"...um programa de compliance mal concebido, que não envolva suficientemente as lideranças corporativas ou careça do suporte financeiro para seu regular desempenho, dissemina entre os funcionários a mentalidade de que o programa é um embuste..."
Um dos princípios mais relevantes previstos na Lei Geral de Proteção de Dados – LGPD (Lei nº 13.709/18) é o da prevenção, representado pela adoção de medidas aptas a prevenir a ocorrência de danos em virtude do tratamento de dados pessoais.
Nesse cenário, empresas que pretendem se destacar comercialmente pela conformidade às regras atinentes à proteção de dados, não apenas no Brasil, como no exterior, passaram a utilizar mecanismos de compliance, valioso instrumento na promoção de condutas compatíveis com a nova legislação.
Compliance refere-se “ao conjunto de ações a serem adotadas no ambiente corporativo para que se reforce anuência da empresa à legislação vigente, de modo a prevenir a ocorrência de infrações ou, já tendo ocorrido o ilícito, propiciar o imediato retorno ao contexto de normalidade e legalidade”[1].
A adoção de boas práticas no âmbito da proteção de dados pessoais é essencial para auxiliar no atendimento aos comandos gerais da lei de acordo com as particularidades de cada empresa, bem como prevenir a ocorrência de violações aos direitos dos titulares ao orientar os agentes de tratamento, traduzindo para suas atividades cotidianas as premissas da LGPD[2].
Vale ressaltar, no entanto, que um programa de compliance mal concebido, que não envolva suficientemente as lideranças corporativas ou careça do suporte financeiro para seu regular desempenho, dissemina entre os funcionários a mentalidade de que o programa é um embuste e, consequentemente, pode resultar em penalidades maiores do que aquelas que seriam aplicáveis em sua ausência.
Alguns elementos mínimos definidos para a estruturação de um programa de compliance são: i) avaliação contínua de riscos e atualização do programa; ii) elaboração de Códigos de Ética e Conduta; iii) organização compatível com o risco da atividade; iv) comprometimento da alta administração; v) autonomia e independência do setor de compliance; vi) criação de uma cultura corporativa de respeito à ética e às leis; viii) monitoramento constante dos controles e processos, inclusive para fins de atualização do programa; ix) canais seguros e abertos de comunicação de infrações e mecanismos de proteção dos informantes; e x) detecção, apuração e punição de condutas contrárias ao programa de compliance.
Ana Frazão[3] aponta três fatores que contribuem para tornar mais robusto o papel dos mecanismos de compliance no âmbito da proteção de dados pessoais. Em primeiro lugar, o amplo escopo de incidência da LGPD, que torna necessária a adaptação não apenas de atividades centralizadas na coleta e/ou tratamento de dados, mas também de qualquer operação que utilize informações relacionadas a pessoas naturais, como, por exemplo, de funcionários ou clientes.
O segundo fator refere-se aos níveis de exigência distintos dentro de cada comando da Lei, levando-se em consideração que são diversas as entidades que deverão cumprir os preceitos da LGPD, como forma de evitar que a proteção inviabilize a exploração econômica de certas atividades.
O terceiro fator consiste na necessidade de conferir concretude a alguns preceitos empregados pela LGPD, permitindo que sejam adotados comportamentos em conformidade com a Lei. É o caso, por exemplo, do conceito de “legítimo interesse” do controlador. As regras de governança podem dispor sobre as hipóteses específicas em que o tratamento será considerado pela entidade como fundamentado em seu legítimo interesse.
A adoção de um programa robusto de compliance em proteção de dados, além de garantir o cumprimento da LGPD, contribui para a criação de um ambiente de confiança entre os titulares dos dados pessoais, além de representar diferencial competitivo no mundo dos negócios.
[1] FRAZÃO, Ana. Programas de compliance e critérios de responsabilização de pessoas jurídicas por ilícitos administrativos. In: ROSSETTI, Maristela Abla; PITTA, Andre Grunspun. Governança corporativa: avanços e retrocessos. São Paulo. Quartier Latin, 2007. p. 42
[2] FRAZÃO, Ana; TEPEDINO, Gustavo; OLIVA, Milena Donato. Lei Geral de Proteção de Dados Pessoais e suas repercussões no direito brasileiro. 1. Ed. São Paulo: Thomson Reuters Brasil, 2019. p. 682.
[3] FRAZÃO, Ana; TEPEDINO, Gustavo; OLIVA, Milena Donato. Lei Geral de Proteção de Dados Pessoais e suas repercussões no direito brasileiro. 1. Ed. São Paulo: Thomson Reuters Brasil, 2019. p. 695.