A gestão de riscos pode ser vista como uma espécie de “serviço” dentro da empresa. Ela tem entregas a fazer para a organização, mas a sua finalidade, porém, não é blindar, nem necessariamente evitar todos os riscos. Consiste em identificá-los e ajudar a tratá-los, para diminuir impactos ou prevenir perdas, de acordo com o chamado “apetite para riscos” dos sócios ou gestores de cada área.
Pois bem, uma das entregas da gestão de riscos está na identificação - dentre outros - dos “riscos de conformidade”, ou seja, consiste em mapear leis, regulamentos, entre outros, que impactam diretamente o negócio, e ajudar no gerenciamento dos riscos mais significativos.
Como é possível perceber, um bom exemplo desse tipo de “serviço” está nos riscos ligados à legislação de proteção de dados. Afinal, a Lei Geral de Proteção de Dados (LGPD) afeta praticamente todas as organizações e, por ter uma margem muito ampla de regulação, muitos riscos de conformidade podem ser identificados ao longo do próprio texto legal. Ou seja, temos um “serviço” bastante prolífico para explorar.
Embora o processo do gerenciamento de riscos seja composto pelas etapas complementares de identificação, análise e avaliação dos riscos envolvidos, observemos apenas a questão da identificação de riscos na LGPD.
Inicialmente, a identificação dos riscos de conformidade ligados à lei depende da análise das obrigações que ela prevê para as organizações e, claro, das consequências negativas em caso de desconformidade, isto é, quais os riscos para quem descumpre o que diz a legislação.
Para isso, todavia, é necessário resgatarmos algumas ideias iniciais sobre a Lei Geral de Proteção de Dados. Embora já vá completar cinco aniversários em 2023, a lei ainda é desconhecida por muitos empreendedores (e até por alguns profissionais do Direito).
Pois bem, importa esclarecer que a LGPD não veio proibir a utilização de informações pessoais pelas empresas. Mas, sim, estabeleceu regras, limites e condições para que o tratamento de dados pessoais possa ser considerado como regular. Ou seja, ainda é permitido que as organizações coletem, processem e compartilhem informações de pessoas? Sim, desde que estejam fazendo isso nos termos da LGPD.
O primeiro risco de conformidade a ser observado, portanto, consiste em olhar para os processos da empresa e compará-los com a lei, de modo a identificar se o tratamento de dados pessoais que vem sendo realizado está regular.
Acontece que a LGPD não consegue estabelecer, de maneira explícita, o conceito do tratamento regular de dados pessoais. Mas a regularidade do tratamento pode ser conceituada por exclusão, isto é, a partir daquilo que a lei considera como “tratamento irregular”:
“Art. 44. O tratamento de dados pessoais será irregular quando deixar de observar a legislação ou quando não fornecer a segurança que o titular dele pode esperar, consideradas as circunstâncias relevantes, entre as quais:
I - O modo pelo qual é realizado;
II - O resultado e os riscos que razoavelmente dele se esperam;
III - As técnicas de tratamento de dados pessoais disponíveis à época em que foi realizado”.
Desse trecho legal já é possível identificar, pelo menos, duas instâncias de riscos a serem gerenciados na LGPD: aqueles ligados à segurança do tratamento de dados e aqueles sobre a conformidade estrita à lei.
Portanto, se os processos da empresa que envolvem dados pessoais estiverem de acordo com as regras específicas da LGPD, e se o tratamento está sendo realizado de maneira segura em relação à privacidade e à intimidade da pessoa, então, a sua gestão de riscos, nesse ponto, deve ser bastante equilibrada.
Por: Gabriel Barroso Fortes, Advogado, Pós-Graduado em Direito Digital e Compliance, MBA em Liderança Estratégica e Gestão Financeira, Mestre em Direito Constitucional, Head da área de Proteção de Dados do escritório Fortes Nasar Advogados. CPC-PD ©.