quarta-feira, 13 de março de 2019

Fundos de Pensão: A proteção de dados pessoais na previdência complementar


A maior preocupação que parece atingir, dentre outros, as empresas, associações, entidades, sindicatos, operadoras de saúde, diante da entrada em vigor, em 2020, da Lei Geral de Proteção de Dados (“LGPD”) – Lei n.º 13.709, de 14 de agosto de 2018 – é a relacionada a imposição de penalidades. Afinal, as multas são elevadas para aqueles que infringirem as normas de proteção de dados pessoais, podendo chegar a 50 milhões de reais por infração.

Claro que a preocupação com as penalidades é natural, mas o objetivo principal da LGPD é o de estimular a governança da segurança da informação. Na governança não estão apenas contemplados os aspectos que se relacionam ao tratamento e à preservação dos dados pessoais, mas também os que se relacionam à gestão interna, ao cumprimento das responsabilidades legais e regulatórias, a qualidade do tratamento de dados e seus limites, ao ambiente organizacional no qual haverá o tratamento de dados pessoais.

A entidade de previdência complementar, seja fechada, seja aberta, lida, na gestão dos planos de benefícios, com os dados pessoais de um número muito grande de pessoas, participantes desses planos de benefícios que ela administra.

O dado pessoal abrange toda informação relacionada à pessoa natural identificada ou identificável, sendo que pelo enquadramento indicado na Lei n.º 13.709, de 2018, o dado pessoal também pode ser caracterizado como sensível quando relativo à origem racial ou ética, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico.

Ao receber os dados pessoais dos participantes dos planos de benefícios que administra, inclusive os caracterizados como sensíveis, tal como ocorre com dados biométricos, a entidade de previdência complementar os trata durante todo o período em que está vigente o contrato de previdência complementar, o qual, em geral, tem longo duração. De acordo com o disposto na LGPD o tratamento de tais dados pessoais alcança toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração. Ou seja, o tratamento de dados pessoais é, de fato, muito abrangente.

Ao dirigente de entidades de previdência complementar, dentre todas as outras responsabilidades que já possui, vez que administra a poupança previdenciária de terceiros, em regime de confiança, terá que ser acrescentado também o devido e rotineiro acompanhamento da forma de tratamento dos dados pessoas dos participantes e também dos beneficiários dos planos de benefícios que estiverem sob a sua administração.

Cabe ao dirigente de entidade de previdência complementar estabelecer, em conjunto com seus pares, as regras de governança que regerão a segurança da informação, incluindo a proteção de dados pessoais, aprovando regulamentos, políticas e normas internas que consolidem e implantem, as boas práticas de governança de dados, tomando como fundamentos os listados na LGPD, quais sejam: o respeito à privacidade, a autodeterminação informativa, a liberdade de expressão, de informação, de comunicação e de opinião, a inviolabilidade da intimidade, da honra e da imagem, o desenvolvimento econômico e tecnológico e a inovação, a livre iniciativa, a livre concorrência e a defesa do consumidor e os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.

Outro elemento importante que não deve ficar de fora do controle contínuo do dirigente de entidade de previdência complementar, é a forma mediante a qual será obtido o consentimento dos participantes e dos beneficiários dos planos de previdência complementar para o tratamento de seus dados pessoais pela entidade. O consentimento deve se dar por manifestação livre, informada e inequívoca, de modo a demonstrar que o titular dos dados pessoais concorda com o tratamento de seus dados para uma finalidade determinada.

No contrato de previdência complementar deverá haver cláusula destacada para o tratamento dos dados pessoais dos participantes e dos beneficiários dos planos de benefícios, lembrando, ainda, que quando o tratamento de dados pessoas for condição para o fornecimento do serviços, como ocorre na prestação de benefícios de previdência complementar, o titular dos dados pessoais deverá ser informado, com destaque, acerca desse fato e também os meios pelos quais exercerá os seus direitos, listados no artigo 18, da LGPD.

Evidentemente, as regras para o tratamento de dados pessoais não são triviais e devem envolver todas as áreas da entidade de previdência complementar, exigindo o seu aparelhamento e até mesmo, em determinadas situações, o recadastramento dos participantes e beneficiários dos planos de benefícios.

Não há dúvida de que o dirigente de entidade de previdência complementar terá que acompanhar continuamente a observância pela entidade das regras internas de segurança da informação que vierem a ser aprovadas, mesmo porque além das temidas sanções administrativas, também poderá haver a responsabilização por eventual dano patrimonial, moral, individual ou coletivo que decorra da violação das normas que regem a proteção de dados pessoais, inclusive com a inversão do ônus da provas, como ocorre nas ações que envolvem o Código de Defesa do Consumidor.

Atualmente, a entidades de previdência complementar já enfrentam uma forte judicialização relacionada aos planos de benefícios que administram, a qual, infelizmente, poderá se agravar se não houver o devido tratamento dos dados pessoais dos participantes e dos beneficiários dos planos de benefícios. Tal cenário ainda se intensifica quando a entidade também opera planos de saúde. Este caso específico será tratado em outro artigo.

Fonte: Ana Paula Oriola De Raeffray e Estadão (09/03/2019)

Nenhum comentário:

Postar um comentário

"Este blog não se responsabiliza pelos comentários emitidos pelos leitores, mesmo anônimos, e DESTACAMOS que os IPs de origem dos possíveis comentários OFENSIVOS ficam disponíveis nos servidores do Google/ Blogger para eventuais demandas judiciais ou policiais".