Accountability na Era Digital: Promovendo a Proteção de Dados Pessoais
Resumo.
O presente artigo tem por objetivo traçar uma definição do princípio da accountability no âmbito da Lei 13.709/2018 - Lei Geral de Proteção de Dados (“LGPD”), seus fundamentos e sua importância para a proteção de dados pessoais.
Também será descrito as obrigações impostas às empresas pela LGPD em relação à accountability, incluindo a necessidade de implementar medidas de segurança, manter registros de processamento de dados, realizar avaliações de impacto à privacidade, entre outras.
Por fim, serão feitas breves incursões acerca da implementação do princípio da accountability nas operações cotidianas das empresas, por meio de estratégias que incluem, sem limitação, treinamento de funcionários, auditorias internas e monitoramento das atividades de processamento de dados.
Introdução
O princípio da prestação de contas ou, simplesmente, o princípio da accountability, é um dos pilares fundamentais da LGPD, positivado pelo art. 6º que elenca, de forma expressa:
Art. 6º As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:
X - responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.
O Regulamento Geral sobre a Proteção de Dados (GDPR, na sigla em inglês), legislação europeia que serviu de inspiração para a LGPD, faz referência ao princípio da accountability ao longo de toda a GDPR, sendo mais proeminente no seu Artigo 5, que define os princípios gerais relacionados ao processamento de dados pessoais, conforme abaixo transcrito:
The controller shall be responsible for, and be able to demonstrate compliance with, paragraph 1 (‘accountability’).
O responsável pelo tratamento é responsável pelo cumprimento do disposto no n.o 1 e tem de poder comprová-lo («responsabilidade»).
Além disso, a GDPR exige que os controladores implementem medidas técnicas e organizacionais adequadas para garantir um nível de segurança apropriado ao risco, conforme delineado no Artigo 32 do referido regulamento. Essa obrigação está intimamente relacionada ao princípio da accountability, uma vez que os controladores devem ser capazes de demonstrar que implementaram medidas adequadas para garantir a proteção dos dados pessoais.
O referido princípio também é enfatizado nos artigos 24, 28, 30, 33 e 35 da GDPR, os quais exigem que as organizações mantenham registros detalhados das atividades de processamento de dados, conduzam avaliações de impacto à proteção de dados e nomeiem um encarregado de proteção de dados (DPO) em determinados casos.
A accountability não se limita à esfera da proteção de dados e privacidade, e está cada vez mais sendo reconhecido e utilizado em outros campos do direito. No direito corporativo, por exemplo, o conceito de responsabilidade social corporativa é baseado no princípio da accountability, defendendo que as empresas sejam transparentes e responsáveis por suas ações e impactos na sociedade e no meio ambiente.
Este princípio possui raízes na ética e boa governança. Ele se baseia na ideia de que indivíduos e organizações devem ser responsáveis por suas ações, e que devem ser transparentes e abertos sobre seus processos de tomada de decisão. O conceito de accountability também tem sido reconhecido em vários acordos e estruturas internacionais, incluindo a Declaração Universal dos Direitos Humanos, o Pacto Global das Nações Unidas e as Diretrizes da Organização para a Cooperação e Desenvolvimento Econômico (OCDE) para Empresas Multinacionais.
Voltando à LGPD, tal princípio exige que as organizações que coletam, processam e armazenam dados pessoais sejam responsáveis e transparentes em relação às suas práticas de proteção de dados.
2. Definição e fundamentos do princípio da accountability na LGPD.
2.1. Definição da accountability na LGPD
A accountability já é um princípio bem estabelecido na esfera da proteção de dados. Este princípio é encontrado em orientações conhecidas, como as Diretrizes da Organização para a Cooperação e Desenvolvimento Econômico – OCDE; nas leis da União Europeia ("UE"), dos estados membros da UE, do Canadá e dos Estados Unidos; e em governança emergente, como o Cooperação Econômica Asia-Pacífico (APEC) Privacy Framework etc.
Podemos entender a accountability como um princípio que se refere à obrigação das organizações de prestarem contas de suas atividades e decisões. Segundo a LGPD, a accountability é um dos princípios fundamentais para a proteção de dados pessoais. Ela é definida como "a responsabilidade dos agentes de tratamento de demonstrar a adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais" (Art. 6º, X).
Fundamentos da accountability na LGPD
A accountability na LGPD tem como objetivo garantir a proteção dos dados pessoais e os direitos dos titulares desses dados.
"O princípio da accountability é globalmente reconhecido como alicerce para uma efetiva regulamentação da proteção de dados pessoais e da privacidade. Ele permite que as organizações sejam capazes de efetivamente proteger dados pessoais e de demonstrar para vários stakeholders que medidas de proteção foram tomadas apropriadamente. " (CEDIS, 2020, 6. 20).
Além disso, a accountability incentiva as organizações a adotarem uma postura proativa em relação à proteção de dados pessoais. Isso porque, através da LGPD, as organizações empresariais estão obrigadas a dar um tratamento adequado aos dados pessoais, que perpassa por todas as justificativas legais e de ordem prática que legitimam o tratamento dos dados pessoais da forma com que são tratados, até a comunicação e transparência para com os titulares e agentes reguladores no que diz respeito aos direitos dos titulares e às medidas de segurança adotadas pela empresa em proteção aos dados pessoais do titular.
Assim, este princípio, na LGPD, erradia a ideia de que as organizações sejam responsáveis e transparentes em relação às suas práticas de proteção de dados pessoais. Através da adoção de medidas eficazes, as organizações devem não só cumprir, mas evidenciar, demonstrando de forma tangível a observância e o cumprimento das normas de proteção de dados pessoais.
A observância de tal princípio é fundamental não só para garantir a segurança dos dados e os direitos dos titulares, mas também como incentivo às organizações a adotarem uma postura proativa em relação à proteção de dados pessoais, garantindo a confiança dos titulares de dados pessoais nas organizações que os coletam, processam e armazenam.
Medidas de Segurança Necessárias
Para garantir a proteção dos dados pessoais, as empresas devem adotar medidas de segurança adequadas, de acordo com o tipo de dado coletado e o nível de risco envolvido. A LGPD estabelece que as empresas devem implementar medidas técnicas e organizacionais para proteger os dados pessoais, como criptografia, controle de acesso, políticas de segurança e treinamento dos funcionários, além de trazer diretrizes sobre os sistemas utilizados para o tratamento de dados pessoais:
Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
(...)
Art. 49. Os sistemas utilizados para o tratamento de dados pessoais devem ser estruturados de forma a atender aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais previstos nesta Lei e às demais normas regulamentares.
Assim, a adoção de medidas de segurança, devem ser instituídas desde a sua concepção (privacy by design) de forma a assegurar que o tratamento de dados seja pensado desde a criação do produto ou serviço:
mediante análise das técnicas disponíveis e seu custo, em relação à natureza, âmbito, contexto e finalidades do tratamento. As medidas de segurança passam a ser, portanto, parte do processo criativo, e não somente formas de solucionar problemas. (CALSING, 2019, p51.)
Além das medidas preventivas, a LGPD também estabelece, de uma forma geral, medidas corretivas ou mitigadoras que devem ser observadas no caso de um incidente de segurança (e.g. vazamento de dados pessoais) que possa acarretar risco ou dano relevante aos titulares:
Art. 48. O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.
§ 1º A comunicação será feita em prazo razoável, conforme definido pela autoridade nacional, e deverá mencionar, no mínimo:
I - a descrição da natureza dos dados pessoais afetados;
II - as informações sobre os titulares envolvidos;III - a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial;
IV - os riscos relacionados ao incidente;
V - os motivos da demora, no caso de a comunicação não ter sido imediata; e
VI - as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.(...)
Assim, o princípio da accountability mostra-se presente e fundamental em todas as etapas que envolvem o tratamento de dados pessoais.
Implementação do princípio da accountability na prática.
3.1. Treinamento de funcionários
Um dos primeiros passos para a implementação da accountability é o treinamento de funcionários. Os funcionários precisam entender as obrigações da empresa em relação à proteção de dados pessoais, bem como os riscos associados à violação dessas obrigações, para, então, estarem aptos a conduzirem o tratamento de dados pessoais de forma adequada.
Para isso, a empresa pode oferecer treinamentos regulares para todos os funcionários, independentemente de sua posição ou função. É importante que os treinamentos sejam adaptados às necessidades de cada equipe e que sejam ministrados por profissionais qualificados em proteção de dados.
Auditorias internas
Além do treinamento de funcionários, as empresas devem realizar auditorias internas para avaliar sua conformidade com a LGPD e identificar possíveis vulnerabilidades em seus processos de proteção de dados.
As auditorias internas devem ser realizadas regularmente e devem incluir uma análise detalhada dos processos de proteção de dados da empresa, bem como a identificação de possíveis vulnerabilidades. É importante que as auditorias sejam realizadas por profissionais qualificados e independentes, que possam oferecer uma avaliação imparcial da conformidade da empresa com a LGPD.
Monitoramento contínuo das atividades de processamento de dados
Por fim, é fundamental que as empresas realizem um monitoramento contínuo das suas atividades de processamento de dados para garantir a conformidade com a LGPD.
O monitoramento pode ser realizado por meio de ferramentas de software que permitem à empresa monitorar suas atividades de processamento de dados em tempo real. Além disso, as empresas podem adotar políticas de gerenciamento de riscos que ajudem a identificar possíveis vulnerabilidades e, assim, readequar processos e medidas para mitigar riscos.
Conclusão
Em suma, a implementação efetiva do princípio da accountability é fundamental para garantir a proteção dos dados pessoais e os direitos dos titulares desses dados. Para isso, as empresas devem adotar estratégias como o treinamento de funcionários, as auditorias internas e o monitoramento contínuo das atividades de processamento de dados. Essas estratégias ajudarão as empresas a garantir que estão em conformidade com a LGPD e a construir uma cultura de segurança da informação e proteção de dados pessoais.
A efetivação deste princípio é um processo contínuo e dinâmico, que exige o envolvimento de todas as partes interessadas e a adoção de medidas proativas e efetivas para garantir a proteção dos dados pessoais.
Referências Bibliográficas
ANPD. Guia orientativo para definições dos agentes de tratamento de dados pessoais e do encarregado. Autoridade Nacional de Proteção de Dados, 2021.Acesso em 29.04.2023. https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/2021.05.27GuiaAgentesdeTratamento_Final.pdf
BIONI, Bruno. Proteção de Dados: Contexto, narrativas e elementos fundamentais. 2 ed. São Paulo: . R. Bioni Sociedade Individual de Advocacia, 2021. PDF
CAVOUKIAN, Ann, Privacy by Design: https://www.ipc.on.ca/wp-content/uploads/resources/7foundationalprinciples.pdf. Acesso em 29.04.2023.
CALSING, Renata de Assis. (2019) Proteção de dados pessoais e autoridade de controle: perspectivas e desafios para o Brasil sob a ótica do direito comparado. Faculdade de Direito de Lisboa.
CEDIS, O papel da Autoridade Nacional de Proteção de Dados Pessoais (ANPD) conforme a nova Lei Geral de Proteção de Dados Pessoais (LGPD) https://www.informationpolicycentre.com/uploads/5/7/1/0/57104281/[pt]_cipl-idp_paper_on_the_role_of_the_anpd_under_the_lgpd__04.17.2020_.pdf. Acesso em 29.04.2023
EUROPEAN DATA PROTECTION SUPERVISOR. (2010). The notion of accountability in the data protection regulation. European Data Protection Supervisor.
