Em 18 de agosto do ano passado foi publicada a Lei nº 13.709, a Lei Geral de Proteção de Dados Pessoais (LGPD), cuja maioria das disposições entra em vigor em agosto de 2020.
Agora, já tendo digerido um pouco melhor as suas diretrizes, considera-se importante ressaltar alguns pontos fundamentais que podem vir a impactar os players do mercado de valores mobiliários.
A LGPD definiu três categorias de dados (pessoais, sensíveis e anonimizados), e essas classificações servem de baliza para o nível de cuidado que os agentes de tratamento de dados devem ter em relação a cada classificação. Para fins da LGPD, o agente de tratamento de dados é toda pessoa natural ou jurídica que tenha acesso a dados de terceiros, salvo o acesso para fins particulares e não econômicos e, ainda, aqueles obtidos exclusivamente para fins jornalísticos, artísticos, acadêmicos, segurança pública, defesa nacional, segurança do Estado ou atividade de investigação e repressão de infrações penais. Estão excluídos igualmente da proteção da Lei os dados provenientes do exterior.
De acordo com a categorização dos dados, são “Anonimizados” aqueles que cujo titular não pode ser identificado, mesmo que se use meios técnicos razoáveis para tal; “Pessoais” são todos aqueles relacionados a pessoa natural identificada ou identificável; e “Pessoais Sensíveis” são os dados Pessoais que versam sobre “origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico”.
Interessante notar aqui que, para cumprimento dos procedimentos de prevenção à lavagem de dinheiro (“PLD”) e Know Your Client exigidos pela Comissão de Valores Mobiliários (“CVM”) e Associação Brasileira das Entidades dos Mercados Financeiro e de Capitais (“ANBIMA”), é esperado que o player colete informação de seus clientes relativa a eventual filiação a organizações de caráter filosófico ou político, o que, nesse caso, ensejará a classificação do dado como Pessoal Sensível, atraindo os controles decorrentes dessa classificação, nos termos da LGPD.
Assim, considerando a natureza dos serviços prestados pelos participantes do mercado regulados pela CVM, o tratamento de dados pessoais, nos termos da LGPD, pode ser realizado tanto para cumprimento de obrigação legal ou regulatória, quanto para o exercício de direitos ou interesses legítimos do agente de tratamento de dados.
Além disso, há a hipótese de consentimento do titular para uso da informação, provavelmente o caso com o qual as instituições se depararão mais frequentemente. Esse consentimento deverá ser passível de demonstração, mediante aderência do cliente a algum tipo de termo de autorização que contenha cláusula destacada informando sobre o consentimento de forma específica às finalidades determinadas. Neste caso, ainda, o titular deve ter garantido seu direito à revogação do consentimento. Além disso, o controlador (pessoa a quem compete as decisões de tratamento de dados) será responsável por tomar todas as providências necessárias à facilitação do acesso do titular aos seus dados.
Diante do explicitado, o primeiro passo para atendimento à LPGP pelos participantes do mercado consiste justamente na identificação das informações coletadas dos investidores e classificação desta informação de acordo com os critérios outorgados pela LGPD. Na sequência, é importante que os players tracem seus objetivos com relação ao tratamento de dados pessoais e adotem, na documentação coletada junto aos investidores, bem como em todos os meios pelos quais dados Pessoais sejam coletados, a cláusula específica de que trata a LGPD sobre o consentimento do cliente e finalidade da coleta.
A LGPD também cria a obrigação de comunicar à autoridade nacional de Proteção de Dados Pessoais “sempre que ocorrer incidente de segurança (segundo o Art. 46 da citada Lei, “acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito”) que possa acarretar risco ou dano relevante aos titulares”. Rotina que, por sua vez, recomendamos que seja incluída nas políticas internas que versam sobre controles internos, cibersegurança e/ou plano de continuidade de negócios, conforme o caso, inclusive com indicação da pessoa responsável por fazer essa comunicação. Ainda, interessante notar que a própria LGPD sugere a formulação de uma política de segurança, o que pode estar contido em um dos documentos já existentes.
Mais um ponto interessante, é que, pela definição da Lei de “transferência internacional de dados”, mesmo a contratação de serviços de armazenamento de dados em um servidor na nuvem pode ensejar uma transferência internacional de dados. Nesse sentido, recomenda-se que sejam reavaliados todos os prestadores de serviços relacionados à tecnologia da informação utilizados, para que esses estejam em acordo com os requisitos estabelecidos pelo Art. 33 da LGPD, ou que se colete o consentimento do titular também com destaque para a transferência, indicando o caráter e finalidade dessa.
Outra sugestão que se considera elementar é que os treinamentos internos das instituições contem com uma seção especial para orientação da equipe com relação ao tratamento de dados pessoais, incluindo também uma revisão dos contratos e políticas da casa. Caso a instituição tenha contrato com empresa que forneça serviços de tratamento de dados, é imprescindível um alinhamento dos objetivos desses serviços, de modo que isso conste nas cláusulas específicas.
Aproveita-se para lembrar que a CVM está conduzindo a Audiência Pública SDM 05/2018, atualmente em fase de análise, que deve implementar novos artigos relacionados a segurança das informações, a qual se espera que dê maior grau de concretude aos princípios trazidos pela LGPD. Dentro de suas esferas de competência, o Banco Central e o Conselho Monetário Nacional também podem vir a publicar atos normativos em linha com a LGPD ou para melhor definição dos procedimentos a serem seguidos pelas instituições, até a efetiva vigência da lei.