Compliance digital em conselhos profissionais

TERRITÓRIO DIGITAL

Compliance digital é dever de casa e ferramenta de fiscalização para conselhos profissionais, aponta Otávio Venturini

No II Congresso de Governança nos Conselhos Profissionais, especialista detalha como a conformidade tecnológica vai além da LGPD, exigindo proporcionalidade, proteção de dados e preparo para a era da inteligência artificial.

O ambiente digital deixou de ser uma ferramenta de apoio para se tornar o próprio território onde a administração pública e os conselhos profissionais operam, fiscalizam e são fiscalizados. No entanto, a transição para esse ecossistema exige muito mais do que a simples digitalização de processos ou a publicação de termos de privacidade em formato PDF. Exige uma mudança profunda de cultura institucional, baseada no chamado compliance digital.

O alerta foi o fio condutor da palestra do professor Otávio Venturini, especialista em direito digital, compliance e desenvolvimento institucional, durante o Painel 6 do II Congresso de Governança nos Conselhos Profissionais. O evento, realizado no hotel Royal Tulip Alvorada, em Brasília, reuniu gestores, juristas e conselheiros de todo o país para debater os rumos da gestão pública corporativa.

Em sua exposição, Venturini desmistificou o conceito de compliance digital, frequentemente reduzido à adequação burocrática à Lei Geral de Proteção de Dados (LGPD).

"Geralmente, vem uma ideia muito de que compliance digital é apenas proteção de dados. Mas não é só isso. Hoje existe uma regulação de temas que se relacionam com o ambiente digital e com os dados de maneira geral", explicou o professor.

Segundo ele, o ecossistema regulatório atual abrange desde a privacidade até o desenvolvimento de inteligência artificial, passando pela publicidade digital e pela moderação de conteúdo.

Além da LGPD: as fronteiras da regulação digital

O avanço tecnológico impõe uma malha legislativa cada vez mais complexa. O Brasil, que já conta com a consolidação da LGPD, começa a engatinhar na regulação da inteligência artificial (IA) e da publicidade infantil, como no caso do recém-aprovado "ECA digital", que impõe limites aos algoritmos que direcionam produtos a menores de idade.

No campo da inteligência artificial, Venturini destacou que a regulação não se limita ao uso de dados, mas à avaliação de riscos.

"O que é risco excessivo, eu sequer posso implementar. Por exemplo, eu posso usar inteligência artificial para monitorar o comportamento do cidadão e conceder um benefício ou crédito? Não, esse social score [pontuação social] é proibido", exemplificou.

Outro ponto crítico abordado foi o conceito de brand safety (segurança da marca) aplicado ao setor público. Auditorias recentes do Tribunal de Contas da União (TCU) identificaram que recursos de entidades federais e estatais, ao serem aplicados em mídia programática (anúncios automáticos na internet), acabavam financiando sites de conteúdo proibido ou propagadores de fake news. O compliance digital, portanto, surge como a barreira técnica e jurídica para evitar que o dinheiro público patrocine o crime ou a desinformação.

O regime público e o desafio da dupla conformidade

Por possuírem natureza jurídica de autarquias, os conselhos profissionais submetem-se ao regime de direito público. Isso significa que eles enfrentam o desafio da "dupla conformidade": precisam respeitar as regras de transparência da Lei de Acesso à Informação (LAI) ao mesmo tempo em que protegem a privacidade dos cidadãos e profissionais sob a égide da LGPD.

Venturini pontuou que o artigo 23 da LGPD é explícito ao determinar que o tratamento de dados pela administração pública deve ser orientado por uma finalidade correspondente ao interesse público, para a execução de competências legais ou cumprimento de atribuições do serviço público.

"É diferente a forma como uma empresa da iniciativa privada trata dados pessoais, muitas vezes voltada ao comércio e com uma lógica mais agressiva de competição, da forma como a administração pública trata. A legislação modula isso", diferenciou o palestrante.

Enquanto uma empresa privada depende frequentemente do consentimento do usuário, os conselhos profissionais operam majoritariamente sob as bases legais de "cumprimento de obrigação legal ou regulatória". É o caso da coleta de dados para o registro profissional, fiscalização do exercício da atividade e procedimentos ético-disciplinares.

No entanto, o volume e a sensibilidade dos dados tratados por essas autarquias são gigantescos. Vão desde dados cadastrais simples (como RG e CPF) até dados sensíveis, como informações de saúde, raça ou orientação sexual, que exigem a elaboração de Relatórios de Impacto à Proteção de Dados (RIPD) e camadas adicionais de segurança.

Conselhos como agentes de aplicação da lei (enforcement)

Uma das principais teses defendidas por Otávio Venturini é que os conselhos profissionais não devem apenas aplicar o compliance digital internamente, mas também atuar como agentes difusores e fiscalizadores dessas práticas junto aos seus inscritos.

Ele citou o exemplo do Conselho Federal de Medicina (CFM), que editou cartilhas orientativas para médicos sobre a aplicação da LGPD em consultórios e clínicas, além de diretrizes sobre o uso de inteligência artificial na medicina.

"Imagine se um profissional da área médica começa a comercializar dados sensíveis de saúde de pacientes com a indústria farmacêutica. Isso, sem dúvida nenhuma, é um ilícito ético-disciplinar que vai merecer a atuação punitiva do conselho", alertou.

Outro caso emblemático mencionado ocorreu na advocacia, no estado do Pará. Uma advogada utilizou uma técnica conhecida como prompt injection — inserindo um comando oculto em formato de texto invisível em uma petição eletrônica para tentar induzir a inteligência artificial do tribunal a proferir uma sentença favorável, ignorando as provas dos autos. O caso foi identificado, a Ordem dos Advogados do Brasil (OAB-PA) foi notificada, e as profissionais envolvidas foram suspensas preventivamente e respondem a processo ético-disciplinar.

"Os conselhos se tornam agentes do enforcement da legislação digital. Eles vão fiscalizar e orientar seus profissionais, o que reforça a necessidade de terem, dentro de suas próprias casas, um sistema eficiente e exemplar de governança", asseverou Venturini.

O diagnóstico do TCU: a evolução da maturidade

Para ilustrar o cenário prático dos conselhos, o professor resgatou dados históricos de fiscalizações do TCU. Em 2016, uma auditoria focada na Lei de Acesso à Informação em 26 conselhos federais revelou um cenário de quase apagão de transparência: 78% não tinham Serviço de Informação ao Cidadão (SIC) presencial, 60% não permitiam o envio eletrônico de pedidos e 78% não haviam designado autoridade responsável pelo monitoramento da lei.

Anos mais tarde, com a entrada em vigor da LGPD, o TCU realizou um diagnóstico de maturidade em 382 organizações públicas federais. Em 2022, o resultado mostrou que 76,7% das instituições federais ainda estavam em nível "inexpressivo" ou "inicial" de adequação. Entre as principais falhas apontadas estavam a falta de apoio da alta administração, ausência de inventário de dados, falta de análise de riscos e a inexistência de um Encarregado de Dados (DPO) formalmente nomeado.

Contudo, o cenário vem mudando. O CFM, por exemplo, que em 2022 registrava um índice de maturidade de 0,53 (considerado intermediário, mas acima da média pública de 0,35), estruturou um Comitê Gestor de Segurança da Informação, nomeou encarregados, implementou gestão de riscos e instituiu treinamentos obrigatórios para funções críticas.

Proporcionalidade e efetividade: o caminho a seguir

Ao encerrar sua participação, Otávio Venturini enfatizou que o compliance não é um produto de prateleira e não deve ser estático. A implementação deve seguir o princípio da proporcionalidade.

"Nem todo conselho tem o mesmo porte ou a mesma realidade. Cada um tem seu volume de inscritos e trata tipos de dados diferentes. A governança deve ser proporcional ao porte e ao risco do conselho, mas ela precisa ser real, implementada, monitorada e demonstrada", concluiu.

Para o especialista, o sucesso do compliance digital nos conselhos profissionais depende de um núcleo mínimo de efetividade que envolve:

Engajamento da alta administração e suporte à média gerência;

Nomeação e atuação ativa do DPO e de comitês de privacidade;

Inventário detalhado de processos e mapeamento de bases legais;

Compatibilização entre transparência ativa (LAI) e proteção de dados (LGPD);

Capacitação periódica e direcionada para as atividades de maior risco de cada autarquia.

O recado deixado no Royal Tulip Alvorada é claro: “em tempos de inteligência artificial e processos eletrônicos, a conformidade digital não é mais uma opção de gestão, mas a garantia de sobrevivência institucional e ética das autarquias profissionais brasileiras”, asseverou Otávio Venturini.