LGPD

COMO ESTABELECER A POLÍTICA DE TRATAMENTO DE DADOS PESSOAIS PARA O CONSELHO DE ADMINISTRAÇÃO

A Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/18 – “LGPD”) já está plenamente vigente no Brasil e o ano de 2022 é considerado o ano da fiscalização pela Autoridade Nacional (ANPD). Sendo assim, apesar de ser uma legislação recente, que ainda levanta muitas dúvidas quanto ao que vai ser entendido como conforme ou não em uma situação de autuação e aplicação de multa, tem chamado cada vez mais a atenção de Diretoria e Conselho de Empresas especialmente quando o assunto envolve vazamento e sequestro de dados, riscos reputacionais e limites de responsabilidade.

Devido ao impacto estratégico da LGPD nas operações das empresas, quando a pauta é a definição do modelo de ética de dados, e seus efeitos sobre a percepção de valor das companhias abertas, onde indicadores de transparência, segurança e confiabilidade são diretamente associados ao cumprimento dos requisitos desta nova legislação que está dentro da trilha de proteção dos direitos humanos, é de suma importância que os integrantes do conselho de administração tenham maior conhecimento de qual roteiro seguir para analisar se as melhores práticas estão sendo efetivamente implementadas e identificar qual o nível de exposição ao risco de privacidade e cibersegurança estão sujeitos..

Além disso, o exemplo tem que vir de cima, “top down”, logo, os próprios conselheiros precisam aplicar as recomendações da LGPD no tratamento e/ou manuseio de dados pessoais para tomada de decisões e para o exercício de todas as demais atividades que estão sob sua competência. Imagina a situação da companhia ser penalizada por violação à LGPD pelo próprio Conselho!

Neste sentido, tem sido muito importante a elaboração de uma Política específica para orientação sobre o tema, que serve como guia. Lembrando que é considerado  dado pessoal toda informação relativa a uma pessoa natural identificada ou identificável, ou seja, desde documentação que envolva departamento de pessoas (colaboradores) até mesmo clientela.

É imprescindível que o tema seja acompanhado com atenção pelo Conselho, já que a inobservância do disposto em lei pode acarretar prejuízos maiores do que o pagamento da multa diária em valor correspondente a 2% (dois por cento) do faturamento da empresa, limitada ao montante de R$ 50.000.000,00 (cinquenta milhões de reais), tendo em vista que a Autoridade Nacional de Proteção de Dados (“ANPD”) pode arbitrar o pagamento de indenização aos titulares lesados e/ou aplicação de sanções que acarretem danos reputacionais da empresa, que podem refletir na diminuição da confiança depositada por clientes, fornecedores e partes interessadas.

Além disso, é necessário ressaltarmos que os próprios integrantes do conselho de administração são titulares de Dados Pessoais, o que reforça a importância da observância e cumprimento da LGPD, a fim de que haja minimização do risco de eventual incidente envolvendo suas próprias informações, já que o uso indevido destas por terceiros pode acarretar prejuízos reputacionais ou financeiros imensuráveis.

Desta forma, os integrantes do conselho de administração devem acompanhar de perto as medidas tomadas pela companhia para garantir que seus interesses – profissionais e pessoais – sejam resguardados.

Alguns dos princípios estabelecidos na lei, que tem especial aplicação para o Conselho são o da minimização e o da segurança, assim como também a aplicação da anonimização sempre que possível.

Mas uma das maiores preocupações, no momento atual, é com a cibersegurança, devido ao aumento dos ataques. E, neste sentido, todo cuidado deve ser redobrado, para evitar uma situação de sequestro de dados ou vazamento.

Para melhorar a proteção dos dados é fundamental usar ferramentas adequadas para compartilhamento das informações. Como já ocorre com o uso do portal Diligent Boards (“Plataforma”), que é uma ferramenta de otimização de gestão corporativa, que pode ser utilizada para disponibilizar calendário de reuniões, registrar atas e disponibilizar documentos pertinentes aos membros do conselho de administração dentro de um ambiente seguro e controlado, o que atender os requisitos da LGPD.

Mas há um grande desafio atualmente, com o aumento do uso do trabalho remoto (home office) e uso de dispositivos de mobilidade para se garantir mais segurança não apenas no nível técnico, mas especialmente no aspecto comportamental. Por isso, a importância de se promover campanhas educativas, também junto ao alto escalão executivo.

A LGPD exige em diversos artigos, como 6º e 46, que o controlador de dados implemente medidas técnicas e organizacionais de segurança de dados. E é preciso ter evidência de que isso foi feito.

Sendo assim, para garantir o cumprimento da LGPD e evitar exposição desnecessária dos integrantes de conselho de administração, há medidas indispensáveis que deverão ser tomadas periodicamente. Incluímos abaixo um checklist de tais medidas:

 

  • Elaboração da Política/Guia específico para Tratamento de Dados Pessoais junto ao Conselho de Administração;

 

  • Criação de ações educativas que promovam a cultura de segurança e proteção de dados pessoais dentro da Companhia e que tenha uma abordagem “top down”– como workshops direcionados à Conselheiros, Diretoria, Lideranças;

 

  • Elaboração do Protocolo de Resposta à Incidentes para situação específica de vazamento e/ou sequestro de dados e Sala de Crise;

 

  • Definição de KPIs para monitoramento e acompanhamento do grau de maturidade do Programa de Privacidade e Proteção de Dados e a apresentação dos resultados pelo Encarregado de Dados (DPO) periodicamente para o Conselho;

 

  • Realização de auditoria de fiscalização para análise de exposição à risco relacionado à LGPD (risco reputacional, risco regulatório, risco financeiro, risco fiscalizatório, outros).

 

Assim sendo, a elaboração de uma Política/Guia – por especialista que efetivamente domine o tema proteção de dados – definindo as premissas a serem observadas pelo conselho de administração é um diferencial importante, já que garante segurança para que a tomada de decisões esteja alinhada aos preceitos da lei e o risco de exposição negativa da companhia ou das pessoas que integram o órgão colegiado seja mitigado.

 

Dra. Patricia Peck, PhD. CEO e sócia do Peck Advogados, Conselheira Titular do Conselho Nacional de Proteção de Dados (CNPD).
Lorena Botelho, sócia do Peck Advogados e LLM.
Maiara Bonetti Fenili, advogada líder do time de Societário, Contratos e Inovação do Peck Advogados.
Barbara de Sá Cruz, advogada o time de Societário, Contratos e Inovação do Peck Advogados, especialista em Direito Civil.

Board Portal Buyer’s Guide

With the right Board Portal software, a board can improve corporate governance and efficiency while collaborating in a secure environment. With lots of board portal vendors to choose from, the whitepaper contains the most important questions to ask during your search, divided into five essential categories.

BLOGS EM DESTAQUE