Adequações às leis de dados na internacionalização de empresas

Ainda que a quantidade de empresas brasileiras que apostam na internacionalização seja pequena em relação ao número total de organizações nacionais com operações somente no país, há uma tendência de crescimento para investimentos no mercado internacional. Segundo a pesquisa Trajetórias FDC de Internacionalização das Empresas Brasileiras, realizada pela Fundação Dom Cabral em 2018, das 69 empresas brasileiras internacionalizadas, o percentual médio de investimento destinado a esse processo é de 37,5%, enquanto o grau médio de internacionalização entre as empresas passou de 12,9% em 2006 para 21,6% em 2018.

Contudo, com a aprovação da LGPD (Lei Geral de Proteção de Dados) no Brasil e a criação de outras regulamentações sobre armazenamento, uso e privacidade de dados de cidadãos pelo mundo, organizações ainda sentem dificuldade para iniciar transações sem burlar legislações locais.

Para entender quais são os caminhos gerais que empresas devem percorrer para garantir o respeito às leis vigentes dos países quando investem na internacionalização de suas marcas, conversamos com André Giacchetta, sócio de Pinheiro Neto Advogados e especializado em privacidade, proteção de dados, tecnologia e propriedade intelectual, e com Daniela Seadi Kessler, associada de tecnologia de Pinheiro Neto Advogados.

Como primeiro passo, Giacchetta e Kessler determinam que toda organização deve avaliar a legislação aplicável no país de destino, garantindo “a conformidade da atuação da empresa com as normas daquele determinado local. Não é diferente no que diz respeito à adequação às normas de tratamento de dados pessoais”. Confira a entrevista completa!

MIT SMR: Ao iniciar o processo de internacionalização, o que a empresa deve saber em relação à legislação vigente daquele país, uma vez que, usualmente, essas leis são extraterritoriais e dizem respeito a qualquer empresa que negocie com a nação ou armazene dados dos cidadãos locais?

André Giacchetta e Daniela Seadi Kessler: Entre as etapas iniciais necessárias ao processo de internacionalização, está a avaliação da legislação aplicável à empresa no país de destino escolhido. Considerando o crescimento do valor atribuído aos dados, desenvolveram-se nos países ao redor do mundo sistemas de regulação do uso de dados pessoais, com a intenção não apenas de proteger o cidadão comum – titular dos dados –, mas também de promover o livre fluxo dos dados.

Nesse sentido, podem ser citados como importantes marcos regulatórios da proteção de dados, entre outros mais, o California Consumer Privacy Act, de 2018 (CCPA), nos Estados Unidos, o Regulamento Geral de Proteção de Dados 2016/679, da União Europeia (RGPD), o Singapore’s Personal Data Protecton Act, de 2012 (PDPA), que sofreu importantes revisões e alterações aprovadas em 2020, por meio do “PDPAA”, bem como o Personal Information Protection and Electronic Documents Act (PIPEDA), do Canadá, e a Lei Geral de Proteção de Dados brasileira, de 2018 (LGPD).

Tendo em vista esse cenário mundial no âmbito da proteção de dados, se a operação de tratamento passará a ser realizada também em algum desses territórios, será aplicada à empresa a lei protetiva de dados lá vigente. Além disso, é importante atentar que algumas dessas leis transbordam fronteiras, como o GDPR, que se aplica aos agentes de tratamento de fora da União Europeia no caso de fornecimento de bens ou serviços ou monitoramento de comportamento de cidadãos europeus. O CCPA, restrito aos titulares de dados enquadrados na categoria de consumidores, ainda que tenha seu âmbito de aplicação limitado aos agentes de tratamento que realizam suas atividades na Califórnia, apresenta a possibilidade de que empresas estabelecidas fora da Califórnia que coletem, vendam ou divulguem informações pessoais de consumidores residentes da Califórnia durante a realização de negócios na Califórnia possam se enquadrar no escopo da lei.

Assim, considerando as peculiaridades de cada legislação, quando da implementação de uma operação internacional por uma empresa brasileira, além da adequação da empresa à LGPD, surge também a necessidade de adaptação às normas do país estrangeiro. Por isso, a importância de políticas e procedimentos flexíveis, tendo-se em conta, no que diz respeito às medidas de segurança da informação, boas práticas, sistemas de gestão de risco, que quanto mais melhor.

MIT SMR: Essas legislações de proteção de dados se aplicam apenas à empresa ou também aos que controlam e processam os dados? Elas são encaradas da mesma maneira pelos órgãos reguladores internacionais, com o mesmo "peso" e "responsabilidades"? Como elas devem se adequar?

André Giacchetta e Daniela Seadi Kessler: As legislações protetivas de dados, como a LGPD e o GDPR, previram as figuras do controlador, ou responsável pelo tratamento, e do operador de dados como agentes de tratamento. O controlador é, segundo as referidas leis, aquele que tem o poder de decisão quanto ao tratamento dos dados, podendo ser, de acordo com a LGPD, tanto uma pessoa natural quanto uma pessoa jurídica. Na prática, todavia, o que se verifica é que quem assume esse papel é a instituição, no caso, a empresa, e não um colaborador específico.

O mesmo ocorre com a figura do operador, que será aquela empresa (ou, excepcionalmente, pessoa natural) que trata os dados de acordo com diretrizes trazidas pelo controlador, sem deixar de observar o ordenamento jurídico.

Ambos, controlador e operador, possuem responsabilidade, especialmente no que diz respeito ao necessário cumprimento das leis de proteção de dados, já que as normas de proteção de dados são aplicáveis aos dois agentes. Todavia, o operador tem responsabilidade subsidiária perante o controlador. Além disso, em casos de danos ocasionados em virtude do tratamento de dados realizado pelo operador, o controlador é chamado a responder solidariamente.

Também, será de responsabilidade do controlador, e não do operador, a adoção de determinados cuidados, como a elaboração do RIPA (Relatório de Impacto à Proteção de Dados Pessoais), nas hipóteses em que se fizer necessário.

MIT SMR: Como sabemos que essa não é uma adequação "formal", se faz necessário contratar uma equipe jurídica local para fazer esta ponte com a equipe jurídica da empresa, uma vez que os advogados do país têm maior clareza dos padrões de conduta e adequações às regras?

André Giacchetta e Daniela Seadi Kessler: Para evitar problemas futuros, é recomendável que o jurídico da empresa conte com uma assessoria jurídica qualificada do país estrangeiro onde a empresa passará a realizar suas operações. É importante se certificar que essa assessoria tenha a expertise necessária em trabalhar com processos de adequação de organizações internacionais ao sistema de proteção de dados e segurança da informação daquele país. Até porque, além das eventuais singularidades previstas nas diferentes legislações, há também questões de ordem cultural, usos e costumes, regulatórias, dentre outras que podem ser mais bem direcionadas por meio de um trabalho conjunto.

Fora isso, não se pode perder de vista que mesmo após a implementação, pela empresa, de todas as medidas necessárias ao cumprimento das normas locais, considerando a dinamicidade do mercado e, consequentemente, das leis, podem ser necessárias futuras adaptações.

MIT SMR: Quais são as possíveis sanções que uma empresa pode receber caso não respeite a legislação local de proteção de dados?

André Giacchetta e Daniela Seadi Kessler: A depender do país estrangeiro onde a empresa realizará suas operações e da gravidade da infração cometida, as multas pelo descumprimento das leis de proteção de dados podem ter um peso significativo no seu fluxo financeiro.

No caso do Brasil, por exemplo, as sanções administrativas podem variar desde simples advertência, concedendo prazo ao controlador para adotar as medidas de correção do ato, até medidas coercitivas mais pesadas, como multa diária, observando-se os limites legais de 2% do faturamento e respeitando o teto máximo de cinquenta milhões de reais por infração; suspensão parcial do funcionamento do banco de dados até que seja regularizada a atividade de tratamento; suspensão do exercício da atividade de tratamento a que se refere a infração; ou proibição parcial ou completa do exercício de atividades relacionadas ao tratamento de dados.

Já no caso de descumprimento pela empresa das normas do GDPR europeu, as multas podem ir desde 2% da receita global anual ou 10 milhões de euros (o que for mais elevado), até, em determinados casos, o percentual de 4% do faturamento bruto anual, podendo atingir o patamar de 20 milhões de euros. Além disso, fica a empresa sujeita à responsabilização civil por eventuais danos causados.

MIT SMR: Quais setores enfrentam mais dificuldade nesse processo de adequação ou recebem mais sanções dos outros países?

André Giacchetta e Daniela Seadi Kessler: O processo de implementação das medidas necessárias para que a empresa esteja em conformidade com o cenário de proteção de dados de determinado país pressupõe um certo grau de dificuldade, independentemente do setor de atuação da empresa. Isso porque, a adequação exige uma série de mudanças internas, inclusive no que diz respeito à cultura de proteção de dados, treinamentos dos colaboradores, incrementação de sistemas de segurança da informação, desenvolvimento de mecanismos de compliance para mitigação de riscos, dentre outras medidas que as leis levam em consideração até mesmo para mensuração das penalidades.

A aplicação de sanções tem obedecido a essa lógica, já que é possível verificar, na União Europeia, por exemplo, a penalização de empresas tanto do setor imobiliário, como do setor de locação de veículos, e, onde se verificaram as penalidades mais pesadas, do setor de telecomunicações, varejista, e de empresas que oferecem serviços de tecnologia.

O que se verifica, aí sim, é um ônus mais pesado sobre as empresas de menor porte, que enfrentam maiores dificuldades frente aos custos envolvidos em todo esse processo de adequação. As empresas maiores, via de regra, já contam com certo grau de governança, o que facilita no momento da adequação às normas de proteção de dados. Ainda assim, é um desafio para todos os setores.

MIT SMR: Quais são as diferenças que acontecem quando há um incidente de segurança no Brasil em comparação com a Europa?

André Giacchetta e Daniela Seadi Kessler: Incidentes de segurança são uma das principais preocupações das empresas que realizam o tratamento de dados, já que é possível que, mesmo após terem sido tomadas as medidas de segurança, a empresa se depare com um vazamento de dados inesperado, não sendo mais possível contê-lo. Por isso o controlador deve contar com um plano de ação pré-definido para esses casos, o chamado “plano de resposta a incidentes de segurança”.

No momento em que a empresa se depara com uma situação de incidente de segurança, tanto a lei brasileira como a lei europeia de proteção de dados estabelecem o dever de notificação à autoridade responsável e ao titular dos dados, quando verificado elevado risco de dano. A diferença se verifica, todavia, no que diz ao prazo para realização da notificação, pois enquanto o GDPR prevê o prazo de 72h após o conhecimento do incidente, a LGPD estabelece apenas que a notificação deve ser realizada em “prazo razoável”. A questão, no Brasil, já está sendo endereçada via processo de regulamentação, tendo a Autoridade Nacional de Proteção de Dados Brasileira (ANPD) sugerido a adoção do prazo de dois dias úteis a contar da ciência do incidente, até que se tenha uma regulamentação final.

O conteúdo mínimo que deve constar da notificação feita à autoridade competente é bastante similar em ambas as leis, porém o GDPR prevê que as informações podem ser fornecidas em fases, desde que sem demora injustificada, enquanto a LGPD nada trata a respeito. Ainda assim, verifica-se uma inclinação da ANPD no sentido de adotar posicionamento semelhante ao da lei europeia, já que no formulário fornecido pelo órgão, a ser preenchido quando da notificação de incidentes de segurança, está a opção de realização de comunicação “complementar”.

Em qualquer caso, é sempre bom a empresa estar atenta à adoção de medidas técnicas que tornem os dados pessoais afetados ininteligíveis, por exemplo, por meio de criptografia, para fins de amenizar a gravidade do incidente.

MIT SMR: Faz-se necessário implementar uma plataforma de gestão de consentimento?

André Giacchetta e Daniela Seadi Kessler: Medidas que garantam a obtenção do consentimento válido nos casos em que as leis de proteção de dados impõem seu fornecimento para o tratamento dos dados são sempre recomendáveis.

Nesse sentido, a CMP (“Consent Management Platform”) é uma ferramenta importante no gerenciamento do consentimento, já que permite que essa gestão se estenda a inúmeros usuários, possibilitando a estes não apenas a concessão do consentimento, mas também a sua revisão e até mesmo a sua fácil revogação, garantindo que a empresa esteja em conformidade com a lei de proteção de dados.

Essas plataformas dispõem da capacidade técnica necessária para o atendimento aos requisitos das leis, simplificando processos para a empresa e facilitando o exercício de direitos pelos titulares dos dados. Por meio de avisos de pop-ups e widgets, as CMPs possibilitam que seja informado aos usuários o escopo do processamento de dados, trazendo transparência e facilidade à tomada de decisão, e ainda permitem o fornecimento de consentimento granular, para que os titulares possam decidir de forma seletiva a quais tratamentos se submeter.

A CMP pode ser um importante mecanismo de otimização de processos para a empresa, já que desonerada outros setores que ficariam encarregados da coleta e administração do consentimento, além de simplificar o processo de adequação à legislação protetiva de dados.