PROGRAMAS DE COMPLIANCE E PROJETOS DE ADEQUAÇÃO À LGPD

1. INTRODUÇÃO

Basta um contato superficial com a área jurídica de qualquer empresa para perceber que o Compliance e a Lei Geral de Proteção de Dados (LGPD) são, possivelmente, um dos tópicos mais discutidos ultimamente, além de serem absoluta prioridade para organizações que demonstram preocupação com a Governança Corporativa e as tendências de mercado.

Apesar de ser quase unânime a importância conferida a ambos, o tratamento pode ser diferenciado conforme o segmento e o porte da empresa. Independente disso, fato é que os conceitos de Compliance e Proteção de Dados vem adquirindo cada vez mais concretude perante a comunidade jurídica nacional e internacional, com um aumento constante de profissionais especialistas nestas áreas, muito por conta da crescente demanda do mercado de trabalho.

Diante deste cenário, não há mais espaço para confusão entre os conceitos e características primárias que individualizam os Programas de Compliance e os Projetos de Adequação à LGPD.

O presente artigo, sem a pretensão de esgotar a discussão sobre o tema, pretende traçar os pontos limítrofes e os pontos de contato entre essas duas relevantes áreas que já se revelaram primordiais para garantir a gestão transparente e responsável de organizações públicas e privadas.

1. CONCEITOS INICIAIS

Preliminarmente, é necessário fazer algumas considerações iniciais a fim de definir puramente os conceitos e objetivos de Programas de Compliance e Projetos de Adequação à LGPD e, a partir disso, explorar a importância que cada um representa dentro de uma empresa.

O termo “Compliance” foi importado pela doutrina brasileira diretamente da experiência norte-americana, a qual demonstra, desde 1977, com a edição do FCPA (Foreign Corrupt Practices Act), ser fundamental a adoção de medidas preventivas para que seja alcançada a conformidade – principal termo usado para se referir ao Compliance na língua portuguesa – perante a legislação vigente.

Não é sem motivo que o setor consultivo vem ocupando posição de maior destaque desde que as empresas voltaram sua atenção para a necessidade de adoção de medidas de Compliance. Isso porque a ideia central gira em torno de adequar as operações da organização às normas, regulamentos e legislação vigentes, previamente às irregularidades eventualmente praticadas pela empresa. 

O foco, então, foge do contencioso e da disputa judicial, e passa para a prevenção e gestão de riscos, prevalecendo a atuação regular da empresa desde a origem da sua operação, para evitar ou mitigar os danos suportados na ocorrência de um eventual ato praticado em desconformidade com a lei ou regulamentos.

Assim, a identificação e gestão de riscos, que são naturais em qualquer operação – em maior ou menor escala –, se encontram no centro de um Programa de Compliance bem estruturado, pois é a partir desta definição que as principais medidas devem ser tomadas, com base no que prescreve a lei e sempre em alinhamento aos valores e à missão da empresa.

Nesse sentido, os Programas de Compliance visam não somente à implementação de medidas concretas e objetivas a fim de mitigar esses riscos, mas também ao desenvolvimento de uma cultura de boas práticas dentro da empresa, a qual requer a mobilização de todos os colaboradores da organização e que não ocorre, e nem poderia ocorrer, de imediato.

Com base nisso, a doutrina costuma indicar 10 pilares dos Programas de Compliance: (i) suporte da alta administração; (ii) estrutura e autoridade adequada; (iii) gestão de riscos; (iv) Código de Ética e Conduta; (v) controle interno; (vi) treinamento e conscientização; (vii) canais de denúncia; (viii) investigações internas; (ix) due diligence; e (x) auditoria e monitoramento.

Por sua vez, os Projetos de Adequação à LGPD dizem respeito essencialmente ao reconhecimento e implementação das medidas necessárias para que a empresa opere em conformidade com a nova legislação brasileira que versa sobre a Proteção de Dados Pessoais.

A Lei Geral de Proteção de Dados (Lei nº 13.709/2018) entrou em vigor em setembro de 2020, após uma tramitação tumultuada no Congresso Nacional. Porém, apesar daquele momento inicial incerto, atualmente já não restam dúvidas de que a legislação deverá ser observada rigorosamente por todas as partes envolvidas. A sua não observância poderá acarretar graves consequências, como multas e sanções administrativas ou condenações em processos judiciais. 

Somado a isso, um resultado ainda mais indesejado é a perda de competitividade e de oportunidades no mercado, visto que já existe uma forte mobilização no sentido de exigir que os parceiros de negócios estejam adequados à lei, considerando que a empresa não está totalmente isenta de responsabilidade caso seu fornecedor ou contratado venha a causar danos aos Titulares de Dados.

Os Projetos de Adequação à LGPD tratam, portanto, sobre a identificação das operações realizadas pela empresa que envolvam o tratamento de Dados Pessoais. Em um primeiro momento pode parecer simples, mas considerando que o conceito de “tratamento” trazido pela própria lei, no inciso X do art. 5º, é extremamente amplo, esse processo de identificação é longo e requer muita cautela.

Contudo, tais projetos vão muito além disso, englobando as fases de treinamento e capacitação, estruturação da Governança em Proteção de Dados, elaboração de diagnóstico e análise de risco das operações de tratamento de Dados Pessoais identificadas, criação de políticas e documentos que proporcionem segurança à empresa no tratamento desses dados e implementação de uma estrutura capaz de atender às solicitações de exercício dos Direitos dos Titulares de Dados.

Essas são as etapas mais comuns em Projetos de Adequação à LGPD, podendo (e devendo) haver variação a depender do segmento e porte da empresa, sem contar com a essencial fase de manutenção e monitoramento, que deverá ser contínua e permanente. 

Dito isso, é inegável que os Projetos de Adequação à LGPD, embora sejam mais recentes no mercado jurídico, acolheram fluxo semelhante àquele adotado pelos Programas de Compliance, razão pela qual essas áreas têm muita proximidade e não é raro que haja uma interpretação equivocada acerca dos respectivos escopos de atuação, os quais espera-se que sejam melhor esclarecidos neste artigo.

1. PONTOS DE CONTATO

Conforme foi elucidado ao longo das considerações iniciais aqui expostas, os Projetos de Adequação à LGPD e os Programas de Compliance se comunicam em diversos pontos e, em razão disso, compartilham algumas características.

Em uma análise mais cautelosa das fases de um e pilares do outro, é fácil apreender que muitos deles são semelhantes, se não iguais. Desta forma, ambos costumam reunir os estágios de treinamentos e sensibilização da alta administração, desenvolvimento de robusta documentação relacionada ao tema, análise e gerenciamento de riscos e implementação de fluxos para fins de monitoramento e acompanhamento ininterrupto dos trabalhos.

Além disso, é inegável que ambos devem criar raízes em uma estrutura de Governança Corporativa bem consolidada, caso contrário, o projeto está fadado ao fracasso. Pode-se dizer com segurança que apenas as organizações que estão comprometidas com os princípios da Governança Corporativa – transparência, equidade, responsabilidade corporativa e prestação de contas – são capazes de, efetivamente, implementar, conduzir e monitorar Programas de Compliance e Projetos de Adequação à LGPD.

Isso porque projetos desta ordem são insustentáveis em ambientes nos quais tais diretrizes ainda não foram reconhecidas como prioridade dentro da organização e perante seus colaboradores e stakeholders. Assim, é possível que a implementação de medidas de Compliance e de adequação à LGPD ainda não tenha apresentado resultados dentro de dada empresa, não porque os projetos estão sendo mal executados, mas em razão de uma disfunção na essência da empresa – e muitos gestores falham em não identificar esse importante fator.

Somado a isso, Programas de Compliance e Projetos de Adequação à LGPD são espontaneamente interdisciplinares, em virtude de ser fundamental a participação de todos os setores da empresa a fim de atingir resultados satisfatórios, de modo que esses projetos envolvem muitas discussões técnicas e estão relacionados diretamente às estratégias de negócio adotadas pela empresa. 

Por fim, uma última observação que não poderia faltar para destacar os pontos de contato entre as áreas analisadas neste artigo, é o caráter universal, gradual e consciencioso de ambas. Universal porque deve envolver absolutamente todos os colaboradores da empresa, desde os funcionários operacionais até a alta direção; gradual porque são projetos que merecem atenção, planejamento e resiliência, contemplando diversas etapas; e consciencioso porque deve haver ampla divulgação e sensibilização de todos os envolvidos, sob pena de ser frustrado.

É evidente que os projetos variam conforme a realidade de cada empresa, podendo, inclusive, sofrer mudanças relevantes já no seu curso, em havendo a identificação de novas circunstâncias cruciais que exijam adaptações no projeto. Apesar disso, a estrutura de Programas de Compliance e Projetos de Adaptação à LGPD costuma compartilhar das características descritas acima.

1. DIFERENÇAS ESSENCIAIS

Muito embora se assemelhem na estrutura e em seus fluxos procedimentais, os Programas de Compliance e Projetos de Adequação à LGPD divergem em pontos fundamentais, os quais devem ser observados com atenção a fim de evitar prejuízos ao andamento e resultado dos projetos.

Em primeiro lugar, é preciso afirmar aquilo que parece ser óbvio. Projetos de LGPD se referem à Lei Geral de Proteção de Dados, enquanto Programas de Compliance tratam de medidas adotadas pela empresa para estar em conformidade com a lei. A consequência imediata é que o Programa de Compliance é muito mais amplo que o Projeto de LGPD – e isso não diminui a importância de nenhum dos dois.

Os Programas de Compliance visam analisar toda atividade da empresa, realizada a fim de perseguir seus objetivos finais, e avaliar se está sendo executada de acordo com a legislação vigente. É também sobre identificar os riscos que surgem com essas atividades e adotar medidas preventivas de mitigação.

Embora seja muito maior que isso, um ponto focal clássico do Compliance é a adoção de práticas anticorrupção e de prevenção à lavagem de dinheiro, as quais ganharam especial relevância após os escândalos de corrupção veiculados amplamente na mídia.

Por outro lado, o Projeto de Adequação à LGPD tem como foco as disposições previstas na Lei nº 13.709/2018, que regula e impõe normas para que o tratamento de Dados Pessoais seja realizado de forma regular, em respeito à privacidade dos Titulares de Dados. Portanto, nesse projeto é feita uma análise detalhada sobre operações muito específicas: aquelas que envolvem o tratamento de Dados Pessoais, e apenas estas, nada mais.

Isso deve ficar claro porquanto o Programa de Compliance não pode simplesmente tratar a adequação à LGPD da mesma forma como trata os demais pontos centrais do Programa. Para a implementação de Projetos de LGPD é necessário uma equipe de profissionais especializados no tema de Privacidade e Proteção de Dados e, de forma geral, com profundo conhecimento da LGPD e outras legislações que concernem ao assunto, que extrapolam as fronteiras nacionais.

A título de exemplo, para cada operação de tratamento de Dados Pessoais identificada pelos diversos setores da empresa deve ser atribuída a base legal correspondente, conforme previsto na LGPD, a fim de que o tratamento seja realizado de forma legítima, regular e adequada. Não existe nada semelhante a essa prática nos Programas de Compliance e a condução equivocada desta etapa pode levar todo o projeto ao fracasso.

Isso ocorre em virtude de que a atribuição de uma base legal inadequada perante a LGPD e perante a exata descrição da finalidade da operação poderá torná-la irregular, ficando a empresa sujeita às penalidades previstas na própria lei. Destaca-se que cada hipótese de tratamento é singular e possui requisitos próprios, entre eles, a elaboração de termos e adoção de fluxos específicos que garantam a legalidade da operação.

Para além disso, os Projetos de LGPD tem especial relação com a área de Tecnologia e Segurança da Informação, exigindo que os profissionais que atuem no ramo detenham um mínimo de conhecimento técnico sobre ferramentas disponíveis no mercado que possam ser adotadas pela empresa a fim de evitar o vazamento de dados e a ocorrência de incidentes – que correspondem possivelmente a um dos riscos mais graves em se tratando de proteção de Dados Pessoais.

1. CONSIDERAÇÕES FINAIS

Nesta modesta tentativa de diferenciar duas áreas que possuem muito em comum, apontando a igual importância de ambas, resta concluir que os Programas de Compliance e os Projetos de Adequação à Lei Geral de Proteção de Dados são complementares entre si, de maneira que um não está apto a substituir o outro, nem subsistir sem o outro.

Considerando o escopo de cada projeto, os Projetos de LGPD não deixam de ser uma prática de Compliance em Proteção de Dados. Contudo, não necessariamente os Programas de Compliance, se referidos de forma genérica, irão englobar a essencial disposição sobre Privacidade e Proteção de Dados.

Portanto, para atingir um nível satisfatório de eficiência e inteligência empresarial, é necessário que os projetos se desenvolvam em paralelo, garantindo estrutura e equipe profissional adequada à realidade da empresa, pois não serão suficientes se caminharem sozinhos dentro de uma organização.

Marcela Macedo Féder