Vazamento e sequestro de dados. Riscos reputacionais. Limites de responsabilidade. Essas são as principais preocupações de CEOs e boards das empresas quando o assunto é a aplicação da Lei Geral de Proteção de Dados Pessoais (LGPD). Isso porque ainda se trata de numa legislação recente, que levanta muitas dúvidas quanto ao entendimento de acordo com cada episódio, principalmente se é uma situação de autuação ou de aplicação de multa.
Não por acaso é grande a preocupação no momento de definir o modelo de ética de dados, que está diretamente ligado com o cumprimento da LGPD e a percepção de valor das companhias abertas. Isso porque indicadores de transparência, segurança e confiabilidade estão diretamente associados com os requisitos da nova legislação, e que fazem parte da trilha de proteção dos direitos humanos.
De acordo com um estudo recente da Cisco, intitulado 2021 Data Privacy Benchmark Study, a privacidade e a cibersegurança são elementos considerados essenciais por profissionais do mercado neste momento de retomada econômica após a pandemia. Entre os entrevistados brasileiros, 79% concordam que a LGPD promove benefícios em relação a esses quesitos, que passaram a ser considerados inegociáveis.
Para garantir uma cultura corporativa que tenha como base esses itens, é necessário traçar um planejamento amplo e complexo para adaptar os princípios e bases legais descritos na lei. É de suma importância que os integrantes do conselho de administração tenham conhecimento de qual roteiro seguir para analisar se as melhores práticas estão sendo efetivamente implementadas e identificar qual o nível de exposição ao risco de privacidade e cibersegurança estão sujeitos.
Além disso, o exemplo tem que vir de cima: top down. Logo, os altos executivos, o que inclui do CEO à diretoria até mesmo o conselho, todos precisam aplicar as recomendações da LGPD no tratamento e/ou manuseio de dados pessoais para tomada de decisões e para o exercício de todas as demais atividades que estão sob sua competência. Os impactos de uma companhia ser penalizada por violação à LGPD devido a algum descuido no manuseio de dados por seu alto escalão seriam desastrosos, principalmente no que diz respeito aos danos reputacionais.
Outro importante relatório, o “Global Risks Report”, do World Economic Forum, destaca que a reputação se torna cada vez mais o principal ativo intangível das organizações. Como a LGPD tem como um dos princípios proteger os direitos fundamentais de liberdade e de privacidade de titulares de dados, o que faz estar na trilha dos Direitos Humanos e também entrar como indicador de práticas de ESG, é imprescindível fazer valer as obrigações da legislação para assim garantir a prática de valores como transparência e responsabilidade. Multas e indenizações acarretam danos reputacionais, que podem refletir na diminuição da confiança depositada por clientes, fornecedores e partes interessadas.
Além disso, é necessário ressaltarmos que os próprios executivos da empresa são titulares de dados pessoais, o que reforça a importância da observância e cumprimento da LGPD, a fim de que haja minimização do risco de eventual incidente envolvendo suas próprias informações, já que o uso indevido destas por terceiros pode acarretar prejuízos reputacionais ou financeiros imensuráveis.
Em um momento que o Brasil vive uma crise de segurança digital, todo cuidado é pouco com as informações relacionadas aos documentos do presidente, da diretoria e dos conselheiros. Até porque é o tipo de informação que pode ser usada não apenas para dar golpes e afetar o ecossistema de negócios da empresa, como causar danos à pessoa física dos executivos. Por isso, é preciso acompanhar de perto as medidas tomadas pela companhia para garantir que seus interesses – profissionais e pessoais – sejam resguardados.
LGPD e o papel dos altos executivos
Alguns dos princípios estabelecidos na lei, que têm especial aplicação para os altos executivos, do CEO ao conselho, são o da minimização e o da segurança, assim como também a aplicação da anonimização sempre que possível.
Outro aspecto fundamental para garantir a aplicação da LGPD no cotidiano empresarial é o uso de ferramentas adequadas para compartilhamento das informações. Como já ocorre com o uso do portal Diligent Boards, que é uma ferramenta de otimização de gestão corporativa, que pode ser utilizada para disponibilizar calendário de reuniões, registrar atas e disponibilizar documentos pertinentes aos membros do conselho de administração dentro de um ambiente seguro e controlado.
Outro aspecto fundamental para garantir a aplicação da LGPD no cotidiano empresarial é o uso de ferramentas adequadas para compartilhamento das informações
A LGPD exige em diversos artigos, como 6º e 46, que o controlador de dados implemente medidas técnicas e organizacionais de segurança de dados. E é preciso ter evidência de que isso foi feito. Sendo assim, para garantir o cumprimento da LGPD e evitar exposição desnecessária dos integrantes de conselho de administração, há medidas indispensáveis que deverão ser tomadas periodicamente. Incluímos abaixo um checklist de tais medidas:
- Elaboração da Política/Guia específico para Tratamento de Dados Pessoais junto ao Board e ao Conselho de Administração;
- Criação de ações educativas que promovam a cultura de segurança e proteção de dados pessoais dentro da companhia e que tenha uma abordagem “top down”– como workshops direcionados a conselheiros, diretoria e lideranças;
- Elaboração do Protocolo de Resposta a Incidentes para situação específica de vazamento e/ou sequestro de dados e Sala de Crise;
- Definição de KPIs para monitoramento e acompanhamento do grau de maturidade do Programa de Privacidade e Proteção de Dados e a apresentação dos resultados pelo Encarregado de Dados (DPO) periodicamente para o Conselho;
- Realização de auditoria de fiscalização para análise de exposição a risco relacionado à LGPD (risco reputacional, risco regulatório, risco financeiro, risco fiscalizatório, outros).
(Este artigo foi escrito em conjunto com Lorena Botelho, Maiara Bonetti Fenili e Barbara de Sá Cruz)
Patricia Peck é PhD, sócia-fundadora do Peck Advogados e Conselheira Titular do Conselho Nacional de Proteção de Dados (CNPD).
Lorena Botelho é sócia do Peck Advogados e LLM.
Maiara Bonetti Fenili é advogada líder do time de Societário, Contratos e Inovação do Peck Advogados.
Barbara de Sá Cruz é advogada o time de Societário, Contratos e Inovação do Peck Advogados, especialista em Direito Civil.