Com a introdução da LGPD, o termo accountability passou a ganhar destaque, já que a lei impõe aos agentes de tratamento a adoção de medidas capazes de atender ao cumprimento das normas de proteção de dados pessoais. "Contudo, pelo princípio da accountability, não basta a adoção de medidas: o agente de tratamento dos dados deve comprovar sua eficácia para dar cumprimento à norma", disse Gustavo Artese, sócio de Viseu Advogados e Fundador do Forum Equidata.
"A LGPD é uma legislação de terceira geração, e a accountability representa o dever de responsabilidade e de prestação de contas que está relacionado à demonstração, de como são conduzidas as atividades referentes aos dados pessoais, isto é, para estar em conformidade com a lei, será necessário que políticas e procedimentos sejam retirados do papel e façam parte do dia a dia da organização", reiterou Artese.
A LGPD na prática cobra das empresas a comprovação de que está sendo integralmente cumprida pela organização, assim todas as empresas que tratam dados pessoais devem cumprir essa obrigação.
"Para que isso ocorra temos a necessidade de elaborar o chamado Relatório de Impacto de Proteção de Dados. Neste documento, devem constar o ciclo de vida do tratamento dos dados pessoais e a indicação do fundamento que autoriza este tratamento e por fim, aqueles que detém os dados também devem avaliar as medidas de segurança da informação implementadas. Isso incluir procedimentos para mitigação de eventuais incidentes, que retrata outra mudança da LGPD na prática: boas práticas e governança, e medidas preventivas.", explicou o advogado.
Nesse sentido, o princípio da accountability requer um modelo de governança corporativa para garantir a observância das normas de proteção de dados e sobretudo, como argumentou Gustavo Artese. "De acordo com o artigo 50 da lei, as regras devem estabelecer "condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais".
Na prática, as empresas devem ter medidas de segurança, técnicas e administrativas capazes de proteger tais dados de incidentes (perda, alteração, destruição, comunicação ou tratamento inadequado ou ilícito) e acessos não autorizados.
Apesar da LGPD não especificar quais são exatamente as medidas preventivas, ressalta que a autoridade nacional pode estabelecer padrões técnicos mínimos. Esses padrões consideram, além dos princípios previstos na lei, "a natureza das informações tratadas, as características específicas do tratamento e o estado atual da tecnologia, especialmente no caso de dados pessoais sensíveis".
Como destacou Artese, a adoção do privacy by design precisará ser o centro de cada projeto no dia a dia das empresas por conta da LGPD. A cada novo projeto, é preciso adotar medidas preventivas de proteção dos dados. Prevenção sempre será melhor do que em reação, quando falamos em LGPD. Portanto, a empresa precisa revisar suas políticas, implementando um bom programa de governança de TI e conformidade para coibir incidentes de violação de dados e de outros riscos à segurança.
Uma outra questão que se impõe de igual importância a observação do accountability é a auto-regulamentação, ou seja, em algumas áreas haver a autoridade um código de conduta especial para setores específicos.
"Este é o próximo passo para regulação e eficiência da LGPD no Brasil e por isso, criamos o Forum Equidata, que tem por objetivo reunir um número de profissionais de múltiplas áreas, a fim de acadêmica e isentamente debater e incentivar a comunidade no uso e nas boas práticas para o tratamento dos dados pessoais", explicou Artese.
Direitos do Titular
Um dos elementos mais evidentes e centrais à LGPD são os direitos do titular. Em sua apresentação, Thiago Luís Sombra, sócio de Mattos Filho, mostrou que este tema ainda possui áreas nebulosas a serem debatidas.
"Antes de mais nada é preciso deixar claro que os dados pessoais não pertencem à empresa (controladora ou operadora), mas sim ao indivíduo, à pessoa física, a quem os dados dizem respeito. ", reforça o especialista, "Assim, alguns passos previstos na legislação precisam ser observados pelas empresas no contexto do uso de dados pessoais"
Como explica Thiago Sombra, o primeiro direito é a confirmação da existência do tratamento que é o direito garantido ao titular de confirmar se a empresa realiza o tratamento de seus dados pessoais. Esse direito pode ser efetivado de forma simplificada (um "sim" ou "não" por parte da empresa) que indiquem o uso. O segundo direito é o Acesso aos dados, a lei garante aos titulares o direito de obter uma cópia de seus dados pessoais e a correção de dados incompletos, inexatos ou desatualizados, pois é garantido ao titular o direito à correção de dados incompletos, inexatos ou desatualizados, que consiste no direito de solicitar que os dados tratados sejam corrigidos ou atualizados.
"Um outro ponto dos direitos diz respeito a Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade para os quais o titular tem o direito de pedir, caso os dados pessoais tratados pela empresa se mostrem: desnecessários para a finalidade ; excessivos para a finalidade; em desconformidade, para finalidades específicas ", elencou o advogado.
Sombra também apontou o último item de interesse do titular dentro de seus direitos que é a Portabilidade dos dados a outro fornecedor de serviço ou produto e finalmente a Eliminação dos dados pessoais tratados com o consentimento do titular.
" É direito do titular saber com quem os seus dados estão sendo compartilhados. pelo o princípio da transparência. Ou seja: não adianta colocar informações amplas e genéricas como "compartilhado com terceiros", "parceiros terão acesso aos dados pessoais" é necessário deixar claro para quem e com quem os dados serão partilhados", explica.
Como reiterou o especialista, o titular dos dados tem o direito à Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa.
"Para que o consentimento seja considerado realmente livre, é necessário que a empresa dê a informação sobre a possibilidade de não fornecer consentimento. Junto a essa informação, devem ser apresentadas as consequências de não fornecer o consentimento, como possíveis prejuízos na experiência do usuário, menor customização, limitação de acesso que necessitem desse consentimento, etc."
Sombra lembra que este consentimento por ser revogado a qualquer momento bastando o titular se manifestar neste sentido, isto é, mediante manifestação expressa do titular, por procedimento gratuito e facilitado. "É importante ressaltar que os tratamentos realizados anteriormente ao consentimento retirado continuam válidos, até que haja expressa manifestação do titular pela eliminação de tais dados.", disse.
O advogado também lembrou que o período da Pandemia levou a vários incidentes com os dados pessoais, mas também produziu efeitos para que os titulares pudessem solicitar suas informações, mitigar erros e conferir a exatidão de muitas de suas informações. "O importante é ter sempre as notificações de Accountability e também ter em mente que o consentimento não deve ser a chave para tudo, mas a checagem e uso das boas práticas para que os direitos sejam sempre assegurados", finalizou.