GRC e direito: a LGPD pode ser considerada um marco no mundo corporativo jurídico e para a iniciativa privada brasileira?
Desde que a Lei Geral de Proteção de Dados (LGPD) começou a ser notada no diversos mercados, cresceu o interesse pelos diversos temas que aborda. Claro que o maior deles é tratamento de dados, desdobrando diversos questionamentos: o quê, como, quem, quando, onde, quais motivos - são questões levantadas quando se pensa sobre proteção de dados no contexto da lei. Aqui eu não pretendo abordar essa perspectiva que, apesar de importante e essencial (já que é seu principal objeto), foi e está sendo abordada de muitas maneiras, por muita gente. O que eu quero chamar atenção é para uma amplitude a qual o tratamento de dados (ou a LGPD) parece ter e que aparentemente ainda não foi notada de maneira geral pelos mercados e, especialmente, pelos operadores do direito, mas especificamente por advogados atuantes no campo de proteção de dados (ou direito digital). Talvez essa amplitude não seja algo novo para outros profissionais que lidam com o assunto há algum tempo (como talvez engenheiros, profissionais de T.I. ou mesmo contadores), mas certamente é um horizonte novo no mundo do direito brasileiro.
Me refiro ao acrônimo GRC, que apesar de conter apenas três letras, traz em si uma riqueza de conteúdos gigantesca. A sigla GRC é abreviação de Governança, Risco e Conformidade (Governance, Risk and Compliance), designação ampla e geral na qual é possível enquadrar, na minha visão, a LGPD. Acredito que uma boa evidência disso consta na própria lei, mais diretamente no Capítulo VII, que dispõe sobre segurança e suas boas práticas. São duas seções específicas dedicadas a tratar temas de governança corporativa, mitigação de riscos de negócio e formas pelas quais o cumprimento de normas – seja de qual tipo for – será garantido de fato.
A abreviação GRC segue essa mesma lógica, questionando: como são tratados (governados) os dados da organização? Como são gerenciadas as diversas possibilidades de falhas nos tratamentos de dados (riscos), dentre os quais o vazamento de dados é apenas uma delas? Quais a garantias que os titulares de dados possuem em relação ao cumprimento dos princípios da LGPD por parte dos controladores? Em outros termos: como um organização estipula sua governança, trata seus riscos e define suas formas de fazer cumprir as normas em geral e da LGPD em especial?
Eu não me aprofundarei nesses tópicos, pois são conteúdos próprios de textos autônomos sobre governança, gestão de riscos e conformidades (compliance) que pretendo escrever futuramente. O ponto importante é evidenciar a conexão entre um sistema legal menos amplo (LGPD) com um sistema maior que engloba diversas perspectivas que não apenas a legal. Ao abordar os temas de governança, risco e conformidade (compliance), fica claro que o âmbito estritamente legal não é suficiente para dar conta da realização concreta de uma lei como a LGPD. Isso porque ao ser inserida nesse sistema mais amplo, os traços multidisciplinares e multifacetados do assunto são melhor delineados e, pela multilateralidade apresentada, aquela parte que diz respeito ao direito parece ficar mais aparente justamente por causa de sua insuficiência. Ao que tudo indica, as relações traçadas entre G-R-C ainda não foram aprofundadas de um ponto de vista jurídico acadêmico e doutrinário, ao menos não em conjunto.
Uma evidência bastante simples disso pode ser obtida a partir de pesquisas de periódicos nacionais, iniciando pelas revistas da USP, que é a maior representante de produção científica no país em termos quantitativos. Ao pesquisar tanto periódicos da FAE, quanto da Revista de Direito, em nenhum deles o acrônimo é abordado com autonomia, ainda que quando buscado separadamente, governança, riscos e conformidade (ou compliance) apresentam produções específicas. O mesmo acontece com os diversos periódicos da FGV, com a pesquisa integrada dos periódicos da UFSC e da UFPR e com periódicos especializados em direito, economia e administração da UFRGS.
Não acredito que essa pesquisa simples e embrionária é suficiente para poder afirmar que o acrônimo seja algo novo sob a perspectiva pesquisada (mesmo porque nas pesquisas autônomas sobre o que compõe a abreviação constou muito material), mas certamente é indicativo de que não é algo que está nos holofotes. Por isso que esse texto tem um título que indaga sobre os impactos que a LGPD trará para a iniciativa privada brasileira, pois se a premissa aqui estabelecida (que a lei é espécie do gênero GRC), então as consequências muito provavelmente serão imensas. Indo além, é digno de curiosidade também as novas perspectivas que serão lançadas para o direito privado como um todo, principalmente em um país que possui uma cultura de negócios como a brasileira.
Um exemplo do que eu quero dizer com esse último apontamento sobre “cultura brasileira” pode ser exemplificada na seguinte expressão corrente: “será que a LGPD vai pegar”? Apesar de ser uma norma cogente (que é um termo técnico jurídico que quer dizer que você não tem escolha para cumprir ou não: você deve cumprir!), a cultura brasileira possibilita margem para esse tipo de questionamento. Em uma aula de filosofia política, um professor muito carismático, engraçado e contador de histórias contou a seguinte piada: “se você quer que um francês se jogue da ponte, diga que isso está na moda; se você quer que um alemão faça isso, diga que está na lei; se você quer que um brasileiro faça o mesmo, diga que está na lei que é proibido pular da ponte...”. A piada é bastante elucidativa por si mesma, o que ajuda a entender a dimensão muito mais ampla que envolve a LGPD, principalmente se a premissa aqui estabelecida de que é espécie de GRC estiver correta.
Isso porque a conciliação entre Governança, Risco e Conformidade (compliance) tem, talvez, como principal prerrogativa, a criação um sistema organizacional que obrigue e condicione pessoas a serem éticas no desenvolvimento de suas atividades negociais e empresariais ao mesmo tempo em que mantêm sua performance (obrigar a ser ético é algo que pode soar estranho e abordarei isso mais ao final desse texto). Isso porque a conformidade (compliance) é a parte do acrônimo dedicada à avaliação do cumprimento de normas previstas em governança e direcionadas por riscos. Então, exige que as próprias organizações previamente estabeleçam seus princípios organizacionais e a maneira pela qual direcionarão suas atividades negociais e empresariais.
Ainda que exista um amplo nível de liberdade para que se escolham as mais variadas formas de conjugar os diversos elementos dessas atividades, existem limites (boundaries) para tais exercícios. Esses limites são impostos por compromissos assumidos em contratos privados, em observação de normativas executivas, em pressões de mercados que estipulam qualidades mínimas de atuação e, mais rigidamente, em regulamentações e disposições legais que dão os contornos definitivos da maior amplitude possível de liberdade para exercício das atividades negociais e empresariais. Podemos usar a expressão “liberdade jurídica” (de matriz kantiana) para designar esse campo de atuação dos negócios.
LGPD nitidamente é um exemplo concreto disso. Ela impõe diversas medidas que devem ser observadas que, ao serem descumpridas, geram ao infrator diversas sanções civis. Para utilizar uma expressão do mundo corporativo, a coerção é o core do direito. Basicamente pode ser representada na fórmula “se não cumprida disposição A, então aplica-se sanção B”. Nesse sentido, como as normas em geral, a LGPD também prevê diversas sanções, que possuem gradações e proporções diversas e que levam em conta diversos fatores para composição da responsabilidade jurídica das pessoas responsabilizadas pela lei. Talvez aqui entre outro ponto de conexão direta com o acrônimo do GRC para além das disposições literais da LGPD.
Pode-se dizer que a LGPD dispõe de responsabilidade em, no mínimo, dois níveis amplos: administrativo e civil (deixo de lado os eventuais ilícitos penais possivelmente enquadráveis). No primeiro sentido, a responsabilidade é avaliada de acordo com as perspectivas da administração pública, mais especificamente da ANPD (equivalente à ANVISA, ANATEL e PROCON, por exemplo). Existem sanções administrativas específicas que a autoridade nacional brasileira responsável poderá aplicar aos infratores. No segundo sentido, o que chamei de responsabilidade civil e que é mais amplia (e engloba) a administrativa, é aquela decorrente da vida civil comum e que pode ser guiada pelo princípio de direito romano válido atualmente: “não lese ninguém” (neminem laedere). Em outros termos: você não tem o direito de lesar ninguém na vida civil e, caso isso ocorra, então você será responsável pelo dano, indenizável em âmbito judicial.
A LGPD por si só estabelece estruturas que orientam ao seus destinatários como não lesar os titulares de dados no desenvolvimento das atividades civis, mais especificamente negociais e empresariais. Entretanto, se a premissa que foi estabelecida aqui entre LGPD e GRC estiver correta, o que a lei estipula de maneira geral e abstrata não é o suficiente para fins de realização concreta de seus dispositivos.
Isso porque a lei trata de diversos temas que são muito mais amplos e técnicos do que a maneira geral e abstrata pela qual ela própria normatiza. Trata principalmente de integridade (especialmente no tratamento de dados), mas também de unificação de interesses comuns, como os de acionistas ou sócios de uma empresa que para serem exitosos em suas atividades, precisam tratar dados de titulares. Trata de conciliação de interesses opostos como, por exemplo, de um lado titulares de dados e representantes da sociedade civil organizada e, de outro, empresas que causam grande impacto ambiental, ambos sendo afetados pela necessidade de tratamento de dados. Com a lei, é imposta a necessidade de políticas normativas (PSI, GMUD e Matriz de Riscos são exemplos), controles (KPI’s, SOC ou ISO’s por exemplo) e muita transparência com a sua respectiva padronização e uniformização (BPMN, POP’s e mapeamento de dados, por exemplo). Exige também agilidade: a LGPD em diversos momentos impõe prazos imediatos, como providencia ou retificação de dados e implementação de ordens administrativas da ANPD ou mesmo comunicação de incidentes e divulgação de relatório de impactos o que, por sua vez, requer um modelo único de trabalho integrado (questões relativas à planejamento estratégico, execução e cultura empresariais). Não seria demais relacionar a LGPD com GRC e, por sua vez, com o PMBOK, principalmente ao observar que a lei impõe que a proteção de dados deve ser realizada com os meios técnicos razoáveis disponíveis no mercado na época do tratamento dos dados (o que sempre deve levar em conta a dimensão dos negócios ou empresas, evidentemente).
Nesse emaranhado de termos técnicos que envolvem desde questões de gestão e administração (governança, risco e conformidade - compliance) até tecnologias da informação (principalmente controles), é bastante razoável pensar sobre a principal atribuição do direito nisso tudo: a responsabilização. E também é nesse ponto que entendo que a LGPD é uma espécie do gênero de GRC, pois sem as ferramentas disponibilizadas por esse campo, aquela acaba sendo estéril.
Mantendo o “core” do direito e aumentando a amplitude da LGPD para GRC, quais critérios específicos e claramente concretos poderão ser adotados pelos julgadores/aplicadores em caso de descumprimento legal e necessidade de aplicação de sanção? Pode ser que alguém rebata dizendo que nenhum aplicador poderá ir além do que está disposto na lei, mas seria uma objeção fraca, pois para além da própria vagueza comum à linguagem (que permite ter ampla margem de enquadramento dos fatos às normas), na minha visão, à própria LGPD em suas disposições é genérica quanto à previsão da necessária estrutura para lidar com os temas dela. Outro fato que agrava em muito a situação é o tão famoso (quanto antigo) problema de “importação” legislativa. A LGPD é bastante similar à GDPR (General Data Protection Regulation), produto normativo culturalmente europeu. Um fato que é notório é que o empresariado brasileiro em sua maior parte é formado por micro e pequenos negócios, ao passo que mercados como os europeus (e principalmente o norte americano) apresentam realidade bastante diversa. Portanto, é razoavelmente pensável que as estruturas da GDPR sejam mais funcionais em seu contexto de criação do que em nosso país, principalmente pela alta tecnicidade que a lei exige. Nesse ponto mais uma vez penso nas consequências práticas da premissa de que a LGPD é espécie de GRC, pois o já então nível técnico previsto diretamente na LGPD (ainda que de maneira geral e abstrata) é intensificado sobremaneira nessa perspectiva. Aqui acredito que o debate jurídico possivelmente levantado é amplo, pois por mais que a LGPD seja muito influenciada por contextos distintos do nosso, ela está vigente e deve ser cumprida.
Para finalizar esse texto, quero tocar no ponto sobre a ética, que foi levantado anteriormente. A distinção entre ética (ou moral) e direito sempre foi um problema para quem estuda um ou outro e a dificuldade em resolver isso é tão antiga quanto a sua própria tradição. Para o presente propósito a questão a ser apresentada é a seguinte: se a LGPD/GRC está englobada em uma questão “ética”, não seria possível sua natureza cogente ou externamente obrigatória, ou seja, não seria possível impor as normas desse tipo por meio da coerção estatal (seja por imposição de um juiz ou autoridade administrativa). Entretanto, se se trata de uma questão de direito, então não apenas é possível coerções desse tipo, como ela devem ser implementadas, sob risco de falta de legitimidade estatal para com a comunidade. Essa discussão é realmente intensa, mas certamente apresenta reflexos práticos e concretos para a realidade dos negócios e empresas brasileiras.
O debate assume contornos mais amplos, inclusive, a partir da perspectiva política adotada. Se alguém assume uma perspectiva libertariana (como leituras a partir de Robert Nozick ou Ayn Rand), certamente o Estado não estaria autorizado à implementar tais medidas em uma perspectiva jurídica e legal (ainda que por meio de contratos privados sim). Se, por outro lado, alguém assume uma perspectiva liberal (como leituras a partir de John Rawls), talvez pudesse interpretar as disposições da LGPD e a sua necessária integração com GRC como medidas político-jurídicas com a igualdade social de background. Ou, se alguém assume uma perspectiva kantiana ou habermasiana (Immanuel Kant e Jürgen Habermas), talvez poderia encontrar formas de conciliação ou consenso. Fato é que a discussão e os impactos da LGPD não ficam circunscritos somente a grupos específicos de profissionais ou um mercado (especialmente porque a lei atinge todos os portes e tipos de negócios) e, ao que tudo indica, não é apenas uma questão ética em seu sentido estrito. Se isso for assim mesmo - e ao menos a LGPD, que está vigente, assim o trata - então ainda temos muito o que fazer.