Em uma sociedade baseada em informações, onde todos os negócios são automatizados em algum nível, com constantes tratamentos de dados, é inegável que há a necessidade de um corpo especializado de prontidão para esclarecer, prevenir e reagir a situações adversas, compreendendo aspectos tecnológicos. Afinal, a tecnologia nos cerca independentemente se o modelo de negócio adotado é focado nela ou se é somente um fator secundário. As empresas que surgem nesse contexto – muitas denominadas startups[1] – precisam se preparar para uma governança total, não podendo se limitar a aspectos antes vistos como fundamentais, como os programas anticorrupção. É preciso, mais do que nunca, que seus modelos de negócios sejam desenvolvidos pensando-se grande, isto é, com olhos de quem deseja crescer escalonadamente e ganhar não só reputação, mas nacos importantes do mercado e, claro, faturar milhões/bilhões.
Logo com a evidente importância da “segurança da informação”, ganhando corpo diariamente, pela transversalidade da transformação digital, impôs-se pelo seu capital valor, o desenvolvimento de padrões para a implantação e operação de conceitos de sua segurança. O início dessa padronização remete a 1995, quando foi publicado o British Standard 7799, o qual originou a série ISO 27000. Fazendo-se aqui uma pequena recapitulação histórica após o surgimento do BS 7799, este foi revisado em 1999, gerando três padrões:
a) o BS 7799-1, sobre boas práticas para a gestão da segurança da informação;
b) o BS 7799-2, sobre sistemas de gestão de segurança da informação; e
c) o BS 7799-3, sobre orientações para gestão de risco.
No ano 2000, o BS 7799-1 passou a ser identificado como ISO[2] 14 17799 e, entre 2001 e 2004, passou por revisões que resultaram na ISO/IEC 17799:2005. Em 2005, o BS 7799-2 foi adotado pela ISO e recebeu o número 27000, o que deu início à série destinada à segurança da informação, o que a denominou ISO/IEC 27002:2005.
As normas ISO 27000 permitem que as organizações implementem e operem um Sistema de Gestão de Segurança da Informação (SGSI) que concentre políticas, procedimentos, diretrizes e recursos para a gestão da proteção dos ativos de informação nas organizações. O SGSI apresenta um sistema para o estabelecimento, a implantação, a operação, o monitoramento, a revisão e a melhoria da segurança da informação, o que deve ser alinhado com os objetivos estratégicos dos negócios. Em outras palavras, é parte de um programa de integridade digital ou compliance digital pedra basilar de um sistema gerencial de dados de qualquer estrutura da administração pública, seja ela direta ou indireta.
Como parte do registro histórico brasileiro, a primeira normativa que trata sobre aspectos de compliance é a Resolução 2.554/98 do Bacen, que mencionou a necessidade de governança para sistemas de informação, abrangendo aspectos operacionais e gerenciais. Na Resolução, fez-se menção aos sistemas de informações vinculando-os à necessidade de governança, abrangendo os âmbitos operacional e gerencial quanto à aplicação de tais sistemas nas referidas instituições (art. 1º, caput). No mesmo artigo, vemos um importante posicionamento acerca da proporcionalidade, numa aplicação referente não ao controle por parte do Estado, mas dos próprios entes privados, os quais passam a lidar com a obrigação de proporcionar controles efetivos e consistentes com a natureza, complexidade e risco das operações por elas realizadas (art. 1º, § 1º).
Lembramos, então, que outras leis e normativas devem ser cumpridas para fins de atendimento de programas de compliance digital. Reputamos que as principais são a Lei 12.965/14 – “Marco Civil da Internet” ou “MCI” – e a Lei 13.709/18 – “Lei Geral de Proteção de Dados” ou “LGPD”.
É o MCI é a lei que trata de aspectos gerais do uso da internet no Brasil, prevendo princípios e garantias, direitos e deveres para quem usa a rede e determinada diretrizes para a atuação do Estado. Seus principais reflexos têm sido sobre as obrigações dos provedores de acesso/conexão e de aplicações a guardarem os registros de acesso respectivamente por um ano (art. 13) e por seis meses (art. 15), a responsabilização dos provedores de aplicações caso fiquem inertes após serem notificados sobre a existência de materiais com cenas de nudez ou atos sexuais de caráter privado (art. 21) e a necessidade de ordem judicial para a remoção de conteúdo (art. 19). É por meio dessas normas que as empresas devem pensar em se estruturar para responder a ordens judiciais de remoção de conteúdo e de fornecimento de informações cadastrais e outros dados de navegação dos usuários de suas plataformas. Qualquer empresa que atue na internet pode vir a ser considerada um provedor de aplicações, motivo suficiente para que se lhe aplique o MCI, fixando-se dessa forma regras basilares da nossa governança digital.
A LGPD é o diploma normativo que regula o tratamento dos dados pessoais nos âmbitos físicos e digitais, com o objetivo de resguardar direitos fundamentais das pessoas físicas, buscando impedir que pessoas jurídicas tratem abusivamente dos dados, violando a privacidade e o livre desenvolvimento das pessoas naturais. Trata-se de um grande avanço legislativo, a exemplo do MCI, colocando o Brasil no rol de países que possuem lei específica para o tratamento de dados pessoais. Seu principal impacto será nos modelos de negócios, já que a obtenção do consentimento das pessoas para o tratamento de dados precisará ser mais detalhada, objetiva e transparente. É uma tentativa de empoderar as pessoas a poderem exercer sua autodeterminação quanto ao fornecimento de dados. Busca-se evitar que os dados sejam usados em prejuízo das pessoas físicas, com a imposição de multas e determinando-se que a existência de programas de compliance digital podem significar penalidades mais brandas.
Hoje qualquer empresa que pretenda vender um produto ou serviço a consumidores na internet estará, necessariamente, abrangida pelos diplomas acima mencionadas. Porém o compliance digital não significa apenas cumprir essas normas, até porque há outras que devem ser atendidas, inclusive internacionais, como é o caso do Regulamento Geral de Proteção de Dados (2016/679) da União Europeia (EU), no qual nossa LGPD foi inspirada.
A legislação da EU entrou em vigor em 25 de maio de 2018 e traz em seu artigo 5º os princípios que devem ser seguidos no tratamento de dados pessoais: a licitude, lealdade e transparência, a limitação da finalidade, a minimização dos dados, a exatidão, a limitação da conservação, a integridade e confidencialidade e a responsabilidade. Esses princípios, tal como aqueles trazidos anteriormente nas diretrizes de compliance geral, colocam às empresas que desempenham atividades relacionadas ao tratamento de dados práticas a serem adotadas, sujeitas a sanções administrativas. Fez-se através de uma necessidade de regulamentação em atividades que apresentem riscos maiores ou diferenciados, ou seja, atividades que necessitam ir além do ideal de compliance tradicional. Pode-se dizer que o RGPD foi uma evolução do compliance, exigindo um padrão de conduta em nível de um bloco econômico, porém, tendo seus efeitos expansíveis a hipóteses de territorialidade pensadas quanto a seu sujeito ativo, passivo, e até quanto ao objeto – dada a natureza “transfronteiriça” que têm os dados. A UE apresentou ao mundo, por meio de sua regulação, uma preocupação com essa evolução, que pede um plano de cooperação internacional, e não apenas local/regional. A ética e responsabilidade agora aparecem de forma mais específica e exigindo conhecimentos mais focados daqueles que devem executar o programa; ponto este que se faz nítido com a figura do DPO (Data Protection Officer ou, na versão em português da lei, “Encarregado da Proteção de Dados”), o qual conta com uma seção dedicada à sua função no RGPD (Seção 4, arts. 37-39), além de outras menções pontuais no decorrer da legislação. Trata-se de um cargo de liderança voltado à segurança, exigido para empresas as quais se encaixem nas hipóteses de aplicação da RGPD.
Tanto o RGPD quanto a nossa LGPD faz menção ao encarregado de proteção de dados, ainda que com nomes diferentes. Eles são como compliance officers voltados, especificamente, para a proteção de dados pessoais e relacionamento com os titulares, autoridades reguladoras e com a alta direção. Isso, por si só, já deixa claro que as normativas atuais sobre proteção de dados trazem conceitos e disposições sobre compliance digital.
Porém, é de se destacar que um programa de compliance digital é mais amplo, devendo conter planos de respostas a incidentes/planos de contingência/planos de gestão de crise, inclusive para atos como o vazamento de dados, extorsão em casos de crackers exigirem valores em troca de apontamentos de falhas sistêmicas ou ransomware(esses cada dia mais comuns, vide o caso do nosso STJ), quando o valor é exigido para que se decripte arquivos criptografados impedindo o acesso por quem de direito. As políticas devem passar, ainda, por normas, classificando os incidentes, indicando suas gravidades e consequências, quando e como devem ser comunicadas às autoridades e aos titulares dos dados. Junte-se a isso a necessidade de documentos básicos, como os termos de uso de um aplicativo ou website (que são as regras para quem utiliza-os) e as políticas de privacidade (que são as narrativas do que a empresa fará com os dados coletados dos titulares).
[1] O conceito de startup não é preciso, havendo definições que as consideram toda e qualquer empresa pequena em período inicial, bem como as que as entendem como aquelas cujos custos de manutenção são muito baixos e que, apesar disso, conseguem crescer rapidamente e, ainda, aquela definição que as coloca como empresas em estágios iniciais que procuram um modelo de negócios repetível e escalável, operando em condições de grande incerteza.
[2] A ISO é sigla para International Organization for Standardization ou Organização Internacional para a Padronização, entidade fundada em 1947 em Genebra (Suíça) e que congrega diversos países. Ela é a responsável por aprovar normas internacionais em diversas áreas do conhecimento. O Brasil é membro desde sua fundação e o órgão responsável pela ISO no país é a Associação Brasileira de Normas Técnicas (ABNT).