Pesquisa realizada pela fundação Dom Cabral¹ aponta que houve aumento na busca, por parte de entidades que tratam dados pessoais, pela conformidade com a Lei Geral de Proteção de Dados Pessoais. A esta verificação de conformidade, dá-se o nome de Compliance, que pode ser direcionado a toda e qualquer área – interna ou externa – de atuação de uma instituição. “No âmbito institucional e corporativo, o compliance tem sido definido como o conjunto de disciplinas introduzidas na empresa para fazer cumprir normas legais e regulamentares, políticas e diretrizes estabelecidas para as suas atividades, bem como ferramentas para evitar, detectar e tratar qualquer desvio ou inconformidade nela existente"².

Para a implantação do Programa de Compliance, uma das ferramentas utilizadas é o processo de Due Diligence, que visa buscar informações sobre outras organizações com as quais a empresa tem intenção de se relacionar³. No mundo corporativo, o processo de Due Diligence é utilizado nos casos de venda ou aquisição de um negócio; na captação de recursos para financiar projetos de longa duração; na elaboração de planos de liquidação de uma empresa e na hipótese de seu fechamento; iniciando-se no período de entendimentos iniciais entre as partes interessadas no negócio, ou seja, fase pré-contratual.

Via de regra, o processo de Due Diligence é composto por três etapas⁴:

1. pesquisa independente
2. envio de formulário solicitando informações e documentos (neste caso evidências das afirmações contidas no questionário)
3. visita in loco e entrevistas

O resultado desse processo é um importante insumo para o mapeamento, estruturação e análise de risco organizacionais sobre as informações coletadas, criando assim uma base de conhecimento de apoio aos gestores na tomada de decisão acerca da negociação pretendida e na gestão dos contratos oriundos destas relações.

Dados pessoais

Na área de tratamento de dados pessoais, temos observado que uma parcela de agentes de tratamento tem enviado questionários com a denominação de “Questionário de Due Diligence” a outros agentes com quem pretendem se relacionar no tratamento de dados pessoais. Esse questionário contém perguntas básicas sobre adequação à LGPD, porém não no intuito de analisar as informações e conhecer melhor o outro agente, mas sim de deixar registrada a resposta para futuros questionamentos, caso ocorra algum incidente. Ou seja, se o agente que se pretende contratar responde sim ou não os quesitos, e em alguns casos sem evidências que corroborem tais informações, a responsabilidade passou a ser dele, deixando a empresa que fez a consulta em uma situação confortável.

No entanto, deve-se ter em mente que não é suficiente enviar um questionário de Due Diligence e arquivar as informações ali registradas como “salvo condutos” de exclusão de responsabilidade. Nessa situação hipotética, o desvirtuamento do processo poderá causar danos irreparáveis ao agente consultor, isto porque as informações coletadas no questionário e os documentos juntados pelo agente de tratamento consultado não têm valor se não houver uma análise dessas informações, com o intuito de verificar os riscos decorrentes dessa contratação.

"Não devemos confundir informação com conhecimento. Informação é base para o conhecimento [...]. A única possibilidade de transformar informação em conhecimento é a elaboração de critérios, de seletividade para que tudo aquilo que se aprendeu não sirva apenas como mera informação, mas tenha uma aplicabilidade, seja como ferramenta ou instrumento analítico"⁵.

Entendemos que os questionários de Due Diligence são aliados eficientes quando aplicados de forma diligente. Quando são parte de um fluxo planejado e documentado, ajudam a identificar eventuais discrepâncias ou riscos; e devem ter medidas de ajustes/correção para fortalecer um ambiente responsável a que os agentes de tratamento estão submetidos, passando confiança ao titular que seus dados são tratados com responsabilidade ao longo da cadeia do fluxo informacional.

Desta forma, aplicar diligentemente mecanismos de Due Diligence aos parceiros comerciais no tratamento de dados pessoais demonstra atenção aos princípios da boa fé, segurança, prevenção, responsabilização e prestação de contas previstas no art. 6° da LGPD. O estabelecimento dessas regras de boa prática e de governança no tratamento de dados pessoais é um importante “aliado” para a conformidade.

_________________

Sobre o autor

Ednaldo Lúcio dos Santos Júnior é graduado em Tecnologia de Processamento de Dados; pós-graduado em engenharia de software pela Universidade Federal do Rio Grande do Sul; bacharel em Direito e pós-graduando em Compliance.

Possui Curso de Proteção de dados pela Legal Thics Compliance – LEC (2018); de consultor em Compliance, Privacidade e Proteção de Dados Pessoais (Curso General Data Protection Regulation e Lei de Proteção de Dados Pessoais: Implementando a conformidade em empresas e órgãos públicos), Pelo Instituto de Perícias Digitais – IPDIG (2019); curso Privacy and Data Protection Foundation - IT Partner Treinamento e Consultoria (2019); certificado pela ABNT em Lead Implementer para a Gestão da Privacidade da Informação (Baseado na ABNT NBR ISO/IEC 27701:2019). Atualmente é mestrando em Direito na Universidad Europea del Atlántico da Espanha - Uneatlantico.

_______________

Referências

(1) https://www.fdc.org.br/Documents/LGPD_-_Relatorio_de_Pesquisa.pdf - Acessado em 09/08/2022 2 BENEDETTI.

(2) Carla Rahal – Criminal Compliance: Instrumento de Prevenção de Crime Corporativo e Transferência de Responsabilidade Penal – São Paulo; Quartier latin editora, 2014., pag. 80.

(3) CASTRO, Rodrigo Pironti Aguirre de – Compliance e gestão de riscos nas empresas estatais – 2 ed. - Belo Horizonte: Fórum, 2019, pag. 139.

(4) ASSI, Marcos, HANOFF, Roberta Volpato - Compliance: como implementar - São Paulo: Trevisan Editora, 2018, p. 80.

(5) CORTELLA, Mario Sergio https://crasp.gov.br/admpro//site/entrevistas/nao-devemos-confundir-informacao-com-conhecimentoacessado em 9/06/2022.