A Ouvidoria é um canal de comunicação direto entre o cidadão e as organizações e pode ser um potente instrumento da implementação da Lei Geral de Proteção de Dados Pessoais ( Lei nº 13.709/2018).
A palavra Ouvidor surgiu a partir de Ombudsman, expressão de origem nórdica, a qual resulta da junção da palavra ombud, que significa "representante","procurador", com a palavra man "homem".
A palavra em sua forma original foi adotada em vários países, assumindo denominação própria em outros países de origem Hispânica, Defensor Del Pueblo, França, Médateur e Portugal, Provedor de Justiça.
Ouvidor é a denominação predominante no setor público e Ombudsman, predominante no setor privado.
Assim, a ouvidoria no Brasil foi inspirada no modelo de ombudsman da Suécia, criado há mais de 200 anos, e se fortaleceu com a constituição de 1988, que vivamente incrementou níveis de participação democrática do cidadão/consumidor.
Atuando como mediador, o ouvidor valoriza as pessoas, facilita a comunicação, possibilitando um diálogo pacífico ensejando que as próprias partes encontrem uma solução satisfatória para o conflito.
Nesse diapasão, a ouvidoria comprometida com a transparência e ética estabelece uma ponte entre as instituições e o cidadão visando a eficiência do serviço -- situação que agrada ao usuário e só pode ser prestada por uma instituição comprometida e aparelhada para esta destinação.
A ouvidoria assim deve ter um duplo "olhar" visando a garantia dos direitos do usuário e velar pela funcionalidade da instituição de modo a cumprir seus objetivos.
Assim, a ouvidoria tem a finalidade de mediar as relações entre as pessoas e as organizações. Tem por propósito conhecer o grau de satisfação do usuário, buscar soluções para as questões levantadas, oferecer informações gerenciais e sugestões aos dirigentes da empresa ou do órgão, visando o aprimoramento dos seus produtos ou dos serviços prestados, contribuindo para a melhoria dos processos administrativos e das relações interpessoais com seus públicos, interno e externo.
No âmbito interno, o ouvidor é um mediador de interesses (por vezes conflituosos), defensor das relações éticas e transparentes, que busca soluções junto às áreas da organização, sensibilizando os dirigentes e recomendando mudanças em processos de melhorias contínuas, influenciando os gestores para que a organização tome a decisão mais correta e de acordo com os direitos dos cidadãos.
São funções complementares pois, vale ressaltar, instituições aparelhadas e comprometidas prestam serviços adequados e ocasionam a satisfação do usuário, comprovando-se a maturidade e funcionalidade do sistema que, mesmo em controvérsias decorrentes desta relação, estas tem resolução por meios pacíficos e autocompositivos, reservando-se a discussão judicial como exceção e não, regra.
Nesse sentido, a ouvidoria é um valioso instrumento na solução dos conflitos vez que esses institutos além de instrumentos voltados para o tratamento consensual dos conflitos, fortalecem a cultura da paz, do diálogo e da busca pela cidadania, já que analisam o problema, possibilitando uma conversa entre as partes e, consequentemente, a administração das controvérsias.
Valendo-se de técnicas de mediação e servindo como poderoso instrumento estratégico, as ouvidorias procuram estabelecer um canal ágil e direto de comunicação entre as pessoas, o cliente e a empresa, o cidadão e o órgão público, o trabalhador e o seu sindicato, o associado e sua entidade, o profissional e o seu conselho, o usuário e o concessionário.
Desenvolvendo a cultura do entendimento, as ouvidorias centram esforços na eficiência e qualidade dos serviços prestados reafirmando a missão primeira das Instituições.
Desta forma, as ouvidorias objetivam abandonar a cultura do litígio, dando oportunidade à cultura do diálogo, condição fundamental para a solução dos conflitos ocorridos na relação dos cidadãos com as instituições sejam elas públicas ou privadas, de modo a incentivar o entendimento, a construção de soluções por parte dos envolvidos no conflito sedimentando a paz e a cidadania, condições essenciais para o desenvolvimento de uma sociedade.
A Lei Geral de Proteção de Dados Pessoais (Lei n. 13.709/2018)
Com o crescimento exponencial da utilização de dados pessoais tanto pelo setor privado como pelos órgãos públicos, surgiram no mundo várias legislações visando à tutela da proteção de dados pessoais.
O Brasil possuía uma série de normas setoriais sobre o assunto, com dispositivos que podem ser aplicados à proteção de dados espalhados pela Constituição Federal, Código de Defesa do Consumidor, Código Civil, Lei de Acesso à Informação, Lei do Cadastro Positivo e Marco Civil da Internet.
Esse cenário possibilitou a edição da Lei n. 13.709/2018, conhecida como Lei Geral de Proteção de Dados Pessoais - LGPD, que dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
Além de ser a primeira lei geral nacional sobre o tema, a importância da LGPD está na apresentação de regras para o tratamento de dados pessoais.
Essas regras vão desde os princípios que disciplinam a proteção de dados pessoais, passando pelas bases legais aptas para justificar o tratamento de dados, até a fiscalização e a responsabilização dos envolvidos no tratamento de dados pessoais.
A LGPD também prevê a possibilidade de a pessoa natural a quem se referem os dados pessoais requerer informações como a confirmação da existência de tratamento dos seus dados pessoais, o acesso aos dados, a correção de dados incompletos, a eliminação de dados desnecessários e a portabilidade de dados pessoais a outro fornecedor de produtos e serviços.
Nesse diapasão, a atribuições funcionais da Ouvidorias mantém profunda pertinência com a efetiva aplicação da Lei Geral de Proteção de Dados Pessoais.
A Ouvidoria é um órgão estratégico um poderoso instrumento para a transformação institucional permanente, favorecendo mudanças e ajustes em suas atividades e processos, em sintonia com as demandas da sociedade, ou seja, um caminho efetivo na busca da qualidade, da transparência e da efetividade da cidadania.
Analisemos os principais conceitos envolvidos no nosso Normativo sobre a Proteção de Dados Pessoais.
Considera-se titular de dados pessoais é a pessoa natural a quem se referem os dados pessoais que são objeto de tratamento (art. 5º, V, da LGPD).
O titular de dados pessoais possui vários direitos, que estão enumerados no artigo 18 da LGPD e descritos a seguir.
- Confirmação da existência de tratamento
O titular dos dados pessoas tem o direito de saber se os seus dados pessoais são coletados, produzidos, receptados, classificados, utilizados, acessados, reproduzidos, transmitidos, distribuídos, processados, arquivados, armazenados, eliminados, avaliados ou controlados, modificados, comunicados, transferidos, difundidos ou extraídos pelo controlador.
- Acesso aos dados
A depender do caso, o titular dos dados pessoais pode ter acesso aos seus dados pessoais que são tratados pelo controlador.
- Correção de dados incompletos, inexatos ou desatualizados
Caso o titular tenha dados pessoais tratados pelo controlador, aquele detém o direito de solicitar a correção de dados eventualmente incompletos, que não sejam exatos ou que estejam desatualizados, como, por exemplo, o endereço ou o estado civil.
- Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD
Anonimização é a utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo (art. 5º, XI, da LGPD).
Esses direitos devem ser implementados pelo Controlador
O controlador é a pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais (art. 5º, VI, da LGPD).
Se o titular dos dados pessoais entender que o controlador efetua o tratamento de dados pessoais desnecessários, excessivos ou em desconformidade com a LGPD, aquele tem o direito de solicitar que os seus dados pessoais sejam anonimizados, bloqueados ou, até mesmo, eliminados dos sistemas e bases de dados do controlador.
- Portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comerciais e industriais
Portabilidade é a possibilidade de o titular de dados pessoais receber os seus dados pessoais do controlador, de forma estruturada, para que possa transferi-los para outro controlador.
A portabilidade diz respeito unicamente aos dados pessoais do titular, devendo ser preservados eventuais segredos comerciais e industriais do controlador.
- Eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no artigo 16 da LGPD
Há determinadas circunstâncias em que o titular dos dados pessoais autoriza o tratamento dos seus dados mediante consentimento.
O consentimento é a manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento dos seus dados pessoais para uma finalidade determinada (art. 5º, XI, da LGPD).
Nos casos em que o tratamento de dados pessoais ocorre mediante consentimento, o titular pode requerer a sua eliminação, ou seja, que os seus dados pessoais sejam apagados.
O pedido, entretanto, não poderá ser atendido quando se estiver diante das hipóteses do artigo 16 da LGPD, ou seja, quando se tratar de tratamento de dados pessoais tratados com base em:
a) cumprimento de obrigação legal ou regulatória pelo controlador;
b) estudo por órgão de pesquisa, devendo ser garantida, sempre que possível, a anonimização dos dados pessoais;
c) transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos na LGPD; ou
d) uso exclusivo do controlador, vedado o seu acesso por terceiro, e desde que anonimizados os dados.
- Informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados
O compartilhamento de dados pessoais entre entidades públicas e privadas é uma prática comum e muitas vezes necessária para a prestação de serviços.
O titular dos dados pessoais possui o direito de solicitar ao controlador informações sobre o compartilhamento dos seus dados com outras entidades, públicas ou privadas.
- Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa
Conforme visto anteriormente, o consentimento é a manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento dos seus dados pessoais para uma finalidade determinada.
Sempre que for apresentada ao titular a possibilidade de autorizar o tratamento dos seus dados pessoais mediante consentimento, o titular possui o direito de ser informado sobre se ele pode ou não fornecer o seu consentimento e, principalmente, quais as consequências de não fornecer o consentimento.
- Revogação do consentimento, nos termos do § 5º do artigo 8º da LGPD
Sendo o consentimento a manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento dos seus dados pessoais para uma finalidade determinada, ele pode ser revogado pelo titular dos dados pessoais.
O consentimento pode ser revogado a qualquer momento mediante manifestação expressa do titular, por procedimento gratuito e facilitado, ratificados os tratamentos realizados sob amparo do consentimento anteriormente manifestado enquanto não houver requerimento de eliminação (art. 8º, § 5º, da LGPD).
- Peticionar em relação aos seus dados contra o controlador perante a autoridade nacional
A Autoridade Nacional de Proteção de Dados - ANPD é um órgão da administração pública federal, integrante da Presidência da República, a quem cabe, entre outras atribuições, zelar pela proteção dos dados pessoais e fiscalizar e aplicar sanções em caso de tratamento de dados realizado em descumprimento à legislação, mediante processo administrativo que assegure o contraditório, a ampla defesa e o direito de recurso.
O titular de dados pessoais pode peticionar contra o controlador perante a ANPD, desde que comprove a apresentação de reclamação ao controlador não solucionada no prazo estabelecido em regulamentação (art. 55-J, V, da LGPD).
Assim, é importante que o titular dos dados pessoas, primeiramente, apresente reclamação perante o controlador para, somente em caso do não atendimento da sua reclamação, se dirigir à ANPD.
- Oposição ao tratamento realizado com fundamento em uma das hipóteses de dispensa de consentimento, em caso de descumprimento ao disposto na LGPD
A LGPD prevê dez bases legais para o tratamento de dados pessoais.
Uma delas é o consentimento.
As outras nove estão dispostas no artigo 7º da LGPD e são, em resumo:
a) para o cumprimento de obrigação legal ou regulatória pelo controlador;
b) pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas;
c) para a realização de estudos por órgão de pesquisa;
d) quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular;
e) para o exercício regular de direitos em processo judicial, administrativo ou arbitral;
f) para a proteção da vida ou da incolumidade física do titular ou de terceiro;
g) para a tutela da saúde, exclusivamente em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
h) quando necessário para atender aos interesses legítimos do controlador ou de terceiro; e
i) para a proteção do crédito.
Quando o tratamento de dados pessoais estiver em desconformidade com a LGPD e ocorrer com base em uma dessas nove bases legais, o titular de dados pode se opor ao tratamento dos seus dados pessoais.
A pertinente correlação entre o Ouvidor e a figura do Encarregado prevista na LGPD.
De acordo com a LGPD, o Encarregado é a pessoa indicada pelo controlador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).
O Encarregado deve:
- Receber as reclamações e comunicações dos titulares, responder e adotar providências;
- Receber as comunicações da ANPD e adotar as providências necessárias;
- Orientar todos os colaboradores da instituição sobre as práticas a serem tomadas em relação à proteção de dados pessoais; e
- Executar outras atribuições determinadas pelo controlador ou estabelecidas em normas complementares estabelecidas pela ANPD.
Tais atribuições do Encarregado encontram total pertinência com as funções inerentes à Ouvidoria,
Vale ressaltar que o perfil da Ouvidoria na elaboração e implementação de Boas Práticas de Segurança e Governança (art. 46 a 51 da LGPD)
Em conformidade com os princípios da LGPD e com as boas práticas de segurança da informação e de proteção de dados pessoais, deve ser garantia que os dados pessoais serão tratados de forma íntegra e segura, de acordo com padrões de segurança da informação, confidencialidade e integridade pelo tempo for necessário para realizar as finalidades para as quais foram coletados ou para cumprir com os requerimentos legais aplicáveis.
Assim, a Ouvidoria exercerá uma valiosa ação propositiva com as seguintes contribuições:
I - elaborar plano de ação que contemple, no mínimo, os seguintes tópicos:
a) organização e comunicação;
b) direitos do titular;
c) gestão de consentimento;
d) retenção de dados e cópia de segurança;
e) contratos;
f) plano de respostas a incidentes de segurança com dados pessoais;
II - disponibilizar, nos sítios eletrônicos, de forma ostensiva e de fácil acesso aos usuários:
a) informações básicas sobre a aplicação da Lei Geral de Proteção de Dados aos tribunais, incluindo os requisitos para o tratamento legítimo de dados, as obrigações dos controladores e os direitos dos titulares;
b) formulário para exercício de direitos dos titulares de dados pessoais;
III -elaborar ou adequar, bem com publicar nos respectivos sítios eletrônicos, de forma ostensiva e de fácil acesso aos usuários:
a) a política de privacidade para navegação no website da instituição em relação à Lei Geral de Proteção de Dados Pessoais e ao art. 7º, VIII, da Lei nº 12.965/2014 (Marco Civil da Internet);
b) os registros de tratamentos de dados pessoais contendo, entre outras, informações sobre:
1) finalidade do tratamento;
2) base legal;
3) descrição dos titulares;
4) categorias de dados;
5) categorias de destinatários;
6) transferência internacional;
7) prazo de conservação;
8) medidas de segurança adotadas;
9) a política de segurança da informação
Algumas necessárias palavras sobre Compliance com a Proteção de Dados Pessoais e sua necessária complementariedade com a Ouvidoria.
Vem do verbo em inglês "to comply" que significa "cumprir, executar, satisfazer, realizar o que lhe foi proposto" ou seja, compliance é o dever de cumprir, estar em conformidade e fazer cumprir regulamentos internos e externos impostos às atividades da instituição.
"Estar em Compliance" é conhecer as normas da organização, seguir os procedimentos recomendados, agir em conformidade e sentir quanto é fundamental a ética e a idoneidade em todas as nossas atitudes.
Na visão de um órgão regulador, o propósito da área de compliance, em linhas gerais, é assistir os gestores no gerenciamento do risco de compliance, que pode ser definido como o risco de sanções legais ou regulamentares, perdas financeiras ou mesmo perdas reputacionais decorrentes da falta de cumprimento de disposições legais, regulamentares, códigos de conduta etc.
No entanto, compliance vai além das barreiras legais e regulamentares, incorporando princípios de integridade e conduta ética.
Deve-se ter em mente que, mesmo que nenhuma lei ou regulamento seja descumprido, ações que tragam impactos negativos para os cidadãos, acionistas, clientes, empregados etc podem gerar risco reputacional e publicidade adversa, colocando em risco a continuidade de qualquer atividade.
O compliance deve começar pelo "topo" da organização.A sua efetividade está diretamente relacionada à importância que é conferida aos padrões de honestidade e integridade e às atitudes dos executivos que devem "liderar pelo exemplo".
Para qualquer instituição, confiança quanto à Proteção de Dados Pessoais é um positivo diferencial institucional.
Em geral, as leis tentam estabelecer controles e maior transparência, mas estar em conformidade apenas com as leis não garante um ambiente totalmente em compliance.
É preciso que todos os colaboradores trabalhem com ética e respeito à Proteção de Dados Pessoais.
Esse Compliance executa tais atividades de forma rotineira e permanente, monitorando-as para assegurar, de maneira sistêmica e tempestiva, que as diversas unidades da instituição estejam respeitando as regras aplicáveis a cada negócio, ou seja, cumprindo as normas e os processos internos para prevenção e controle dos riscos envolvidos em cada atividade.
O encarregado de Compliance deve ser independente reportando-se à alta administração para informa-la de eventos que representam risco de compliance que possa afetar a Instituição.
A Cultura de Proteção de Dados Pessoais bem pode ser incentivada pela Ouvidoria.
Integrados impulsionam uma poderosa transformação institucional permanente, favorecendo mudanças e ajustes em suas atividades e processos, em sintonia com as demandas da sociedade, ou seja, um caminho efetivo na busca da qualidade, da transparência e da efetividade da cidadania.
Em resumo, a LGPD inaugura uma nova cultura de privacidade e proteção de dados no país, o que demanda a conscientização de toda a sociedade acerca da importância dos dados pessoais e os seus reflexos em direitos fundamentais como a liberdade, a privacidade e o livre desenvolvimento da personalidade da pessoa natural, intentos esses que serão implementados em consonância com as atribuições das Ouvidorias.
*José Barroso Filho é ministro do Superior Tribunal Militar e professor universitário
