No contexto de uma economia movida a dados e diante da necessidade de conferir proteção ao cidadão em uma sociedade de vigilância, o Brasil conta hoje com um regramento geral sobre a proteção de dados pessoais, a exemplo (e com forte influência) do Regulamento Geral sobre a Proteção de Dados adotado pela União Europeia.
Trata-se da Lei nº 13.709, de 14 de agosto 2018, também conhecida como Lei Geral de Proteção de Dados Pessoais (LGPD), que introduz direitos à pessoa titular de dados pessoais e deveres legais aos agentes econômicos que realizem o tratamento de tais dados.
Muito embora ainda existam incertezas quanto aos critérios específicos para a sua aplicação, especialmente associadas à demora na criação da Autoridade Nacional de Proteção de Dados Pessoais (ANPD), a proximidade da data de vigência da norma (prevista para agosto de 2020) torna o tema da adequação à LGPD uma das prioridades de 2020.
Nesse sentido, dá-se grande destaque à atividade das entidades fechadas de previdência complementar (EFPC), que armazenam e utilizam continuamente dados de aproximadamente 7,5 milhões de pessoas naturais, dentre participantes, assistidos e beneficiários.
Com o objetivo de colaborar com o desafio de adequação enfrentado pelo segmento, apresentamos abaixo alguns pontos essenciais para a compreensão dos impactos da LGPD para as EFPC a partir de nossas experiências em consultorias a entidades durante o ano de 2019.
a) Conceitos centrais introduzidos pela LGPD
As obrigações estabelecidas pela LGPD partem do conceito de “Tratamento de Dados”, definido como toda a operação realizada com dados capazes de identificar pessoas naturais, como, por exemplo, a coleta, classificação, análise e guarda de dados pessoais (art. 5º, X). Importante anotar que a norma não se restringe aos dados armazenados em meios digitais, se aplicando também aos dados físicos, registrados em pape
No caso das EFPC, as pessoas naturais “Titulares” de dados protegidas pela LGPD por ocasião de tais Tratamentos de Dados (art. 5º, V) são os participantes, assistidos, beneficiários e colaboradores das entidades. São os “Dados Pessoais” desses indivíduos que deverão ser o foco de atenção dos gestores das entidades.
Por sua vez, os destinatários dos deveres legais estabelecidos pela norma são denominados “Controladores” [de dados] e “Operadores” (em conjunto denominados “Agentes de Tratamento”) (art. 5º, VI, VII e IX).
O Controlador é a designação que se dá ao responsável por tomar as decisões referentes ao tratamento de dados pessoais (posição que, em regra, será ocupada pelas EFPC). Ao Operador, se assim for indicado pelo Controlador, cabe realizar “o tratamento de dados pessoais em nome do controlador”, mantendo registros das operações realizadas (posição que, em regra, será ocupada pelos prestadores de serviços às EFPC).
b) Hipóteses Autorizativas para o Tratamento de Dados
A LGPD subdivide os Dados Pessoais em três grupos: (i) os dados pessoais não sensíveis, como nome, telefone, CPF, etc; (ii) os dados pessoais sensíveis, como filiação religiosa e orientação política; e (iii) os dados pessoais da criança e do adolescente.
Para cada um desses grupos, a LGPD estabelece número decrescente de hipóteses que autorizam a realização do Tratamento de Dados pelos Controladores e Operadores (respectivamente arts. 7º a 10, 11 a 12 e 14), conforme indicado no quadro resumo abaixo:
Os requisitos de tratamento de dados pessoais não sensíveis, que constituem a grande parte dos dados tratados pelas EFPC, são consideravelmente flexíveis, havendo diversas hipóteses autorizativas na lei que prescindem do consentimento dos Titulares de Dados.
Para a relação entre as entidades e seus participantes, destacam-se as hipóteses de Tratamento de Dados fundamentadas no cumprimento de obrigação legal ou regulatória, no legítimo interesse do controlador e na execução de contrato. Tratam-se todas de previsões dotadas de algum nível de subjetividade, o que, apesar de garantir maior liberdade aos Controladores e Operadores, exigirá cuidado adicional na análise dos casos concretos.
c) Deveres dos Agentes de Tratamento
O Controlador [de dados], que deve ser identificado ao Titular de Dados, desempenha papel central no Sistema de Proteção de Dados, possuindo diversas obrigações, dentre as quais:
(i) dever de observar as hipóteses autorizativas para o tratamento de dados pessoais;
(ii) dever de informar (em relação à ANPD e aos Titulares de Dados);
(iii) dever de transparência;
(iv) dever de elaborar relatório de impacto de dados, especialmente no caso de tratamentos baseados em seu legítimo interesse;
(v) dever de manter registro das operações de tratamento;
(vi) dever de identificar e mitigar riscos;
(vii) dever de supervisão das atividades desenvolvidas pelo Operador e pelo Encarregado; e
(viii) dever de adotar medidas de segurança.
O Operador, por sua vez, deverá agir dentro dos limites das instruções fornecidas pelo Controlador, possuindo obrigações próprias, dentre as quais: (i) manter registro das operações de tratamento e (ii) adotar medidas de segurança aptas a proteger os dados pessoais.
De modo a interagir com a ANPD e com os Titulares de Dados, além de orientar funcionários e contratados da organização a respeito das práticas de proteção dos dados pessoais, os Agentes de Tratamento deverão indicar, ainda, um “Encarregado”, que poderá ser pessoa física ou jurídica (ou seja, poderá ser um prestador de serviço externo).
A conduta dos gestores das EFPC em relação à LGPD deverá atender a seus deveres fiduciários, especialmente o dever de diligência, que inclui a procedimentalização dos controles internos dentro da entidade de modo adequado e razoável.
O cumprimento do dever de diligência exige dos gestores fiduciários uma atuação bem informada, prudente, zelosa e competente. Assim, deve-se ter claro o dever de assegurar que as informações, necessárias para bem desempenhar a tarefa de gestão, sejam geradas e tempestivamente lhes sejam entregues.
d) Plano de Adequação
A implementação das medidas pelas EFPC para atender às exigências da LGPD demandam um minucioso exercício de autoconhecimento organizacional para a elaboração de um Plano de Adequação compatível com o porte e características de cada entidade.
Abaixo listamos um resumo das principais fases que devem compor um projeto de adequação efetivo:
1. Mapeamento: (i) identificação dos tipos de dados pessoais utilizados pela entidade, incluindo aqueles armazenados em meios físicos (data mapping e data discovery); (ii) identificação da finalidade de cada tratamento de dados realizado, com o objetivo de identificar a hipótese autorizativa aplicável; e (iii) identificação dos procedimentos de tratamento adotados e partes envolvidas em cada etapa.
2. Avaliação de gaps: avaliação das capacidades atuais (processos, tecnologias, governança, políticas e normas) em relação às exigências da LGPD e identificação dos gaps para o desenvolvimento do plano/programa de adequação da entidade.
3. Implementação de Plano de Adequação: estabelecimento de metas graduais de adequação à LGPD, comportando, no mínimo: (i) a elaboração de uma Política de Privacidade; (ii) a definição dos procedimentos internos de segurança de dados; (iii) definição dos procedimentos internos para a resposta a incidentes; (iv) definição dos procedimentos internos para resposta aos Titulares de Dados quanto ao exercício de seus direitos; (v) revisão dos instrumentos jurídicos (regulamentos, contratos com fornecedores, etc); (vi) definição de regras de privacy by design e privacy by default; e (vii) definição de regras relativas ao descarte e ciclo de vida dos dados.
4. Treinamento: estabelecimento de estratégias para o aprimoramento da cultura interna da entidade quanto à proteção dos dados pessoais.
5. Controle e Monitoramento: supervisão constante quanto da efetividade das políticas e medidas adotadas e das alterações legislativas e regulatórias que possam impactar na política de proteção de dados adotada pela entidade.
e) Sanções
A LGPD estabelece para os Agentes de Tratamento – além da ordinária responsabilidade civil em face do titular dos dados por danos causados pelo descumprimento das suas disposições – sanções de caráter administrativo.
As penalidades aplicáveis em razão das infrações às normas da LGPD vão desde advertência até a imposição de elevadas punições de natureza pecuniária, que podem chegar a 2% “do faturamento da pessoa jurídica de direito privado”, limitada a R$ 50 milhões por infração (art. 52).
Nesse ponto, há de se ponderar quanto a legalidade da aplicação das sanções pecuniárias às EFPC, uma vez que: (i) a aplicação de sanções que alcancem as reservas garantidoras de planos de benefícios previdenciários afetam o próprio grupo de participantes/titulares protegidos pela LGPD; e (ii) não há parâmetro para o cálculo do teto da multa em tese atribuível às EFPC no caso de descumprimento da LGPD, uma vez que essas pessoas jurídicas não possuem “faturamento”.
De toda forma, é bastante importante que as EFPC adotem, além das medidas preventivas de adequação à LGPD, um procedimento rigoroso no caso de incidentes com dados que prestigie a transparência. Isso porque, as sanções administrativas previstas pela LGPD deverão ser aplicadas de forma proporcional à gravidade dos danos causados e a extensão da violação, que determinará uma análise global da conduta dos gestores das EFPC.
Flavio Martins Rodrigues, sócio sênior (frodrigues@bocater.com.br)
Gabriel Augusto Cintra Leite, advogado associado (gleite@bocater.com.br)
Larissa Katharine Vieira Bosco, advogada associada (lbosco@bocater.com.br)