A definição de regras de boas práticas e governança pelos controladores, operadores e associações e sindicatos de diversos setores econômicos constitui um campo muito relevante para o estabelecimento de determinados padrões e orientações para o cumprimento das regras da LGPD.
A previsão do art. 50 da LGPD
O art. 50 da LGPD estabelece que os controladores e operadores, individualmente ou por meio de associações e entidades sindicais, podem formular regras de boas práticas e de governança relacionadas ao tratamento de dados pessoais, definindo “as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais”¹.
A previsão é relevantíssima e acaba sendo muitas vezes ignorada, mesmo pelos setores econômicos que envolvem intensa atividade de tratamento de dados pessoais.
Existência de diversas realidades e peculiaridades inerentes a diferentes setores da economia
Afinal, há realidades e circunstâncias diversas, inerentes ao funcionamento de cada setor da economia. Embora vários deles possam envolver o tratamento de dados pessoais, não é viável que a LGPD seja aplicada indiscriminadamente a todos os setores.
Não se pretende defender que a LGPD não deve ser aplicada a todos de forma isonômica. Pelo contrário, a aplicação isonômica da LGPD implica reconhecer a existência de peculiaridades atinentes aos diversos setores da economia e promover a aplicação das regras nela previstas considerando essas circunstâncias.
Devem ser consideradas as diversas realidades e peculiaridades inerentes a essas atividades. Os diversos setores podem apresentar não apenas diferentes graus de tratamento de dados, mas também diferentes realidades técnicas e mesmo de práticas específicas relativamente a cada setor (algumas delas derivadas do cumprimento de outras normas legais e infralegais, como no caso de setores regulados).
A incidência da LGPD a todos os setores da economia e de atuação profissional que acarretem coleta, tratamento e processamento de dados pessoais não significa que a sua aplicação não deva considerar as peculiaridades de funcionamento de cada um.
A consideração dos riscos e benefícios do tratamento de dados relativos a cada setor específico
Nesse sentido, o parágrafo 1º o art. 50 define que o estabelecimento das regras de boas práticas deve levar em consideração “em relação ao tratamento e aos dados, a natureza, o escopo, a finalidade e a probabilidade e a gravidade dos riscos e dos benefícios decorrentes de tratamento de dados do titular”.
Ou seja, confirma-se o cabimento de que tais regras de boas práticas sejam ponderados conforme a realidade de cada setor específico – e também conforme o tipo e a natureza dos riscos envolvidos com o tratamento de dados pessoais.
Ao se referir aos princípios da segurança e prevenção, o parágrafo 2º do art. 50, da LGPD prevê a possibilidade implementação de programa de governança em privacidade e a demonstração de sua efetividade. Ambos os princípios envolvem normas abertas, que remetem à utilização de medidas técnicas e administrativas não especificadas e que, evidentemente, variam de acordo com a evolução social, com a prática do setor e com o avanço da tecnologia disponível.
Por isso, é muito relevante que as associações e entidades sindicais possam definir e especificar essas medidas em normas específicas de boas práticas. Além de elas serem discutidas e definidas pelo próprio setor econômico, levarão em conta as realidades e circunstâncias específicas desse setor.
A competência da ANPD para reconhecer e divulgar as boas práticas estabelecidas pelos diferentes setores
A LGPD estabelece que a ANPD poderá reconhecer e divulgar as regras de boas práticas e governança (art. 50, §1º).
Trata-se de previsão muito similar àquela estabelecida pelo GDPR europeu no art. 40, §5º, que também prevê a possibilidade de aprovação dos códigos de conduta pelas autoridades europeias de proteção de dados2.
Exemplo de corregulação
A previsão legal consagra exemplo típico de corregulação (ou regulação policêntrica), em que se admite que os agentes regulados possam participar de definições relacionadas ao modo, métodos e técnicas a serem consideradas no cumprimento de obrigações previstas pela LGPD.
Consiste em oportunidade relevante para que os agentes sujeitos à incidência da LGPD possam aperfeiçoar a forma como se dará o cumprimento dos requisitos e previsões da LGPD.
A natureza do reconhecimento: espécie de certificação de conformidade
Ao estabelecer que a ANPD irá reconhecer as regras de boas práticas e governança, a LGPD define competência relevante da Autoridade Nacional. Não se trata apenas de tomar conhecimento dessas regras, mas sim de examiná-las e verificar a sua conformidade com a LGPD e com as demais normas expedidas pela própria ANPD.
Uma vez que tenha reconhecido essa conformidade, a ANPD deverá certificar essa circunstância. É esse o sentido da ação de “reconhecer” estabelecido pelo §3º, do art. 50 da LGPD. A atuação da ANPD envolve uma decisão e uma forma de certificação de que as regras de boas práticas e governança são conformes à LGPD e compatíveis com seus objetivos.
A divulgação das regras de boa prática e governança de privacidade pela ANPD
O §3º, do art. 50 da LGPD também define que, após reconhecidas, as regras de boas práticas e governança deverão ser divulgadas pela ANPD.
Atividade de orientação pela ANPD
Essa divulgação pela ANPD não é casual. Não se trata apenas de dar publicidade a determinados padrões e regras de boas práticas, mas de divulgar à coletividade que a Autoridade Nacional examinou e reconheceu aquelas regras como adequadas e compatíveis com a LGPD, inclusive para que outros agentes levem tais regras em conta no cumprimento das obrigações estabelecidas pela LGPD.
A questão é confirmada pelo art. 33 da minuta de norma de fiscalização colocada em consulta pública pela ANPD, que estabelece que “reconhecer e divulgar regras de boas práticas e de governança” (inc. IV) constitui justamente uma das atividades de orientação da ANPD.
Portanto, ao reconhecer e divulgar determinadas regras de boas práticas, a ANPD fornece orientação àqueles que se submetem à aplicação da LGPD. Trata-se de competência de grande relevância para a aplicação concreta da LGPD e que não pode ser abdicada ou objeto de renúncia (art. 11, da lei 9.784/1999).
A segurança proporcionada aos setores
Uma vez definidas regras de boas práticas e governança por um determinado setor econômico ou categoria e após o reconhecimento e divulgação pela ANPD, haverá muito mais clareza para o referido setor.
As referidas normas poderão orientar a conduta dos agentes do setor no cumprimento das obrigações e exigências da LGPD, já que haverá segurança de que a ANPD examinou as referidas normas e confirmou a sua compatibilidade com a LGPD e com as normas editadas pela própria autoridade nacional.
No âmbito europeu, as guidelines editadas pela Comissão Europeia de Proteção de Dados (European Data Protection Board) reconhecem essas circunstâncias relativamente à atividade de desenvolvimento e aprovação de códigos de conduta, na forma do art. 40, do GDPR.
Nos termos das referidas guidelines, os códigos representam uma oportunidade de estabelecer um conjunto de regras que contribuem para a adequada aplicação do GDPR de modo prático, transparente e observando a custo-efetividade, que leva em conta as nuances de um setor particular ou de suas atividades de processamento3.
A vinculação da ANPD às regras de boas práticas que lhe são submetidas
Como decorrência do reconhecimento de regras de boas práticas e governança de determinado setor pela ANPD haverá a vinculação da Autoridade Nacional.
Se a Autoridade Nacional reputou que as práticas, sistemas e métodos estabelecidos em determinado conjunto de regras de boas práticas e governança eram compatíveis com a LGPD, não poderá depois punir os agentes daquele setor que estiverem seguindo as referidas regras no cumprimento da LGPD.
Tampouco poderá exigir dos agentes daquele setor que adotem postura diversa, salvo no caso de regras de boas práticas e governança que estejam desatualizadas, incompatíveis com a evolução técnica ou que tenham se tornado incompatíveis com normas legais supervenientes.
A ANPD vincula-se à posição por ela adotada quando reconhece um conjunto de regras de boas práticas e governança que lhe foram submetidas.
A boa fé na definição das regras e seu cumprimento
Trata-se de preservar a boa-fé dos agentes que, confiando no reconhecimento pela ANPD, passaram a adotar as regras de boas práticas e governança que por esta foram reconhecidas.
Necessidade de sua consideração na fiscalização do cumprimento da LGPD pela ANPD
Além disso, tais regras de boas práticas e governança deverão também ser considerados pela ANPD na fiscalização e na aferição do cumprimento da LGPD pelos agentes que as estiverem aplicando.
A edição de normas pela ANPD regulando a forma do exercício da competência do art. 50, §1º, da LGPD
Caberá à ANPD adotar normas específicas regulando a forma de exercício da competência para reconhecer e publicar as regras de boas práticas e governança que lhe forem submetidas. No âmbito do GPDR, o procedimento está delineado nos parágrafos do art. 40.
A ausência de previsão específica na própria LGPD não significa que a Autoridade Nacional não deva adotar um procedimento adequado para o regular exercício dessa competência. A ANPD pode e deve estabelecer procedimento que dê plena eficácia à competência que lhe foi atribuída pela LGPD.
Conclusão
Portanto, a definição de regras de boas práticas e governança pelos controladores, operadores e associações e sindicatos de diversos setores econômicos constitui um campo muito relevante para o estabelecimento de determinados padrões e orientações para o cumprimento das regras da LGPD.
A competência da Autoridade Nacional de Proteção de Dados – ANPD para reconhecer e divulgar as regras de boas práticas e governança (art. 50, §1º) é relevantíssima e deve ser exercida de modo amplo, pois contribui tanto para o pleno e efetivo cumprimento das previsões da LGPD, como para a segurança jurídica dos operadores e controladores sujeitos à sua incidência.
O estabelecimento de regras de boas práticas e governança traz benefícios concretos não apenas para os agentes do setor, mas para a própria Autoridade Nacional, que passa a contar com balizas adicionais para que haja efetivo – e adequado, inclusive em termos de custo-efetividade – cumprimento das regras de privacidade e proteção de dados estabelecidas pela LGPD.
1 Trata-se de previsão similar ao art. 40, §1º do GDPR: “The Member States, the supervisory authorities, the Board and the Commission shall encourage the drawing up of codes of conduct intended to contribute to the proper application of this Regulation, taking account of the specific features of the various processing sectors and the specific needs of micro, small and medium-sized enterprises”.
2 Nos termos do referido dispositivo: “Associations and other bodies referred to in paragraph 2 of this Article which intend to prepare a code of conduct or to amend or extend an existing code shall submit the draft code, amendment or extension to the supervisory authority which is competent pursuant to Article 55. The supervisory authority shall provide an opinion on whether the draft code, amendment or extension complies with this Regulation and shall approve that draft code, amendment or extension if it finds that it provides sufficient appropriate safeguards”.
3 Nos termos originais, “Codes represent an opportunity to establish a set of rules which contribute to the proper application of the GDPR in a practical, transparent and potentially cost effective manner that takes on board the nuances for a particular sector and/or its processing activities. In this regard codes can be drawn up for controllers and processors taking account of the specific characteristics of processing carried out in certain sectors and the specific needs of micro, small and medium enterprises” (item 4, 11, disponível aqui. Acesso em 30.8.2021).
