Por Ellen Carolina Silva*
Artigo publicado originalmente no Estadão
Desde a publicação em 2005 do relatório Who Cares Wins – uma iniciativa conjunta desenvolvida pelo Pacto Global da Organização das Nações Unidas (ONU) com diversas instituições financeiras – a sigla “ESG” que em português significa “ASG” (ambiental, social e governança) vem ganhando destaque. Esse termo incorpora em si um conjunto de princípios que refletem uma governança corporativa comprometida não apenas em monitorar o impacto dos negócios, mas também em promover ampla preservação ambiental e desenvolvimento social por empresas que pretendem ser reconhecidas como organizações responsáveis e preocupadas com os grandes problemas mundiais.
Nesse sentido, práticas que prejudiquem o meio ambiente, violam direitos sociais e empresas que não possuam o mínimo de governança ficam fora do debate e terão gradativamente seu valor de mercado diminuído já que a análise desses critérios está sendo cada vez mais utilizado por investidores que optam por alocar seu capital apenas em corporações que possuem os três elementos considerados e aplicados em suas atividades. Esse assunto tem ganhado espaço no mundo todo e no Brasil ganhou mais destaque após o lançamento, em setembro de 2020, do primeiro índice ESG pela B3, denominado S&P/B3 Brasil ESG que traz uma lista de recomendações de empresas focadas nas boas práticas ambientais, sociais e de governança corporativa.
Essas recomendações possuem caráter não financeiro e incluem no aspecto da governança corporativa a adequação às normas previstas na Lei 13.709/2018 – Lei Geral de Proteção de Dados – especialmente no tocante a adoção de programas de governança de proteção de dados pessoais. Dessa forma, a análise do índice reputacional das empresas estará necessariamente ligado também, à análise de riscos em relação ao nível de governança de dados pessoais que a corporação possui.
O principal ponto de destaque das legislações que tratam de dados pessoais e aqui podemos mencionar não apenas a Lei Geral de proteção de dados europeia (General Data Protection Regulation – GDPR) ou a brasileira (LGPD) é proporcionar ao indivíduo o exercício da sua autodeterminação informativa, ou seja, o exercício e o poder de determinar quais as corporações poderão utilizar seus dados pessoais e para qual finalidade.
Isso demanda em contrapartida ações das corporações no sentido de manterem uma relação de confiança e transparência quanto ao tratamento de seus dados. Se há, por exemplo, coleta e armazenamento de dados pessoais, é importante que se dê transparência de como e para que esses dados serão utilizados, quais os procedimentos utilizados pela empresa para protege-lo e acima de tudo garantir que esse tratamento seja feito de forma legal, ética e segura. Deve haver por parte das corporações, politicas estruturadas que evitem ou até mesmo minimizem incidentes de segurança que podem afetar negativamente a reputação das empresas.
A LGPD é sem dúvida um componente dessa governança corporativa. Não foi à toa que a lei recomendou em seu artigo 50 a necessidade de implementação pelas empresas de um programa de governança em privacidade que inclui dentre outros aspectos o estabelecimento de uma relação de segurança com o titular de dados por meio de uma atuação transparente e que assegure mecanismos de participação dos titulares de dados. Este programa envolve princípios de privacidade e conforme artigo 46 da lei exigem procedimentos de proteção de dados ao determinar que as corporações deverão adotar medidas técnicas, de segurança e administrativas aptas a proteger os dados de quaisquer incidentes ou tratamentos ilícitos e inadequados.
Como exemplo de práticas que devem ser evitadas pelas empresas quando se trata de adequação a LGPD está a adoção de mecanismos tecnológicos como aqueles que avaliam crédito ou que permitem a tomada de decisões automatizadas e que criam na sua execução algum tipo de discriminação dos titulares. De acordo com a LGPD as empresas devem procurar desenvolver ou utilizar mecanismos tecnológicos que garantam segurança e um grau de controle para mitigar riscos esse tipo de risco. Havendo comprovação de que os mecanismos tecnológicos utilizados pela empresa discriminem de forma abusiva os indivíduos, isso pode constituir pratica ilícita e como tal não estaria adequada a governança prevista na LGPD.
Quem pensa em ESG, deve, portanto, levar a LGPD a sério. Não basta criar procedimentos superficiais que dão a impressão de atender a legislação, mas que não tem profundidade e não implementam as questões de infraestrutura e dispositivos de segurança da informação necessários ao modelo de governança para a privacidade e proteção de dados. É preciso ter cuidado já que a privacidade e proteção de dados são direitos do cidadão e uma prática empresarial que veio para ficar.
Talvez demore mais do que se deseja, mas essa adequação já vem sendo exigida não só por conta de possíveis sanções da ANPD – Autoridade Nacional de Proteção de Dados – mas porque o mercado passou a se preocupar e selecionar parceiros preocupados com esse conceito e com a sua efetiva implementação. O que antes parecia uma informação adicional, passou a ser um critério importante para se identificar se determinada empresa tem perspectiva de lucro em meio a novas tecnologias e exigências sociais cujos reflexos são sentidos pelo mercado.
Parece um lugar comum afirmar que investir na conformidade com a LGPD é um bom negócio e dá retorno, mas essa é realidade. O valor das empresas pode ser impactado diretamente pelo cumprimento das normas relativas à proteção de dados e por essa razão, projetos de adequação a LGPD que endereçam esses pontos é assunto que deve entrar na pauta das empresas e ser tratado com prioridade.
Por fim, é importante levar a sério o processo de adequação e fazer da privacidade e proteção de dados não somente um discurso, mas de fato um valor de verdade para o negócio que vai beneficiar não apenas as próprias corporações, mas seus investidores, clientes e toda a sociedade.
*Ellen Carolina Silva, advogada, especialista em LGPD, sócia do Luchesi Advogados