Política de proteção de dados é vista como prática de ESG
Quem pensa em boas práticas de ESG hoje deve levar a política de proteção de dados, instituída pela Lei nº 13.709/2018, muito a sério no País. A declaração é da advogada Ellen Carolina da Silva, especialista em proteção de dados e sócia do Luchesi Advogados. ESG é a sigla em inglês para ‘Environmental, Social and Governance’). Em português: ambiental, social e governança.
A especialista explica que, passado pouco mais de um ano da implantação da Lei, as empresas brasileiras já se atentaram que ter uma boa política de proteção de dados virou um diferencial competitivo para negociação com investidores.
Nesse sentido, segundo estudo recente realizado pela ‘Global Reporting and Institutional Investor Survey’, empresa de consultoria, 99% dos investidores acompanham as práticas ESG das empresas e as utilizam como parte de suas decisões de investimento. A consultoria ouviu mais 1.040 líderes financeiros seniores nas empresas e 320 investidores.
“Não basta criar procedimentos superficiais que dão a impressão de atender a legislação, mas que não tem profundidade e não implementam as questões de infraestrutura e dispositivos de segurança da informação necessários ao modelo de governança para a privacidade e proteção de dados. É preciso ter cuidado já que a privacidade e proteção de dados são direitos do cidadão e uma prática empresarial que veio para ficar”, alerta a especialista.
Ellen ainda explica que parece um lugar comum afirmar que investir na conformidade com a LGPD é um bom negócio e dá retorno, mas essa é realidade. “O valor das empresas pode ser impactado diretamente pelo cumprimento das normas relativas à proteção de dados e, por essa razão, projetos de adequação a LGPD que endereçam esses pontos é assunto que deve entrar na pauta das empresas e ser tratado com prioridade”, explica.
A advogada ainda alerta que quaisquer práticas que prejudiquem o meio ambiente, violam direitos sociais e empresas que não possuam o mínimo de governança ficam fora do debate e terão gradativamente seu valor de mercado diminuído já que a análise desses critérios está sendo cada vez mais utilizado por investidores que optam por alocar seu capital apenas em corporações que possuem os três elementos (ESG) considerados e aplicados em suas atividades.
“Esse assunto tem ganhado espaço no mundo todo e no Brasil ganhou mais destaque após o lançamento, em setembro de 2020, do primeiro índice ESG pela B3, denominado S&P/B3 Brasil ESG que traz uma lista de recomendações de empresas focadas nas boas práticas ambientais, sociais e de governança corporativa. Essas recomendações possuem caráter não financeiro e incluem no aspecto da governança corporativa a adequação às normas previstas na Lei Geral de Proteção de Dados – especialmente no tocante a adoção de programas de governança de proteção de dados pessoais. Dessa forma, a análise do índice reputacional das empresas estará necessariamente ligado também à análise de riscos em relação ao nível de governança de dados pessoais que a corporação possui”, exemplifica a advogada.
O especialista João Azevedo e Azeredo, sócio e Head de Tecnologia e Inovação do escritório Moraes Pitombo Advogados, também reforça que o cumprimento da LGPD é essencial dentro do pilar de governança empresarial e, sem dúvida, a adequação das empresas é uma pedra fundamental para boas práticas de ESG. “As empresas que já tinham essa consciência fizeram a adequação da lei mesmo antes de a norma entrar efetivamente em vigor e, como consequência, já estão com seus planos de conformidade consolidados. Por outro lado, temos algumas companhias que ainda estão se adequando para evitar sanções e nesse meio do caminho já estão percebendo a importância de ser ESG, inclusive, por meio da segurança da Informação e de como é essencial para gestão”, explica.
Nova fase da lei
Na segunda-feira, 27/2, a ANPD (Autoridade Nacional de Proteção de Dados) publicou a aguardada resolução sobre a aplicação efetiva das sanções administrativas. Na prática, a Resolução 4 estabelece quais os critérios para que a ANPD aplique as multas e sanções (advertências, suspensão da atividade de tratamento de dados ou a obrigação de tornar pública a sanção, etc.) que estão previstas na LGPD. Dentre esses critérios destaca-se a gravidade e a extensão da infração, o porte e a capacidade econômica da empresa responsável, a natureza e a finalidade do tratamento. Importante mencionar que a Lei tem efeito retroativo e se aplica a todos os processos administrativos já iniciados pela ANPD.
A resolução também traz o conceito de reincidência e, caso a empresa tenha sido condenada anteriormente por outra violação da lei, esse fato será considerado pela ANPD como uma agravante ou atenuante e pode aumentar ou diminuir a pena ou a sanção aplicada.
Um ponto positivo com relação a aplicação das sanções é que as demais agências reguladoras setoriais serão ouvidas pela ANPD de modo que se evite entendimento diferente sobre o mesmo ponto.
Relatório de impacto a proteção de Dados
Nesse ponto, a nova resolução prevê que elaboração de relatório de impacto a proteção de dados deve ter espaço necessariamente sempre que houver algum risco à segurança e à privacidade dos dados pessoais numa operação de tratamento. A resolução traz ainda o conceito desse relatório e em quais situações ele é obrigatório define também quais as informações que devem constar no documento e determina a sua atualização periódica sempre que houver uma mudança relevante no tratamento de dados pessoais.
O relatório de impacto deve levar em consideração também a natureza dos dados que estão sendo tratados, ou seja, deve-se avaliar se há dados sensíveis sendo tratados, por exemplo, e isso também deverá ser levado em consideração pela ANPD em caso de uma eventual violação da lei geral de proteção de dados.
Por fim, a especialista Ellen Carolina destaca que essas são apenas algumas das principais novidades trazidas pela Resolução e alerta: “é importante que todos fiquem atentos aos próximos passos e em como isso será de fato materializado pela ANPD”.