Professional Documents
Culture Documents
GOVERNANÇA
E COMPLIANCE
Publicação Oficial do Conselho Empresarial de Governança
e Compliance da Associação Comercial do Rio de Janeiro
0100001001010010101000010101111010010000101011110
0101010101010101010101010010101010101010101010010010
0100100101010101000110101010100100100100101010101
0101010101010101001010101010100100100101010101010111
0100001001010010101101010101001001000001010111101
0101010101010101010101010101010101001001001010101010
0100100101010101000101101010101001001000101010101
010101010101010100100110101010100100100101010101011
010000100101001010100001010111010100001001010010
0101010101010101010101010010101010101010101010010010
0100100101010101000110101010100100100100101010101
0101010101010101001010101010100100100101010101010111
0100001001010010101101010101001001000001010111101
0101010101010101010101010101010101001001001010101010
0100100101010101000101101010101001001000101010101
010101010101010100100110101010100100100101010101011
0101010101010101010101010101010010010101001010101010
0100001001010010101000010101111010010000101011110
0101010101010101010101010010101010101010101010010010
0100100101010101000110101010100100100100101010101
0101010101010101001010101010100100100101010101010111
0100001001010010101101010101001001000001010111101
0101010101010101010101010101010101001001001010101010
0100100101010101000101101010101001001000101010101
010101010101010100100110101010100100100101010101011
010000100101001010100001010111010100001001010010
0101010101010101010101010010101010101010101010010010
0100100101010101000110101010100100100100101010101
0101010101010101001010101010100100100101010101010111
0100001001010010101101010101001001000001010111101
0101010101010101010101010101010101001001001010101010
0100100101010101000101101010101001001000101010101
010101010101010100100110101010100100100101010101011
0101010101010101010101010101010010010101001010101010
0100001001010010101000010101111010010000101011110
0101010101010101010101010010101010101010101010010010
0100100101010101000110101010100100100100101010101
0101010101010101001010101010100100100101010101010111
LEI GERAL DE
PROTEÇÃO DE
DADOS - LGPD
A
REVISTA GOVERNANÇA E COMPLIANCE é a publicação
oficial do Conselho Empresarial de Governança e Com-
pliance da Associação Comercial do Rio de Janeiro. Conta
com a colaboração de especialistas em diversos temas para
o debate e fomento da cultura da integridade, com o objetivo de pro-
duzir propostas para a melhoria do ambiente de negócios brasileiro.
Rio de Janeiro
Edição 8 – Ano 4 – abril de 2021
Associação Comercial do Rio de Janeiro
REVISTA GOVERNANÇA E COMPLIANCE
Publicação Oficial do Conselho Empresarial de Governança e Compliance
da Associação Comercial do Rio de Janeiro
EXPEDIENTE
Angela Costa Humberto Mota Filho Humberto Eustáquio Cesar Mota
Presidente da ACRJ Presidente do Conselho Empresarial de Presidente do Conselho Superior
Governança e Compliance
MEMBROS DO CONSELHO
Alberto Blois Luís Fernando Marin Ricardo Lagares Henriques
Sociedade Núcleo de Apoio a Produção e
Exportação de Software do Rio de Janeiro Luiz Carlos Rio Tinto de Matos Roberto Duque Estrada
Calçada Empreendimentos Imobiliários S/A Brigagão Duque Estrada Advogados
Camila Rodrigues de Almeida
Universidade Federal do Estado do RJ - UNIRIO Marcello Augusto Lima de Oliveira Sheila Mayra Lustoza de Souza Lovatti
Ordem dos Advogados do Brasil / RJ-OAB
Claudia Lacerda Tatiane Dutra Rosa Peres
Dufry do Brasil Duty Free Shop Ltda Marcelo Martins Abelha Agência de Fomento do Estado do Rio de
Rio Convention & Visitors Bureau Janeiro - AgeRio
Cláudio Carneiro Bezerra Pinto Coelho
Instituto dos Advogados Brasileiros - IAB Marcos Andre dos Santos Caiado Tatiana Quintela de Azeredo Bastos
Franquipar Franqueadora e Licenciadora de Instituto de Direito Coletivo - IDC
Cristiana Aguiar Marcas Ltda.
A. Salles & Cia. Ltda. Thiago Bottino
Marianno de Azeredo Santos Fundação Getulio Vargas - FGV
Dalton Sardenberg Marie Bendelac Ururahy Tiago Martins da Fonseca
Fundação Dom Cabral Be Coaching Brasil BRA Certificadora Ltda-Me
Daniel Soares Milton Ferreira Tito Ulisses Martins
Marcos Valverde Sociedade de Advogados Total E&P do Brasil Ltda.
Nicola Moreira Miccione
Ellen Carolina Sucasas Souza Vital Secretaria de Estado da Casa Civil e Vera Elias
Secretaria Municipal de Saúde - SMS Governança Instituto Brasileiro de Governança Corporativa
Fernanda Freitas Patricia Charpentier Vitor Ferreira Alves de Brito
Ulhôa Canto, Rezende e Guerra Advogados Brasif S/A - Administração e Participações Sérgio Bermudes Advogados
Gisela Pimenta Gadelha Dantas Paulo Machado
Federação das Indústrias do Estado do RJ - Instituto - Compliance Rio - IC Rio
Firjan
Paulo Marcelo de Miranda Serrano
Helia Lucia Patricia de Azevedo Almeida Serrano Advocacia
Domingos Vargas Consultoria Empresarial
Priscilla de Paula Ricci
João Laudo de Camargo Pontifícia Universidade Católica do Rio de
Instituto Brasileiro de Governança Corporativa Janeiro - PUC RJ
Joice Bandeira Rydval Renata Barbieri Coutinho
Bradesco Seguros S/A IAG - Escola de Negócios PUC-Rio
Luis Felipe Mariano de Barros Renato Cirne
Sou do Esporte FSBPAR Ltda
COORDENAÇÃO EDITORIAL
Vice-Presidente de Comunicação e Conselhos Empresariais
Marketing da ACRJ Cecília Pires
Janice Caetano
Revisão
Produção – Assessoria de Comunicação Taáte Tomaz
da ACRJ
Cláudia Moreira Produção gráfica
Cristina do Carmo Adolfo Castro
Tutti Animati Produções
5 Editorial
Responsabilidade Civil
29 WALTER ARANHA CAPANEMA
Palavra da
Presidente
Caros Amigos,
Boa leitura!
ANGELA COSTA
Presidente da Associação Comercial do Rio de Janeiro
CAROS LEITORES,
O
tráfego de dados no Rio de Janeiro (ACRJ) escolheu
mundo alcança núme- este assunto por considerar de
ros impressionantes. extrema importância para as ins-
Segundo o Internatio- tituições públicas e privadas, as-
nal Data Corporation (IDC, 2014), sim como para toda a sociedade.
os dados digitais criados, replica-
dos e consumidos no mundo no Antecipadamente, registro aqui
período de um ano dobrarão de meu agradecimento pessoal, e
tamanho a cada dois anos. Em em nome da ACRJ e do Conse-
2020, já estiveram no patamar de lho, aos especialistas que aceita-
44 zettabytes (ou 44 trilhões de ram o convite e contribuíram com
gigabytes). Precisamos encontrar seus artigos. São eles: Anderson
as melhores estratégias para fa- de Paiva Gabriel, Andréa Pedro-
zer avançar uma agenda de go- sa de Góes, Caio Ramalho, Saye-
vernança da informação, já que ra Gonzaga Voila Maganha e Wal-
não existe algo como uma receita ter Aranha Capanema.
única de sistema de governança
ou de sistema de compliance.
Mais uma vez, não poderia dei-
xar de agradecer à presidente
No artigo que assino, proponho Angela Costa, que nos apoia e
que a governança da informa- incentiva a cada edição propos-
ção seja aferida pelos elementos ta da Revista. Também contamos
da segurança com a sugestão sempre com o apoio do vice-pre-
de algumas medidas e práticas sidente de Relações Institucio-
que podem contribuir com o seu nais e Conselhos Empresariais,
avanço em nosso país, a partir de José Domingos Vargas, dos con-
dispositivos legais específicos. selheiros, autores e das equipes
de Comunicação e de Conselhos
Para debater a Lei Geral de Pro- Empresariais pela parceria sem-
teção de Dados Pessoais, a LGPD, pre fundamental para a produção
a Revista Governança e Com- desta publicação, que já se tor-
pliance chega em sua 8a edição nou tradicional no meio.
abordando os diversos aspectos
desta legislação. A tradicional pu- Agradeço ainda o apoio institu-
blicação do Conselho Empresa- cional do Sebrae Rio.
rial de Governança e Complian-
ce, da Associação Comercial do Boa leitura!
O
personalidade da pessoa natural. certo tempo.
ano de 2020 propor-
cionou muitas mudan-
ças na vida dos brasi- Aliás, as discussões envolvendo a Como se não bastasse, uma falha
leiros. Não só rotinas proteção de dados talvez tenham de segurança em um aplicativo
e dinâmicas especiais foram in- sido potencializadas justamente de contact tracing no Catar ex-
corporadas, mas também novas pelo cenário pandêmico, em que pôs dados sensíveis de mais de
palavras e expressões foram assi- mapas de calor passaram a ser di- um milhão de pessoas6, enquanto
miladas no vocabulário cotidiano, vulgados para a população, com nos Estados Unidos, na Dakota
a exemplo de pandemia e qua- menção até a um suposto índice do Norte, descobriu-se que um
rentena, além de alguns estran- de isolamento. Houve preocupa- aplicativo do gênero estava re-
geirismos como lockdown. ção com notícias apontando que passando dados para a Google
uma empresa privada teria che- e para o aplicativo Foursquare7,
gado a monitorar 30 milhões de o que revela que a preocupação
Ao longo do ano, contudo, outro
celulares2, sob o argumento de não é sem fundamento ou desar-
tema passou a ser comentado
que os usuários teriam instalado razoada.
com crescente frequência, a pro-
teção de dados e, com ele, sem- voluntariamente aplicativos par-
pre vinha a menção a uma sigla: ceiros da empresa e consentido Com efeito, o Times Privacy Pro-
LGPD. Esse, talvez, seja um dos com a coleta de dados3. Em ou- ject8 se debruçou sobre um ar-
1
Lei nº 13.709, de 14 de agosto de 2018.
2
Disponível em: https://www.uol.com.br/tilt/noticias/redacao/2020/05/18/lockdown-brasil-registra-alta-no-indice-de-isolamento-social-pela-1-vez.htm,
último acesso em 30/11/2020.
3
Disponível em: https://mapabrasileirodacovid.inloco.com.br/. Acesso em 30/11/2020.
4
Disponível em: https://g1.globo.com/pe/pernambuco/noticia/2020/03/24/recife-rastreia-700-mil-celulares-para-monitorar-isolamento-social-e-dire-
cionar-acoes-contra-coronavirus.ghtml. Acesso em 30/11/2020.
5
OHM, Paul. Broken promises of privacy: responding to the surprising failure of anonymization. UCLA Law Review 57 (2010). p. 1701/1777.
6
Disponível em: https://www.amnesty.org/en/latest/news/2020/05/qatar-covid19-contact-tracing-app-security-flaw/. Acesso em 30/11/2020.
7
Disponível em: https://www.newsbreak.com/news/coronavirus/0P7Uq7Na/north-dakotas-covid-19-app-has-been-sending-data-to-foursquare-and-
-google. Acesso em 30/11/2020.
8
Disponível em: https://www.nytimes.com/series/new-york-times-privacy-project. Acesso em 30/11/2020.
9
Disponível em: https://www.nytimes.com/interactive/2019/12/19/opinion/location-tracking-cell-phone.html. Acesso em 30/11/2020.
10
SCHNEIER, Bruce. Data and Goliath: The Hidden Battles to Collect Your Data and Control Your World. Nova Iorque: W. W. Norton & Company,
2016.
11
Disponível em: https://atos.cnj.jus.br/atos/detalhar/3432, último acesso em 30/11/2020.
12
Disponível em: https://aesbe.org.br/esg-a-nova-fase-da-governanca-corporativa/. Acesso em 30/11/2020.
13
Disponível em: https://www.nextlawacademy.com.br/blog/conformidade-a-lgpd-e-o-indice-esg-questoes-ambientais-sociais-e-de-governanca-vanta-
gem-competitiva-para-as-empresas-brasileiras, último acesso em 30/11/2020.
A
Internet e os computa- gurança jurídica às empresas e às permitindo esse tratamento. São
dores tornaram a nossa pessoas, que são os titulares dos as chamadas bases legais, que se
vida cada vez mais guia- dados. encontram no artigo 7º da LGPD.
da por dados. Para fa- Logo, sem a observância destas
zer uma transação bancária, por Mas, afinal, o que são dados pes- hipóteses legais, entre as quais
exemplo, é necessário coletar a soais? É a informação relacionada se encontra o consentimento do
impressão digital. Por outro lado, à pessoa natural identificada (da- titular, a necessidade para execu-
em diversas outras situações rea- dos que identificam diretamente ção de um contrato, cumprimento
lizadas no dia a dia, os dados pes- uma pessoa, por exemplo: nome de obrigação legal, não há que se
soais estão sendo coletados sem, e sobrenome, endereço de email falar que os dados estão sendo, le-
sequer, termos conhecimento de etc) ou identificável (uma informa- galmente, tratados.
sua destinação, tampouco para ção, um dado desestruturado, mas
qual finalidade esses dados são que pode vir a identificar uma de- Ressalta-se que se for tratar de
tratados. terminada pessoa, como o IP de dados pessoais sensíveis, as bases
uma máquina). Os dados pessoais legais a serem observadas são as
Os dados, portanto, são indispen- sensíveis são aqueles que devem do artigo 11 da LGPD, dentre as
sáveis para a nossa vida moderna, ser tratados com um cuidado ain- quais, o consentimento específico
mas o seu uso tem sido abusivo. da maior, porque dizem respeito à e destacado do titular ou de seu
origem racial ou étnica, convicção responsável legal, para finalidades
1
Artigo 5º, X – tratamento: toda operação realizada com dados pessoais como as que se referem a coleta, produção, recepção, classificação, utilização,
acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modi-
ficação, comunicação, transferência, difusão ou extração.
2
Art. 11. O tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses:
(...)
II - sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para: a) cumprimento de obrigação legal ou regulatória pelo
controlador;b) tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou re-
gulamentos; c) realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis;d) exercício
regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral, este último nos termos da Lei nº 9.307, de 23 de setembro de
1996 (Lei de Arbitragem) ;e) proteção da vida ou da incolumidade física do titular ou de terceiro; f) tutela da saúde, exclusivamente, em procedimento
realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; ou g) garantia da prevenção à fraude e à segurança do titular, nos
processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos mencionados no art. 9º desta Lei e exceto
no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.
A
ção de Dados Pessoais (LGPD)5
o se observar as cinco venture capital e, especialmen- no Brasil se relaciona com esse
marcas mais valiosas do te, ainda mais difícil encontrar e fenômeno dos unicórnios?
mundo em 2020, perce- investir em startups que se tor-
be-se que nenhuma de- nam negócios bilionários3. Apple, Primeiro, é necessário entender
las existia há 50 anos, sendo que Google, Microsoft, Amazon e que as startups de sucesso nas-
três delas são ainda mais recen- Facebook um dia já foram star- cem a partir de grandes neces-
tes, com menos de 30 anos. As tups e, por meio de rodadas de sidades (ou problemas) reais da
marcas Apple, Google, Microsoft, captação com investidores anjos sociedade, as quais empreen-
Amazon e Facebook somadas são e gestores de venture capital, ti- dedores visionários conseguem
estimadas em US$ 842 bilhões1, veram o suporte necessário para identificar como oportunidades
equivalente a, aproximadamente, crescerem e se tornarem, assim de criação de soluções inovado-
metade do PIB do Brasil. E, dada como centenas de startups nos ras para resolvê-las – como fize-
a velocidade das transformações dias atuais, unicórnios. ram, por exemplo, os fundadores
digitais que estamos vivendo, do Uber e do Airbnb. E não há
que têm se acelerado cada vez Embora Estados Unidos e China dúvidas que ao estabelecer as
mais nos últimos 5 anos em fun- sejam responsáveis pela origem diretrizes nacionais para coleta,
ção do rápido barateamento das da maioria dos unicórnios, este armazenamento, tratamento e
tecnologias, é muito provável que é definitivamente um fenômeno descarte de dados pessoais, a
as marcas que mais valerão daqui global4 que tem impactado e, LGPD trouxe um imenso desafio
a 20 anos ainda nem tenham sido principalmente, transformado – e às organizações, públicas e priva-
criadas. até mesmo criado – diversos se- das – assim como a General Data
tores da economia mundial. De Protection Regulation (GDPR)
De fato, houve uma explosão na fato, a cada instante, surgem de- na Europa. De fato, a LGPD é (ou
quantidade de startups ao re- zenas de milhares de startups ao pelo menos poderia ter sido) o
dor do mundo, a partir de 2014 redor do mundo que, por meio novo “bug do milênio”6 em fun-
a quantidade de unicórnios cres- da criação e/ou utilização de no- ção das sanções, inclusive pecu-
ceu exponencialmente2. O ter- vas tecnologias, estão sendo – ou niárias, pelo seu não cumprimen-
mo, atualmente já conhecido por serão em breve – responsáveis to pelas organizações. Ademais,
1
https://www.forbes.com/the-worlds-most-valuable-brands. Acesso em: 22/03/21.
2
https://www.cbinsights.com/research/unicorn-tracker. Acesso em: 22/03/21.
3
https://techcrunch.com/2013/11/02/welcome-to-the-unicorn-club. Acesso em: 22/03/21.
4
https://www.cbinsights.com/research-unicorn-companies. Acesso em: 22/03/21.
5
Lei nº 13.709/2018
6
https://www.nationalgeographic.org/encyclopedia/Y2K-bug. Acesso em: 22/03/21.
7
Data Protection Officer (ou Encarregado da Proteção de Dados)
8
http://www.cbinsights.com/research/startup-failure-reasons-top. Acesso em: 22/03/21.
9
Instrução CVM 588/2017
10
Investidores anjos são pessoas físicas que investem seu capital próprio, atuando por meio de grupos ou associações, enquanto venture capital são
gestores profissionais de recursos de terceiros para investimentos em startups que investem, normalmente, em startups que já mais desenvolvidas.
11
Historicamente, o capital inteligente (ou smart money) atribuído ao investimento anjo e ao venture capital tem sido responsável por alavancar o desen-
volvimento inicial e o crescimento exponencial de milhares de startups ao redor do mundo, tais como Apple, Google, Facebook, Amazon, Microsoft,
Uber e Airbnb, entre muitos outros.
E
GABRIEL NOGUEIRA m agosto de 2018 foi san- e são estratégicos para ações co-
PORTELLA NUNES cionada a Lei nº 13.709, merciais e políticas. O leitor que
popularmente conhecida tiver interesse em compreender
PINTO como Lei Geral de Pro- melhor a importância econômica
teção de Dados Pessoais ou sim- e política dos dados pessoais no
Assessor da Ouvidoria do plesmente LGPD. A nova legis- mundo contemporâneo, deve as-
Sebrae Rio lação brasileira foi inspirada em sistir aos filmes “Privacidade Ha-
outra lei igualmente conhecida ckeada” e “O Dilema das Redes”.
no Brasil por sua sigla, a GPDR
(General Data Protection Regu- A par de sua inquestionável re-
lation) - norma que regulamenta levância, a LGPD entrou em vi-
a proteção de dados pessoais, no gor em um momento no mínimo
âmbito da União Europeia. inoportuno, em 18 de setembro
de 2020, durante a maior crise
Não há dúvidas que a legislação sanitária dos últimos cem anos,
tem suma importância e faz par- com impactos econômicos ainda
te de um movimento necessário imensuráveis, mas certamente
de regulação das relações so- enormes, no qual a maioria das
ciais, humanas, jurídicas e polí- empresas luta pela sobrevivên-
ticas no ambiente virtual, muito cia, especialmente os Microem-
embora não se limite a ele. Isso preendedores Individuais, as
porque seu objetivo é regular o micro e pequenas empresas que
uso, coleta, armazenamento e possuem baixo capital de giro e
compartilhamento de dados das acesso ao crédito insuficiente
pessoas físicas, por empresas e para suportar uma instabilidade
instituições, públicas e privadas, tão longa.
bem como por pessoas humanas
quando no desenvolvimento de Mesmo desconsiderando o con-
atividades econômicas e políti- texto atual, a Lei brasileira pres-
cas. Faz sentido regular a obten- supõe uma maturidade de pro-
ção de dados físicos, pois uma cessos, fluxos e organização das
vez obtidos, seja pelo meio que empresas que não refletem a re-
for, sua potencial circulação é ins- alidade do pequeno empresário
tantânea a partir do mais simples brasileiro.
processo de digitalização.
Diante das alterações promovi-
Na atualidade, os dados pessoais das na LGPD pela Lei 13.853, de
possuem enorme valor agregado dezembro de 2019, que previu
S
e legais que precisam ser geri- quem reconheça uma distinção
egundo o International
dos e mitigados. É fundamental semântica importante (DONEDA,
Data Corporation (IDC,
investir em governança para criar 2014). Ao fazer-se essa distinção,
2014), os dados digitais
estratégias, políticas e procedi- o termo dado ganha uma conota-
criados, replicados e con-
mentos em torno da distribui- ção mais fragmentada, sugerindo
sumidos no mundo no período
ção da informação dentro e fora uma informação em estado po-
de um ano dobrarão de tamanho
das organizações. Em termos tencial, antes de ser transmitida
a cada dois anos e, em 2020, en-
gerais, é possível afirmar que a ou um estado de “pré-informa-
contravam-se no patamar de 44
governança da informação é o ção”, anterior à interpretação e
zettabytes (ou 44 trilhões de gi-
conjunto de normas, diretrizes a um processo de elaboração,
gabytes). Novos marcos legais e
e controles de responsabilidade enquanto o vocábulo informa-
a expansão do universo digital
desenvolvidos para assegurar o ção alude a algo além da repre-
obrigam as organizações a reava-
valor, a qualidade e o complian- sentação contida no dado, sendo
liar suas estratégias em relação à
ce das informações. Associada capaz, pode isso mesmo, de se
guarda e uso da informação. Go-
tanto à governança pública quan- revestir de sentido instrumental
vernos, empresas e indústrias es-
to à corporativa; a governança e fornecer conteúdo voltado à
tão se tornando mais digitais, de-
da informação está intimamen- redução de incertezas. De todo
pendentes das novas tecnologias
te relacionada aos princípios da modo, em busca de uma estraté-
de comunicação e conectividade,
transparência e da prestação de gia para o tratamento de dados
em um contexto caracterizado
contas (accountability), pois tan- com transparência e segurança
pelo crescimento acentuado no
to cidadãos, quanto executivos e jurídica, é preciso ter em mente
volume e na complexidade dos
governantes necessitam de infor- todo o ciclo de vida dos dados.
dados. Nessa sociedade do co-
mações confiáveis para a tomada Significa dizer que a organização
nhecimento, tanto as novas opor-
de decisões e para assegurar que deve ser capaz de assegurar o
tunidades quanto os novos desa-
1
Associação Brasileira de Normas Técnicas. NBR ISSO/IEC 27002: Tecnologia da Informação – Técnicas de Segurança. Código de prática para contro-
les de segurança da informação. Rio de Janeiro, 2013.
2
Art. 6º, incisos VII, VIII e X da Lei nº 13.709/2018.
3
Parte da inspiração para formular as regras de boas práticas e de governança pelos agentes de segurança pode vir da Norma Técnica ABNT NBR
ISSO/IEC 27002, da Associação Brasileira de Normas Técnicas, um verdadeiro código de boas práticas e melhores técnicas mundialmente reconheci-
das para controles de segurança da informação.
4
Resolução nº 4.658/2018, do Banco Central do Brasil.
REFERÊNCIAS
CAVOUKIAN, Ann. Information and Privacy www2.deloitte.com/content/dam/Deloit- 147-168. http://dx.doi.org/10.1080/10999922
Comissioner of Ontario. Publicado em agos- te/global/Documents/Governance-Risk- .2005.11051272. Acesso em: 22/03/21
to de 2009. Revisado em janeiro de 2011. -Compliance/gx_grc_Reputation@Risk%20
Disponível em: www.ipc.on.ca/wp-content/ survey%20report_FINAL.pdf. Acesso em: MOTA FILHO, Humberto E. C. Como man-
uploads/resources/7foundationalprinciples. 22/03/21. ter um ambiente ético nas empresas? In: Re-
pdf. vista Compliance Rio. n. 1, ano 1 (out, 2018).
IBGC. Instituto Brasileiro de Governança Rio de Janeiro, 2018. pgs. 30-37.
CONFEDERAÇÃO NACIONAL DA INDÚS- Corporativa. IBGC, Código das Melhores
TRIA (CNI). Retratos da Sociedade Brasilei- Práticas de Governança Corporativa, 2015. MOTA FILHO, Humberto E. C.; ALFRADI-
ra: Confiança Interpessoal, março de 2014. QUE, Cláudio Nascimento. A Governança e
IBGC. Instituto Brasileiro de Governança o controle da função pública: a transparên-
DONEDA, Danilo. O Direito Fundamental Corporativa. Compliance à luz da governan- cia pública nos trinta anos da Constituição
à Proteção de Dados Pessoais, In Direito ça corporativa / Instituto Brasileiro de Go- Cidadã. In: Estado, democracia e direito no
Privado e Internet. Coordenador: Martins, vernança Corporativa. São Paulo, SP: IBGC, Brasil: trinta anos da constituição cidadã.
Guilherme Magalhães. Ed Atlas. São Paulo, 2018. (Série: IBGC Orienta). 56 p. Geraldo Tadeu Moreira Monteiro (Org.). Rio
2014, p. 63. de Janeiro: Gramma. Cebrad, 2018.
IDC. International Data Corporation. (2014).
ETB. 2017. Edelman Trust Barometer. Trust The digital universeofopportunities: Rich MOTA FILHO. Compliance e Transparên-
and the CEO. Annual Global Study, 2017. data andtheincreasingvalueofthe internet cia: Programas de Integridade Efetivos. In:
https://www.ifac.org/system/files/uploads/ ofthings. http://brazil.emc.com/leader- Compliance: o estado da arte – regulações,
Comms/Day%201%20-%20Trust%20Baro- ship/digitaluniverse/2014iview/executive- práticas, experiências e propostas para o
meter%20-%20Justin%20Blake.pdf. -summary.htm. Acesso em: 22/03/21. avanço da cultura da integridade no Brasil e
no mundo. (Orgs.). Cláudio Carneiro, Hum-
FAGUNDES, Suzana. Integridade como IIRC. 2013. A Estrutura Internacional para berto E.C. Mota Filho. Curitiba: Instituto
novo paradigma da reputação. Revista Go- Relato Integrado. Tradução: FEBRABAN Memória. Centro de Estudos da Contempo-
vernança e Compliance da Associação Co- - Federação Brasileira de Bancos. Março, raneidade, 2019. 192 p.
mercial do Rio de Janeiro. n. 1, ano 1 (5 dez, 2014. https://integratedreporting.org/wp-
2017). Rio de Janeiro, RJ: ACRJ, 2017. pgs. -content/uploads/2015/03/13-12-08-THE-IN- OVANESSOFF, Armen. PLASTINO, Eduar-
30-34. TERNATIONAL-IR-FRAMEWORK-Portuge- do e FALEIRO, Flaviano. Por que o Brasil
se-final-1.pdf. precisa aprender a confiar na inovação co-
FARIA, F. A.; SYMPSON, G. (2013). Brid- laborativa. Accenture, 2015.
ging the gap between business and IT: An JIMENE, Camilla do Vale. In: LGPD: Lei
information governance perspective in the Geral de Proteção de Dados comentada. IIRC. 2013. A Estrutura Internacional para
banking industry. In N. Bhansali, Data go- Viviane Nóbrega Maldonado, Renato Opice Relato Integrado. Tradução: FEBRABAN
vernance: Creating value from information Blum, coordenadores. São Paulo: Thomson - Federação Brasileira de Bancos. Março,
assets (pp. 217-241). Boca Raton, USA: Taylor Reuters Brasil, 2019. 2014. Disponível em: https://integratedre-
& Francis. porting.org/wp-content/uploads/2015/03/
MENZEL, Donald C. (2005) Research on 13-12-08-THE-INTERNATIONAL-IR-FRA-
DELOITTE. Global survey on reputation risk Ethics and Integrity in Governance: A Re- MEWORK-Portugese-final-1.pdf. Acesso
(em itálico), 2014. Disponível em: https:// view and Assessment, Public Integrity, 7:2, em: 22/03/21.
C
ompliance vem do ver- do titular ou tornando públicos mais flexível e, ao mesmo tem-
bo inglês comply, que dados sensíveis. po, mais seguro, no uso de dados
quer dizer agir ou atu- pessoais, quando comparado às
ar de acordo com as Por este motivo que o complian- leis atuais.
regras e, no mundo corporativo, ce é uma das áreas que mais es-
compliance tem efetivamente, tão sendo afetadas com a entra- É imprescindível que as regras e
relação com a conduta da empre- da em vigor da lei, vez que ela princípios de privacidade e pro-
sa e a sua adequação com todas vem regulamentar sobre como teção de dados pessoais sejam
as leis aplicáveis ao seu negócio. as companhias devem colher, tra- incorporados nos valores de toda
tar, armazenar, transferir e usar a companhia, a fim de dar início
Deste modo, o compliance surge, dados de clientes, funcionários, a uma nova cultura de proteção
então, com um papel de maior visitantes de sites e mídias so- de dados, por isso, se faz tão re-
relevância, face às grandes mu- ciais, isto é, o compliance surge levante a criação de uma visão
danças trazidas pela Revolução na perspectiva de “guardião” da multidisciplinar, pois a empresa
Industrial que ocasionou uma Lei Geral de Proteção de Dados precisa assumir uma perspectiva
série de inovações tecnológicas, Pessoais. ampla de alcance, abrangendo
impactos globais nos âmbitos so- todas as áreas que lhe perfazem
cial, econômico, político e legis- A LGPD estabelece a necessida- e não somente operar em um ou
lativo, que trouxeram para todos, de do uso seguro e responsável mais setores.
maior conscientização de estar dos dados pessoais por empresas
totalmente em consonância com grandes ou pequenas, digitais ou Ainda neste sentido, dependendo
às leis e normas éticas que lhe não e a adequação consiste em do porte da corporação, relevan-
são aplicáveis, a fim de evitar as um verdadeiro plano multidisci- te será nomear um comitê multi-
chamadas violações. plinar para que toda companhia disciplinar para ser responsável
alcance esses objetivos, de modo pela elaboração do plano ideal de
E, nesse contexto, a Lei Geral de a repensar vários aspectos do adequação e poder se ocupar in-
Proteção de Dados Pessoais (nº: dia a dia de suas atividades, com tegralmente a este projeto.
1
Art. 5º, X - tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização,
acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modi-
ficação, comunicação, transferência, difusão ou extração;
2
Art. 5º, VI - controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados
pessoais;
3
Art. 5º, VII - operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
4
Art. 5º, XIX - autoridade nacional: órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o
território nacional.
5
“Spam é o termo usado para referir-se aos e-mails não solicitados, que geralmente são enviados para um grande número de pessoas. Quando o con-
teúdo é exclusivamente comercial, esse tipo de mensagem é chamada de UCE (do inglês Unsolicited Commercial E-mail).” NIC.BR. O que é spam?
Disponível em: https://www.antispam.br/conceito/. Acesso em: 30 nov. 2020.
6
Art. 20. O titular dos dados tem direito a solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais
que afetem seus interesses, incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua
personalidade.
7
“Quanto aos crackers, eles utilizam seus grandes conhecimentos em informática de forma menos honesta: quebrando (cracking) sistemas de seguran-
ça de softwares para ter alguma vantagem financeira lá na frente. Esse tipo de atividade é considerado ilegal e, por isso, os crackers são vistos como
criminosos.” UOL SEGURANÇA DIGITAL. Hackers e Crackers: quais as diferenças entre eles? Disponível em: https://seguranca.uol.com.br/antivirus/
dicas/curiosidades/hackers_crackers_qual_a_diferenca_entre_eles.html#rmcl. Acesso em: 30 nov. 2020.
8
A invasão de computadores e de outros dispositivos informáticos poderá configurar o crime do art. 154-A do Código Penal: “Art. 154-A. Invadir
dispositivo informático alheio, conectado ou não à rede de computadores, mediante violação indevida de mecanismo de segurança e com o fim de
obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo ou instalar vulnerabilidades para obter
vantagem ilícita: Pena - detenção, de 3 (três) meses a 1 (um) ano, e multa.”
9
Os vazamentos são os incidentes mais lesivos, pois os dados são expostos, podem ser reutilizados e reaproveitados. Os titulares perdem, assim, o
controle sobre os seus dados pessoais.
10
“O ataque do tipo DoS (Denial Of Service, em inglês), também conhecido como ataque de negação de serviço, é uma tentativa de fazer com que
aconteça uma sobrecarga em um servidor ou computador comum para que recursos do sistema fiquem indisponíveis para seus utilizadores. Para isso,
o atacante utiliza técnicas enviando diversos pedidos de pacotes para o alvo com a finalidade de que ele fique tão sobrecarregado que não consiga
mais responder a nenhum pedido de pacote. Assim, os utilizadores não conseguem mais acessar dados do computador por ele estar indisponível e
não conseguir responder a nenhum pedido”. CANALTECH. O que é DoS e DDoS? Disponível em: https://canaltech.com.br/produtos/o-que-e-dos-e-
-ddos/. Acesso em: 30 nov. 2020. Essa conduta poderá configurar o crime do Art. 266, CP: “Art. 266 - Interromper ou perturbar serviço telegráfico,
radiotelegráfico ou telefônico, impedir ou dificultar-lhe o restabelecimento. Pena - detenção, de um a três anos, e multa. § 1o Incorre na mesma pena
quem interrompe serviço telemático ou de informação de utilidade pública, ou impede ou dificulta-lhe o restabelecimento.”
11
Art. 5º, II - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização
de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa
natural;
titular nas seguintes hipóteses CAUSAS EXCLU- pessoais ou de terceiro: o dano
(art. 42, §1º): DENTES DE RES- causado não foi praticado pelo
12
Art. 37. O controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando
baseado no legítimo interesse.
13
Pode-se entender, assim, que o operador pode se opor as instruções ilícitas do controlador.
14
Art. 45. As hipóteses de violação do direito do titular no âmbito das relações de consumo permanecem sujeitas às regras de responsabilidade previs-
tas na legislação pertinente.
15
Art. 7º, Parágrafo único, CDC. Tendo mais de um autor a ofensa, todos responderão solidariamente pela reparação dos danos previstos nas normas
de consumo.
dentro das quais a concretização REFERÊNCIAS
dos riscos em dano é atribuível
CANALTECH. O que é DoS e DDoS? Dis-
àquele que exerce a atividade”17.
ponível em: https://canaltech.com.br/pro-
dutos/o-que-e-dos-e-ddos/. Acesso em: 30
CONCLUSÃO nov. 2020.
16
Art. 393. O devedor não responde pelos prejuízos resultantes de caso fortuito ou força maior, se expressamente não se houver por eles responsabi-
lizado. Parágrafo único. O caso fortuito ou de força maior verifica-se no fato necessário, cujos efeitos não eram possíveis evitar ou impedir.
17
REsp 1.786.722-SP, Rel. Min. Nancy Andrighi, Terceira Turma, por unanimidade, julgado em 09/06/2020, DJe 12/06/2020.
Prepare sua empresa para a
Lei Geral de Proteção de Dados
(LGPD)
Rua Candelária, 9 / 11º e 12º andares
Quer saber como a LGPD pode impactar na rotinaCentro do – Rioseu
de Janeiro – RJ
negócio? Escaneie nosso QR Code ou acesse o conteúdo
CEP.: 20091-904
exclusivo sobre o assunto em
Tel.: (21) 2514-1229
https://sites.rj.sebrae.com.br/minisite/lgpd/
acrj@acrj.org.br
www.acrj.org.br