Boas práticas na Proteção de Dados: Compulsoriedade ou Voluntariedade?

O advento da Lei Geral de Proteção de Dados (LGPD) – Lei n° 13.708, de 15 de agosto de 2018 – centralizou o tratamento de dados pessoais e exigiu a observância de princípios expressos arrolados no seu artigo 6°, como segurança, prevenção eresponsabilização e prestação de contas, visando a adoção de boas práticas.

O presente estudo objetiva abordar que a adoção de boas práticas para o tratamento de dados pessoais tem caráter vinculado aos princípios ditados na LGPD e
de execução obrigatória pelos agentes de tratamento (controlador e operador). Tem-se como problema a compulsoriedade e não facultatividade da implementação de programa de governança em privacidade.

Como hipótese, extrai-se a partir da leitura do § 2° do artigo 50 c/c o caput do artigo 46, ambos da LGPD, a exigibilidade compulsória da adoção de boas práticas a fim de conceber o tratamento de dados adequado, garantindo a privacidade do seu titular e atender aos princípios expressos na lei, em especial o da segurança e da prevenção.

O Guia de Boas Práticas Lei Geral de Proteção de Dados (LGPD) editado pelo governo federal visa fornecer orientações de boas práticas para as operações de tratamento de dados pessoais nos termos do artigo 50 da LGPD, e apear de ser direcionado à Administração Pública federal, serve de parâmetro para fins de orientação para quaisquer órgãos públicos dos demais entes federados, assim como para a iniciativa privada, e estabelece um rol exemplificativo de governança na aplicação da lei de proteção de dados pessoais.

Como exemplo de padrões frameworks é a utilização de normas ABNT NBR ISO/IEC 27001:2013 e ABNT NBR ISO/IEC 27002:2013, que tratam, respectivamente, de gestão de segurança da informação (incluindo avaliação e tratamento de riscos) e das diretrizes para melhores práticas para apoiar a implantação de um Sistema de gestão da Segurança da Informação (SGSI) (controles).

Outrossim, a ABNT NBR ISO/IEC 27005:2019, estabelece as diretrizes para um processo de gestão de riscos de segurança da informação assim como a ABNT NBR ISO/IEC 31000:2018 que trata de estabelecer as diretrizes para Gestão de Riscos para qualquer organização.

Esses são exemplos de frameworks por intermédio de normas técnicas, reconhecidas por Frydman como ONNI (Objetos Normativos Não Identificados), que são produzidos por organizações, públicas ou privadas, nacionais ou estrangeiras, são normas padrão. A adoção de uma norma técnica é facultativa, assim como o estabelecimento de resoluções ou atos normativos infralegais criados por órgãos públicos para atender a suas finalidades.

Todavia, apesar da discricionaridade na escolha de uma ou outra normativa, a adoção de medidas de segurança aptas a proteger os dados pessoais e mitigar os riscos no seu tratamento pela organização é de caráter obrigatório.

A LGPD estabelece em seu artigo 46 que aos agentes de tratamento têm o dever de adotar medidas de segurança, assim como o § 2° do seu artigo 50 o exige indiretamente ao facultar a implementação de programa de governança em privacidade sob pena de considerar irregular o tratamento de dados pessoais ao não observar a legislação ou deixar de fornecer segurança esperada pelo titular dos dados ao mesmo tempo que ensejará responsabilização do agente de tratamento, nos termos do artigo 44, e seu parágrafo único, da LGPD.

A observância dos princípios da segurança e prevenção (artigo 6°, incisos VII e VIII) demonstra-se obrigatória mesmo no silêncio da Autoridade Nacional de Proteção de Dados (ANPD) em razão dos dispositivos legais mencionados. Na medida em que ANPD dispor sobre padrões técnicos mínimos para que os agentes de tratamento adotem medidas de segurança a sua observância também será obrigatória, por expressa disposição do § 2° do artigo 46 da LGPD.

O agente de tratamento tem o dever de escolher quais boas práticas que melhor atenderão as necessidades da sua organização levando em consideração, em relação ao tratamento e aos dados, a natureza, a probabilidade e a gravidade dos riscos e dos benefícios decorrentes de tratamento de dados dos titulares que tem sob sua guarda em razão das atividades desenvolvias, independentemente da natureza, pública ou privada, de sua organização.

Pode-se concluir que da leitura do § 2° do artigo 50 c/c o caput do artigo 46, ambos da LGPD, a exigibilidade compulsória da adoção de boas práticas a fim de conceber o tratamento de dados adequado é indireta, garantindo a privacidade do seu titular e atender aos princípios expressos na lei, em especial o da segurança e da prevenção, uma vez que a coercitividade da lei e do controle externo a ser exercido pelas instituições de accountability exigirão o uso e aperfeiçoamento de boas práticas no âmbito das organizações.

REFERÊNCIAS

BRASIL. Lei n° 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em 09 maio 2021.

BRASIL. Lei Geral de Proteção de Dados (LGPD). Guia de Boas Práticas para Implementação na Administração Pública Federal. Disponível em:
https://www.gov.br/governodigital/pt-br/governanca-de-dados/GuiaLGPD.pdf. Acesso em 09 de maio de 2021.

ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS (ABNT). ABNT NBR ISO/IEC 31000:2018. Gestão de Riscos. Disponível em: http://www.abnt.org.br/imprensa/releases/5753-lancada-a-nova-versao-da-norma-iso-31000-gestao-de-riscos Acesso em: 09 maio 2021.

ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS (ABNT). ABNT NBR ISO/IEC 27001:2013. Disponível em: https://www.abntcatalogo.com.br/norma.aspx?ID=306580. Acesso em: 09 maio 2021.

ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS (ABNT). ABNT NBR ISO/IEC 27002:2013. Disponível em: https://www.abntcatalogo.com.br/norma.aspx?ID=306582. Acesso em: 09 maio 2021.

ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS (ABNT). ABNT NBR ISO/IEC 27005:2019. Disponível em: https://www.abntcatalogo.com.br/norma.aspx?ID=429058. Acesso em: 09 maio 2021.

FRYDMAN, Benoit. O fim do estado de direito: governar para standards e indicadores. 2. ed. Porto Alegre: Livraria do Advogado, 2018.

0 respostas

Deixe uma resposta

Want to join the discussion?
Feel free to contribute!

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *