Em um mundo cada vez mais conectado e dependente das tecnologias, ganha força a preocupação global com a proteção de dados pessoais e, consequentemente, com o direito à privacidade dos indivíduos. Você vai saber porque deve incorporar o processo de Due Diligence de Integridade ao contexto da LGPD.

Com o objetivo de definir parâmetros e critérios objetivos para o tratamento de dados pessoais no Brasil, foi promulgada em 2018 a Lei nº 13.709, nomeada Lei Geral de Proteção de Dados (LGPD), que inseriu o país no cenário mundial de Gestão da Privacidade, ao lado de países da Zona do Euro, Estados Unidos, Reino Unido, Argentina e outros. 

Embora em uma análise inicial verifique-se que a referida legislação impõe uma série de exigências e obrigações aos agentes que lidam com dados pessoais no desenvolvimento de suas atividades, são inegáveis os avanços possibilitados pela LGPD, em especial quanto à sua capacidade de trazer maior competitividade e segurança legal para empresas e titulares de dados. 

De acordo com Cisco Data Privacy Benchmark Study 2020 , estudo realizado em mais de 13 países que possuem legislações acerca do tratamento de dados pessoais, foram observados benefícios como a otimização no desenvolvimento de novos processos e produtos, aumento da atratividade de investidores e maior confiabilidade de clientes. 

De tal maneira, para a potencialização dos benefícios decorrentes da lei, torna-se fundamental a adequação das atividades das empresas brasileiras à nova realidade. 

Ressalta-se que a LGPD não visa criar impedimentos e obstáculos aos negócios, mas apenas exige que haja uma racionalidade na definição dos dados tratados e que se adote mecanismos que possibilitem mitigar a possibilidade de ocorrência de incidentes de privacidade, bem como se possibilite o monitoramento destes e a rápida adoção de solução efetivas.

Desta forma, as diretrizes da LGPD devem ser incorporadas à rotina das empresas, inclusive em relação aos seus Programas de Compliance e Integridade, de modo que o cumprimento dos dispositivos da nova lei não comprometa o pleno atendimento às legislações anticorrupção. Nesse sentido, é necessária uma especial atenção quanto à realização de diligência de integridade de terceiros (Due Diligence), importante mecanismo de compliance, previsto no art. 42, XIII e XIV do Decreto n. 8.420/2015 , para a mitigação de riscos relacionados a ética e conduta nas relações da empresa com outras partes, sejam pessoas físicas ou jurídicas.

A Pesquisa de Diligência de Integridade de Terceiros, ao reunir informações para conhecer e entender a realidade atual e o histórico de determinada parte, promove a busca, tratamento e armazenamento de dados pessoais, o que torna necessária sua aderência às disposições da LGPD. A obtenção de dados de origens diversas e a possibilidade de seu compartilhamento entre empresas, além do caráter sigiloso inerente à diligência, torna ainda mais desafiadora a adequação à Lei Geral de Proteção de Dados.

Para se assegurar a proteção dos dados envolvidos na diligência, sem inviabilizar o desenvolvimento de suas atividades, as empresas devem se atentar ao princípio do Privacy by Design, que define a inclusão da cultura de privacidade no desenvolvimento de produtos e serviços desde a sua concepção. Com base nisso, é importante a definição prévia e estratégica dos parâmetros da atividade, incluindo-se:

• Os tipos de dados pessoais necessários à realização da Pesquisa de diligência;

• Mecanismos de segurança que devem ser adotados, proporcionais à atividade e área de atuação, para a resguardar os dados em posse da empresa; e 

• A relação entre as bases legais que fundamentam o tratamento de dados. 

Ressalta-se que, quanto à adequação da base legal, a LGPD exige que o tratamento de dados pessoais se enquadre em uma das hipóteses previstas de forma taxativa em seus arts. 7º e 11. Desta forma, é necessário esclarecer que o propósito das pesquisas de diligência de integridade se encontra abrangido no rol legal, vez que busca possibilitar o cumprimento de obrigação legal do controlador (art. 7º, II), bem como prevenir a ocorrência de fraudes (art. 11, II, g), sendo legítimo o tratamento de dados advindos de sua realização.

No entanto, faz-se necessário que os parâmetros utilizados na Pesquisa de Diligência sejam definidos de forma criteriosa. Isso porque, embora os dados pessoais sejam ativos essenciais para o desenvolvimento das atividades da empresa, seu tratamento também apresenta riscos ligados à violação da privacidade do titular, acesso e compartilhamento indevido ou comprometimento de sua integridade. 

O tratamento de dados pessoais implica também em responsabilidade. Assim, na hipótese de materialização de algum incidente, a empresa pode sofrer prejuízos reputacionais e financeiros, nos termos das sanções administrativas previstas no art. 52 da LGPD, que incluem a aplicação de advertência, multa, publicização da infração e até mesmo a suspensão parcial das atividades da empresa. 

Para reduzir a exposição a riscos desnecessários, é preciso se atentar as medidas técnicas e organizacionais adotadas para a proteção dos dados e seus titulares, tais como restrição de acesso, uso de anonimização e adoção de Appliances de segurança. Deve-se também seguir “Princípio da Minimização”, que impõe que os dados a tratar sejam adequados, pertinentes e limitados às finalidades que determinam o tratamento. Além disso, a existência de um programa efetivo de gestão da privacidade de dados, além de contribuir para a mitigação de danos, é um critério utilizado pela LGPD para redução das sanções aplicáveis em caso de descumprimento da lei.

A LGPD instituiu novos conceitos, princípios, direitos e obrigações que, em conjunto, traduzem uma nova cultura na gestão da privacidade pelas empresas, que devem se atentar à responsabilidade legalmente atribuída aos agentes envolvidos no tratamento de dados pessoais. 

Embora a lei não pretenda inviabilizar o desenvolvimento de atividades empresariais que envolvam dados pessoais, passa-se a exigir uma maior atenção dos controladores e operadores aos direitos dos titulares, bem como à adoção de medidas de segurança que reduzam a exposição da empresa aos riscos inerentes ao tratamento desses dados. 

A gestão e proteção de dados envolvidos nos trabalhos de Due Diligence merecem uma atenção especial, por se tratar de um importante mecanismo de compliance do qual as empresas não podem abrir mão, embora dele decorra o tratamento ostensivo de dados pessoais de terceiros. 

Dessa maneira, é essencial o entendimento de que a adequação à Lei Geral de Proteção de Dados deve ser feita de maneira objetiva e racional, sem comprometer a qualidade e precisão da Pesquisa de Diligência de Integridade de Terceiros ou quaisquer outros processos de tratamento de dados pessoais.

Fonte: Hect