima quinta-feira (26/08/2021), iniciativa do Data Privacy Brasil que visa premiar boas práticas na área da proteção de dados. A premiação se aplicará a pessoas físicas dos setores público, privado e do terceiro setor que estão empenhadas em fortalecer a criação de uma cultura de privacidade e proteção de dados no Brasil. O fomento e a criação de uma cultura de proteção de dados depende de todos!

Referência:

CARVALHO, Vinicius Marques; MATTIUZZO, Marcela; PONCE, Paula Pedigoni.  Boas práticas e governança na LGPD. In: BIONI, Bruno Ricardo; DONEDA, Danilo; SARLET, Ingo Wolfgang; MENDES, Laura Schertel; RODRIGUES JUNIOR, Otavio Luiz (org.). Tratado de proteção de dados pessoais. Sp: Forense, 2020. p. 667.

BIONI, Bruno. Accountability no desenho (design) da regulação de dados pessoais: virtudes e vicissitudes. [No prelo].