Thaís Magrini Schiavon [1]
Izabella Romero Pacheco [2]
Além das questões sociais e técnicas que devem ser levadas em consideração pelo gestor quando da migração de sua estrutura para o meio digital, é imprescindível que, ainda que se opte por contratar um provedor terceirizado, a empresa preserve a sua própria estrutura de segurança da informação interna e mantenha as rotinas de prevenção a ataques cibernéticos – ou as crie, caso ainda não as tenha.
Isso é recomendado por conta da recente entrada em vigor da Lei Geral de Proteção de Dados (LGPD) [3], cujo principal objetivo é regulamentar o tratamento de dados pessoais de todos os indivíduos, sejam pessoas físicas ou jurídicas.
Apesar de a Lei ter estabelecido algumas regras relacionadas a distribuição da responsabilidade civil em caso de vazamento ou exposição desses dados pessoais, ela não deixou claro os limites da responsabilidade pelos provedores terceirizados caso os dados expostos estejam sob sua guarda.
Essa dubiedade advém do fato de que nenhuma lei pode ser interpretada isoladamente, mas ela deve ser interpretada segundo o conjunto de leis já existentes.
Considerando isso, apesar de a aplicação da LGPD constar do artigo 5º, VI e X [4] abranger as atividades específicas do provedor terceirizado, o artigo 18 do Marco Civil da Internet [5] desobriga-os de responsabilidade em caso de dano causado por terceiro – e esse terceiro pode ser justamente o hacker que ocasionou o vazamento de dados de clientes da sua empresa – e apenas os responsabiliza se houver o descumprimento de ordem judicial [6].
Como a LGPD ainda é uma lei muito recente, não temos como identificar como se dará essa interpretação do Judiciário frente as situações cotidianas que podem ocorrer, não é possível afirmar ao certo qual será o entendimento adotado e como será interpretada a responsabilidade das empresas que contratam esses provedores sobre os possíveis e eventuais danos causados por falhas de segurança que acarretem, neste caso, a violação da proteção dos dados.
Neste sentido, antes que essa questão venha a ser posta à prova, é imprescindível, principalmente para as empresas que estão adotando o teletrabalho, que seja estruturada uma governança interna [7] que possibilite, de antemão, prevenir estes possíveis ataques cibernéticos e falhas de segurança, resguardando desde logo os dados pessoais dos colaboradores e parceiros negociais, através da elevação do padrão comportamental ético.
O sucesso do planejamento, ou seja, do plano de Compliance e Governança está totalmente ligado ao mapeamento dos riscos – risk assessment – que envolvem o negócio, e neste caso em específico, à tecnologia empregada para desempenho das atividades empresariais pelos colaboradores em regime de teletrabalho.
Não por acaso, a LGPD previu no artigo 50 e seguintes a necessidade de ser implantado um programa de governança em privacidade nas empresas [8], que demonstre que ela está preocupada com a adoção de processos e de políticas internas que efetivem o cumprimento das regras ali dispostas, sob pena de ser-lhe aplicada multa que pode chegar até 2% do faturamento da empresa [9].
Neste contexto, o papel de dois profissionais é de extrema importância para que este programa seja estabelecido de forma completa dentro da estrutura organizacional das empresas: o do Data Protection Officer (DPO) e do Chief Information Security Officer (CISO).
Apesar de ambos exercerem funções similares e complementares dentro da empresa, eles se diferenciam pelas suas atividades.
De um lado, o DPO é munido de técnica legal direcionada à resolução de questões relacionadas exclusivamente à proteção dos dados, se reportando com exclusividade ao mais alto cargo gerencial da empresa e com poderes investigativos independentes.
De outro, o CISO é o chefe da equipe de tecnologia da informação da empresa, e que será o responsável por garantir que tecnicamente a empresa esteja munida contra ataques cibernéticos e vazamento de dados.
Cumpre ponderar que nem todas as empresas têm condições financeiras para contratar, com exclusividade e vínculo empregatício, duas pessoas distintas para exercer tais papeis isoladamente; contudo, até o presente momento, já que a Agência Nacional de Proteção de Dados ainda não estabeleceu nenhuma regra específica, não nada que impeça que seja firmado um contrato individual com um DPO externo à empresa para desempenhar essa função.
De toda sorte, para que se possibilite uma resposta imediata e eficaz às situações que possam vir a ser enfrentadas pela empresa no tocante à falhas na segurança da informação e na proteção de dados, será imprescindível o investimento em uma governança que estabeleça não só uma política de segurança e o mapeamento das vulnerabilidades, como também conscientize os empregados sobre a importância de cumprir com as diretrizes, de modo que a implementação do teletrabalho não apresente mais riscos do que vantagens à empresa.
* Este texto é uma adaptação do artigo publicado no livro “O Direito dos Negócios na Era Pós Covid-19”, organizado por David França Carvalho e Dan Markus Kraft, lançado pela Editora D’Plácido em 2020, que pode ser adquirido aqui [inserir hiperlink: https://www.editoradplacido.com.br/direito-dos-negocios-na-era-pos-covid-19].
[1]Advogada do Bega, Sbrissia & Alarcão Advogados – Curitiba/PR. Especialista em Direito Internacional pelo CEDIN, com formação em Negociação Internacional pelo Centro Avançado de Negociação Internacional do Instituto das Relações Internacionais da Universidade de São Paulo (CAENI/IRI-USP), e em Arbitragem Comercial e de Investimentos pela Universidad Complutense de Madrid (Espanha). Secretária-Geral da Comissão da Mulher Advogada da Seccional da OAB do Paraná; membro das Comissões de Direito Internacional e de Gestão e Inovação da Seccional da OAB do Paraná; membro da Coordenação Nacional das Relações Brasil-China do Conselho Federal da OAB. E-mail: thais@bsaadvogados.com.br.
[2] Sócia e Coordenadora da Área Cível e Consumidor da Sociedade Bega, Sbrissia & Alarcão Advogados – Curitiba/PR. Especialista em Processo Civil pelo Instituto de Direito Romeu Felipe Bacelar, Aperfeiçoamento em Direito Lato Sensu pela Escola da Magistratura do Estado do Paraná, Especialista em Direito de Família pela UNICURITIBA, Bacharel em Direito pela UNICURITIBA. E-mail: izabella@bsaadvogados.com.br.
[3] BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). DOU 15.08.2018. Disponível em: <http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709compilado.htm>. Acesso em 12 jun. 2020.
[4] “Art. 5º Para os fins desta Lei, considera-se:
VI – controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
X – tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;” BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). DOU 15.08.2018. Disponível em: <http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709compilado.htm>. Acesso em 12 jun. 2020.
[5] “Art. 18. O provedor de conexão à internet não será responsabilizado civilmente por danos decorrentes de conteúdo gerado por terceiros”. BRASIL. Lei nº 12.965, de 23 de abril de 2014. Estabelece princípios, garantias, direitos e deveres para o uso da Internet no Brasil. DOU 24.04.2014. Disponível em: <http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2014/lei/l12965.htm>. Acesso em 12 jun. 2020.
[6] “Art. 19. Com o intuito de assegurar a liberdade de expressão e impedir a censura, o provedor de aplicações de internet somente poderá ser responsabilizado civilmente por danos decorrentes de conteúdo gerado por terceiros se, após ordem judicial específica, não tomar as providências para, no âmbito e nos limites técnicos do seu serviço e dentro do prazo assinalado, tornar indisponível o conteúdo apontado como infringente, ressalvadas as disposições legais em contrário”. BRASIL. Lei nº 12.965, de 23 de abril de 2014. Estabelece princípios, garantias, direitos e deveres para o uso da Internet no Brasil. DOU 24.04.2014. Disponível em: <http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2014/lei/l12965.htm>. Acesso em 12 jun. 2020.
[7] Neste sentido, a Comissão Europeia endereçou categoricamente: “Se a UE pretende assumir um papel de liderança na economia dos dados, tem de agir agora e abordar, de forma concertada, questões que vão da conectividade ao tratamento e armazenamento de dados, passando pela capacidade computacional e pela cibersegurança. Além disso, terá de melhorar as suas estruturas de governação para manuseamento de dados e de aumentar os repositórios de dados de qualidade disponíveis para utilização e reutilização”. UNIÃO EUROPEIA. COMISSÃO EUROPEIA. COMUNICAÇÃO DA COMISSÃO AO PARLAMENTO EUROPEU, AO CONSELHO, AO COMITÉ ECONÓMICO E SOCIAL EUROPEU E AO COMITÉ DAS REGIÕES: Uma estratégia europeia para os dados. COM(2020) 66 final. Bruxelas, 19 de fevereiro de 2020. Disponível em: <https://eur-lex.europa.eu/legal-content/PT/TXT/PDF/?uri=CELEX:52020DC0066&from=EN>. Acesso em 12 jun. 2020.
[8] Artigo 50 e seguintes da LGPD. Para mais, vide: BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). DOU 15.08.2018. Disponível em: <http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709compilado.htm>. Acesso em 12 jun. 2020.
[9] Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional:
I – advertência, com indicação de prazo para adoção de medidas corretivas;
II – multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
III – multa diária, observado o limite total a que se refere o inciso II;
IV – publicização da infração após devidamente apurada e confirmada a sua ocorrência;
V – bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
VI – eliminação dos dados pessoais a que se refere a infração;
VII, VIII, IX – VETADO
X – suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;
XI – suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;
XII – proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). DOU 15.08.2018. Disponível em: <http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709compilado.htm>. Acesso em 12 jun. 2020.
