A RELEVÂNCIA DA DEFINIÇÃO DE REGRAS DE BOAS PRÁTICAS E GOVERNANÇA PELOS SETORES ECONÔMICOS NA LGPD: A NECESSIDADE DE COMPATIBILIZAÇÃO DE DIVERSAS REALIDADES

1. A vigência da LGPD

 A LGPD já está em vigor desde 2020 e, desde 1º de agosto de 2021, as  sanções nela previstas já são aplicáveis e exigíveis de todos os agentes  responsáveis pelo tratamento de dados pessoais no Brasil. 

Com isso, vários setores da economia nacional encontram-se sujeitos e  devem observar as previsões da LGPD. 

2. Existência de diversas realidades e peculiaridades inerentes a  diferentes setores da economia 

No entanto, é necessário reconhecer que há várias realidades e  circunstâncias inerentes ao funcionamento de cada setor da economia. Embora vários deles possam envolver o tratamento de dados pessoais, não é viável  que a LGPD seja aplicada indiscriminadamente a todos os setores.

Não se pretende defender que a LGPD não deve ser aplicada a todos de  forma isonômica. Pelo contrário, não se trata disso, mas do reconhecimento de que a aplicação concreta da Lei demandará o exame de realidades específicas  dos agentes e dos diferentes setores. A aplicação isonômica da LGPD implica  reconhecer a existência de diferentes realidades e peculiaridades atinentes aos  diversos setores da economia e examinar a aplicação das regras nela previstas  considerando essas circunstâncias. 

2.1. LGPD e aplicação a setores profissionais objeto de fiscalização por  entidades profissionais de classe

Já se colocou em discussão, por exemplo, a aplicabilidade da LGPD à  atividade advocatícia. Há inclusive aqueles que defendem que a atividade  advocatícia não poderia se submeter à LGPD, considerando que ela é objeto  de regulação e fiscalização por parte da OAB. O Estatuto da Advocacia e as  previsões constantes do Código de Ética da Advocacia já regulariam as  questões inerentes aos dados pessoais dos clientes dos advogados e, por isso,  segundo os defensores dessa posição, não caberia aplicar a LGPD à atividade  advocatícia.

A posição é extrema e não é possível adotá-la. A LGPD aplica-se a  todos aqueles que tratem dados pessoais – incluindo advogados, médicos,  engenheiros, contadores e outras profissões regulamentadas e que estão  sujeitas aos órgãos de fiscalização da classe profissional.

2.2. Necessidade de reconhecimento da existência de diversas realidades  

Isso não significa que não deva ser considerada a existência de diversas  realidades e peculiaridades dessas atividades. Os diversos setores podem  apresentar não apenas diferentes graus de tratamento de dados, mas também  diferentes realidades técnicas e mesmo de práticas específicas relativamente a cada setor (algumas delas derivadas do cumprimento de outras normas legais  e infralegais, como no caso de setores regulados).

A incidência da LGPD a todos os setores da economia e de atuação  profissional que acarretem coleta, tratamento e processamento de dados  pessoais não significa que a sua aplicação não deva considerar as  peculiaridades de funcionamento de cada um.

2.3. Reconhecimento da necessidade de aplicação compatível e  proporcional aos setores específicos pela própria LGPD 

Prova disso é que a própria Lei prevê, por exemplo, que deve ser  considerado o porte da empresa responsável pela coleta e processamento dos  dados.

O art. 55-J, inc. XVIII, estabelece que compete à Autoridade Nacional de  Proteção de Dados – ANPD “editar normas, orientações e procedimentos  simplificados e diferenciados, inclusive quanto aos prazos, para que  microempresas e empresas de pequeno porte, bem como iniciativas  empresariais de caráter incremental ou disruptivo que se autodeclarem startups  ou empresas de inovação, possam adequar-se a esta Lei”. 

Além disso, ao tratar do encarregado, o art. 41, §3º, da LGPD,  estabelece inclusive a possibilidade de que a ANPD dispense a necessidade  de sua indicação “conforme a natureza e o porte da entidade ou o volume de  operações de tratamento de dados”. 

3. A ausência da edição de normas pela ANPD

Até o momento, a ANPD não editou normas específicas a serem  consideradas para a aplicação da LGPD a setores específicos da economia. 

3.1. A agenda regulatória da ANPD 

A Portaria nº 11/2021 tornou pública a agenda regulatória da ANPD. Na  agenda, menciona-se expressamente que a Autoridade Nacional iria iniciar no  primeiro semestre de 2021 o processo de regulamentação a respeito da  “Proteção de dados e da privacidade para pequenas e médias empresas,  startups e pessoas físicas que tratam dados pessoais com fins econômicos”. A  regulamentação culminará na edição de resolução específica.

3.2. O processo de regulamentação da ANPD

Por outro lado, a Portaria nº 16/2021 da ANPD aprovou o processo de regulamentação no âmbito da Autoridade Nacional de Proteção de Dados.  Conforme reconhecido pela ANPD, a edição de normas regulamentares pela Por outro lado, a Portaria nº 16/2021 da ANPD aprovou o processo de regulamentação no âmbito da Autoridade Nacional de Proteção de Dados.  Conforme reconhecido pela ANPD, a edição de normas regulamentares pela  Autoridade Nacional envolve a adoção de instrumentos como a análise de impacto regulatório, avaliação de resultado regulatório, consultas e audiências públicas e tomada de subsídios.

3.3. Consulta pública sobre a norma de fiscalização

Em maio de 2021, a ANPD publicou consulta pública consulta pública  sobre a norma de fiscalização da Autoridade. Após o período de contribuições  da sociedade, ainda não foi editada a resolução que foi submetida à consulta.

3.4. Consulta pública a respeito de normas aplicáveis a pequenas e médias  empresas, startups e pessoas físicas 

A norma que deverá ser editada para regulamentar a proteção de dados  e da privacidade para pequenas e médias empresas, startups e pessoas físicas  que tratam dados pessoais com fins econômicos – que consta expressamente  da agenda regulatória da Autoridade Nacional – foi submetida a consulta em 30  de agosto de 2021.

Ainda não há perspectiva de sua edição, o que deverá ocorrer algum  tempo após o encerramento do prazo para contribuições da sociedade. 

3.5. Ausência de perspectiva imediata de edição de normas específicas  que considerem a realidade dos setores

Não houve a submissão de nenhuma outra norma a consulta pública pela ANPD. 

Ou seja, não há perspectiva de edição de outras normas  regulamentadoras da LGPD pela ANPD em horizonte próximo.

Aqueles que acompanham mais de perto a atuação da ANPD até  relatam que a Autoridade Nacional tem realizado várias reuniões para  discussão de temas específicos, como é o caso do relatório de impacto à  proteção de dados pessoais. Segundo Marina Gonçalves Garrote, Nathan  Paschoalini, Marina Meira e Bruno R. Bioni, a ANPD vinha discutindo tal tema  no final do mês de junho de 2021 (https://www.jota.info/opiniao-e-analise/colunas/agenda-da-privacidade-e-da-protecao-de-dados/anpd-relatorio-impacto-protecao-dados-pessoais-13072021).

Mas, também nesse caso, não houve ainda edição da norma  regulamentadora do art. 55-J, inciso XIII, da LGPD. 

4. A possibilidade do estabelecimento de padrões de boas práticas  específicos para setores econômicos 

A circunstância confirma a relevância da atividade de definição de  padrões de boas práticas pelos diversos setores econômicos e indústrias. 

4.1. A previsão do art. 50 da LGPD 

O art. 50 da LGPD estabelece expressamente que “Os controladores e  operadores, no âmbito de suas competências, pelo tratamento de dados  pessoais, individualmente ou por meio de associações, poderão formular  regras de boas práticas e de governança que estabeleçam as condições de  organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões  técnicos, as obrigações específicas para os diversos envolvidos no tratamento,  as ações educativas, os mecanismos internos de supervisão e de mitigação de  riscos e outros aspectos relacionados ao tratamento de dados pessoais1

A previsão legal é relevantíssima e acaba sendo muitas vezes ignorada,  mesmo pelos setores econômicos que envolvem intensa atividade de  tratamento de dados pessoais. 

Ela estabelece que os controladores e operadores, individualmente ou  por meio de associações, podem formular regras de boas práticas e de  governança relacionadas ao tratamento de dados pessoais.

Além das associações, é perfeitamente possível que tais regras sejam  definidas por entidades sindicais e federações reunindo agentes de  determinados setores econômicos.

4.2. A consideração dos riscos e benefícios do tratamento de dados  relativos a cada setor específico

O parágrafo 1º o art. 50 define que o estabelecimento das regras de  boas práticas deve levar em consideração “em relação ao tratamento e aos  dados, a natureza, o escopo, a finalidade e a probabilidade e a gravidade dos  riscos e dos benefícios decorrentes de tratamento de dados do titular”.

Ou seja, confirma-se o cabimento de que tais regras de boas práticas sejam ponderados conforme a realidade de cada setor específico – e também  conforme o tipo e a natureza dos riscos envolvidos com o tratamento de dados  pessoais. 

4.3. Os princípios da segurança e da prevenção: vetores que orientam as  atividades de tratamento de dados pessoais 

O parágrafo 2º do art. 50, da LGPD estabelece que na aplicação dos “princípios indicados nos incisos VII e VIII do caput do art. 6º desta Lei, o  controlador, observados a estrutura, a escala e o volume de suas operações,  bem como a sensibilidade dos dados tratados e a probabilidade e a gravidade  dos danos para os titulares dos dados, poderá” 

(a) implementar programa de governança em privacidade e  
(b) “demonstrar a efetividade de seu programa de governança em  privacidade quando apropriado e, em especial, a pedido da autoridade  nacional ou de outra entidade responsável por promover o cumprimento de  boas práticas ou códigos de conduta”. 

Os princípios referidos nos incisos VII e VIII correspondem aos princípios  da segurança e prevenção. Trata-se de dois aspectos relevantes no  tratamento de dados pessoais.

Ambos se referem a normas abertas, que remetem à “utilização de  medidas técnicas e administrativas aptas a proteger os dados pessoais de  acessos não autorizados e de situações acidentais ou ilícitas de destruição,  perda, alteração, comunicação ou difusão” (segurança) e à “adoção de  medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais” (prevenção).

Essas medidas técnicas e administrativas referidas pela LGPD não são especificadas e, evidentemente, variam de acordo com a evolução social, com  a prática do setor e com o avanço da tecnologia disponível. 

Por isso, é muito relevante que as associações e entidades sindicais  possam definir e especificar essas medidas em normas específicas de boas  práticas. Além de elas serem discutidas e definidas pelo próprio setor  econômico, levarão em conta as realidades e circunstâncias específicas desse  setor.

4.4. Os requisitos mínimos do programa de governança em privacidade

O inc. I do §2º, do art. 50 da LGPD estabelece os requisitos mínimos do  programa de governança em privacidade.  

Exige-se que demonstre o comprometimento do controlador em adotar  processos e políticas internas que assegurem o cumprimento, de forma  abrangente, de normas e boas práticas relativas à proteção de dados pessoais  (alínea a).  

Ele deve ser abrangente, aplicável “a todo o conjunto de dados  pessoais que estejam sob seu controle, independentemente do modo como se  realizou sua coleta” (alínea b).  

Deve haver também adequação e compatibilidade, ser adaptado tanto  “à estrutura, à escala e ao volume de suas operações”, como “à sensibilidade  dos dados tratados” (alínea c).  

Deverá estabelecer políticas e salvaguardas adequadas com base em  processo de avaliação sistemática de impactos e riscos à privacidade (alínea  d). 

Deve promover a transparência e participação, ter como objetivo  “estabelecer relação de confiança com o titular, por meio de atuação  transparente e que assegure mecanismos de participação do titular” (alínea e).

Além disso, deve prever “planos de resposta a incidentes e remediação” (alínea g) e ser atualizado constantemente com base em informações obtidas  a partir de monitoramento contínuo e avaliações periódicas” (alínea h).

Trata-se de requisitos que concretizam diversas previsões e obrigações  estabelecidas pela LGPD. 

4.5. Publicidade e atualização periódica das regras de boas práticas e  governança 

As regras de boas práticas e de governança definidas pelos  controladores e operadores de dados – e suas associações, sindicatos e  federações – deverão ser publicadas e atualizadas periodicamente (art. 50,  §3º, da LGPD).   

5. A competência da ANPD para reconhecer e divulgar as boas práticas  estabelecidas pelos diferentes setores 

A LGPD estabelece previsão específica muito relevante, que estabelece  que a ANPD poderá reconhecer e divulgar as regras de boas práticas e  governança. 

Trata-se de previsão muito similar àquela estabelecida pelo GDPR  europeu no art. 40, §5º, que também prevê a possibilidade de aprovação dos  códigos de conduta pelas autoridades europeias de proteção de dados2

5.1. Exemplo de corregulação

A previsão legal consagra exemplo típico de corregulação (ou regulação  policêntrica), em que se admite que os agentes regulados possam participar de  definições relacionadas ao modo, métodos e técnicas a serem consideradas no  cumprimento de obrigações previstas pela LGPD. 

Consiste em oportunidade relevante para que os agentes sujeitos à  incidência da LGPD possam aperfeiçoar a forma como se dará o cumprimento  dos requisitos e previsões da Lei relativamente à proteção da privacidade e dos  dados pessoais. 

5.2. A natureza do reconhecimento: espécie de certificação de  conformidade

Ao estabelecer que a ANPD irá reconhecer as regras de boas práticas e  governança a LGPD define competência relevante da Autoridade Nacional.  Não se trata apenas de tomar conhecimento dessas regras, mas sim de  examiná-las e verificar a sua conformidade com a LGPD e com as demais normas expedidas pela própria ANPD. 

Uma vez que tenha reconhecido essa conformidade, a ANPD deverá  certificar essa circunstância. É esse o sentido da ação de “reconhecer” estabelecido pelo §3º, do art. 50 da LGPD. 

A atuação da ANPD envolve uma decisão e uma espécie de certificação  de que as regras de boas práticas e governança são conformes à LGPD e  compatíveis com seus objetivos.

5.3. A divulgação das regras de boa prática e governança de privacidade  pela ANPD

O §3º, do art. 50 da LGPD também define que, após reconhecidas, as  regras de boas práticas e governança deverão ser por ela divulgadas.

5.4. Atividade de orientação pela ANPD 

Essa divulgação pela ANPD não é casual. Não se trata apenas de dar  publicidade a determinados padrões e regras de boas práticas, mas de divulgar  à coletividade que a Autoridade Nacional examinou e reconheceu aquelas  regras como adequadas e compatíveis com a LGPD, inclusive para que outros  agentes levem tais regras em conta no cumprimento das obrigações  estabelecidas pela LGPD. 

A questão é confirmada pelo conteúdo do art. 33 da minuta de norma de  fiscalização colocada em consulta pública pela ANPD, que estabelece que uma  das atividades de orientação da ANPD constitui justamente “reconhecer e  divulgar regras de boas práticas e de governança” (inc. IV). 

Portanto, ao reconhecer e divulgar determinadas regras de boas  práticas, a ANPD fornece orientação àqueles que se submetem à aplicação da  LGPD.  

6. A segurança obtida pelos setores na definição de regras de boas  práticas 

Uma vez definidas regras de boas práticas e governança por um  determinado setor econômico ou categoria e após o reconhecimento e  divulgação pela ANPD, haverá muito mais clareza para o referido setor. 

As referidas normas poderão orientar a conduta dos agentes do setor no  cumprimento das obrigações e exigências da LGPD.

E haverá segurança de que a ANPD examinou as referidas normas e  confirmou a sua compatibilidade com a LGPD e às normas editadas pela  própria autoridade nacional.  

No âmbito europeu, as guidelines editadas pela Comissão Europeia de  Proteção de Dados (European Data Protection Board) reconhecem essas  circunstâncias relativamente à atividade de desenvolvimento e aprovação de  códigos de conduta, na forma do art. 40, do GDPR.

Nos termos das referidas guidelines, os códigos representam uma  oportunidade de estabelecer um conjunto de regras que contribuem para a  adequada aplicação do GDPR de modo prático, transparente e potenciamente  custo-efetivo, que leva em conta as nuances de um setor particular ou de suas atividades de processamento3. Ainda segundo as guidelines, os códigos podem  ser elaborados pelos controladores e processadores levando em conta as  características específicas do processamento realizado em certos setores e as  necessidades específicas de micro, pequenas e médias empresas. 

7. A vinculação da ANPD a regras de boas práticas que lhe são  submetidas

Uma decorrência relevante do reconhecimento de regras de boas  práticas e governança de determinado setor pela ANPD é a vinculação da  Autoridade Nacional à sua conduta anterior.

Se a Autoridade Nacional reputou que as práticas, sistemas e métodos  estabelecidos em determinado conjunto de regras de boas práticas e  governança eram compatíveis com a LGPD, não poderá depois punir os  agentes daquele setor que estiverem seguindo as referidas regras no  cumprimento da LGPD.

Tampouco poderá exigir dos agentes daquele setor que adotem postura  diversa, salvo no caso de regras de boas práticas e governança que estejam  desatualizadas, incompatíveis com a evolução técnica ou que tenham se tornado incompatíveis com normas legais supervenientes.  

A ANPD vincula-se à posição por ela adotada quando reconhece um  conjunto de regras de boas práticas e governança que lhe foram submetidas.

7.1. A boa fé na definição das regras e seu cumprimento

Trata-se de preservar a boa-fé dos agentes que, confiando no  reconhecimento pela ANPD, passaram a adotar as regras de boas práticas e  governança que por esta foram reconhecidas.

7.2. Necessidade de sua consideração na fiscalização do cumprimento da  LGPD pela ANPD

Além disso, tais regras de boas práticas e governança deverão também  ser considerados pela ANPD na fiscalização e na aferição do cumprimento da LGPD pelos agentes que as estiverem aplicando.  

8. Conclusão 

Portanto, a definição de regras de boas práticas e governança pelos  controladores, operadores e associações e sindicatos de diversos setores econômicos constitui um campo muito relevante para o estabelecimento de  determinados padrões e orientações para o cumprimento das regras da LGPD.

O estabelecimento de tais regras traz benefícios concretos não apenas  para os agentes do referido setor, mas para a própria Autoridade Nacional de  Proteção de Dados – ANPD, que passa a contar com balizas adicionais para  que haja efetivo – e adequado, inclusive em termos de custo-efetividade – cumprimento das regras de privacidade e proteção de dados estabelecidas  pela LGPD. 

_____________________________
1 Trata-se de previsão similar ao art. 40, §1º do GDPR: “The Member States, the  supervisory authorities, the Board and the Commission shall encourage the drawing up  of codes of conduct intended to contribute to the proper application of this Regulation,  taking account of the specific features of the various processing sectors and the  specific needs of micro, small and medium-sized enterprises”.

_____________________________
2 Nos termos do referido dispositivo: “Associations and other bodies referred to in  paragraph 2 of this Article which intend to prepare a code of conduct or to amend or  extend an existing code shall submit the draft code, amendment or extension to the  supervisory authority which is competent pursuant to Article 55. The supervisory  authority shall provide an opinion on whether the draft code, amendment or extension complies with this Regulation and shall approve that draft code, amendment or  extension if it finds that it provides sufficient appropriate safeguards”.

_____________________________
3 Nos termos originais, “Codes represent an opportunity to establish a set of rules  which contribute to the proper application of the GDPR in a practical, transparent and  potentially cost effective manner that takes on board the nuances for a particular sector  and/or its processing activities. In this regard codes can be drawn up for controllers and  processors taking account of the specific characteristics of processing carried out in  certain sectors and the specific needs of micro, small and medium enterprises” (item 4,  11, disponível em https://edpb.europa.eu/our-work-tools/our documents/guidelines/guidelines-12019-codes-conduct-and-monitoring-bodies-0_en, acesso em 30.8.2021).