Contagem regressiva à adequação e à aplicação da Lei de Proteção de Dados

Esta semana a aprovação da Lei Geral de Proteção de Dados Pessoais (LGPD) fez um ano. Estamos exatamente no meio do caminho para a sua vigência. A partir de 15 de agosto de 2020, empresas públicas e privadas, de todos os segmentos, não só aqueles que atendam diretamente o cidadão ou ou consumidor final, deverão estar prontas para cumprir a lei.

Para atender à LGPD é provável que essas empresas estejam hoje em pleno processo de adequação de suas práticas às obrigações legais, promovendo uma série de mudanças na forma como coletam, armazenam e usam dados pessoais. É a hora de a teoria dar lugar ao trabalho de conformidade, que envolve toda a organização, de ponta a ponta, e todos os seus parceiros.

O rol de afazeres é grande e quase sempre obriga a contratação de ajuda externa. Por isso, duas figuras estão em evidência: os advogados especializados em privacidade e proteção de dados e os integradores de sistemas, em especial os da área de segurança e gestão de riscos. Perdi a conta da quantidade de eventos realizados nos últimos dias dando voz a eles. Desses eventos, recolhi alguns pontos em comum que gostaria de compartilhar aqui com vocês.

O primeiro ponto é em relação as atividades iniciais que toda empresa ciosa do cumprimento da lei deve empreender, como designar uma equipe multidisciplinar interna, abrangendo desde o time de TI até a equipe jurídica, de compliance, de RH, de Marketing, de compras e etc, para acompanhar o trabalho de conformidade.

O segundo é a criação de uma política de classificação dos dados, etapa fundamental para entender quais dados estão sendo recebidos, como eles chegaram na organização, qual o propósito de sua utilização, onde estes dados estão sendo armazenados, como estão sendo usados, por quem, para onde estão sendo enviados e como serão descartados. Esse inventário será fundamental para a criação de uma trilha auditável dos dados.

Portanto, uma boa governança dos dados, que considere a ideia do ciclo de vida desses dados para a organização, será super importante para se manter compliance a partir de agosto de 2020.

É aí que começam a surgir as dificuldades.

"Eu diria que o principal desafio é compreender que inovação e privacidade não são valores contrapostos, mas interdependentes", comentou o professor Bruno Bioni, fundador do Data Privacy Brasil, durante sua palestra na Privacy Week, promovida pela Inloco University.

"Muitas organizações que já passaram por essa etapa de conformidade, e estão mais à frente na proteção de dados, descobriram que a regulação pode ser uma janela de oportunidade para repensar processos". A legislação entra aí como uma espécie de fiel da balança entre a atividade econômica e as liberdades individuais, para estabelecer as regras para todos os momentos nos quais os agentes econômicos, públicos ou privados, trocarem dados com os cidadãos/consumidores.

Em outras palavras, a LGPD chega para definir as responsabilidades e os direitos de todos na chamada Economia Digital, movida e orientada por dados. E em todas as atividades, on e offline.

"Quando a gente vai passar na catraca do metrô, ou do busão, aproxima o nosso Bilhete Único do sensor, não é? Nesse momento a gente está trocando dados. Quem está coletando aquele dado? É só a concessionária que presta o serviço? Como ela vai fazer para compartilhar esse dado com um gestor público que precise dele para criar uma política pública de transporte? A gente precisava de uma lei geral para estabelecer as regras do jogo, trazer segurança para o próprio cidadão _ de como ele enxerga e pode eventualmente controlar os seus dados pessoais _e também para os agentes econômicos que processam esses dados. Não cabia ter mais uma lei setorial para tratar disso especificamente", explicou Bioni.

Na opinião dele _ e também do advogado Rony Vainzof, sócio do escritório Opice Blum, durante um debate no Informationshow, realizado pelo Portal Information Management _ as organizações que já internacionalizaram essa visão positiva da LGPD já começaram a achar insights para adequar os seus modelos de negócio, produtos e serviços ao texto legal. Isso porque, ao criarem trilhas auditáveis dos dados, essas organizações foram forçadas a colocar mais ordem nas informações em poder delas. E essa ordem acabou gerando novas oportunidades de negócio, provando que é possível inovar dentro da lei.

Autoria: Bruno Bioni e Maria Cecília

O segundo desafio é encarar a conformidade com a LGPD como um processo contínuo. De nada adianta achar que o processo de conformidade é uma corrida de 100 metros. Na verdade, em agosto de 2020 iniciamos uma maratona sem fim. Nesse momento estamos apenas nos preparando para ela.

O processo de conformidade não é um processo finito. Não basta chegar a agosto de 2020 com todos processos auditados e todos os documentos necessários para apresentar para o regulador. O diagnóstico de risco é só o começo. E também uma janela de oportunidade para os integradores de soluções de gestão de risco automatizarem todo o processo.

Ter uma trilha auditável de todo o processo de gestão de dados fará parte do dia a dia de todas as organizações. "E os gestores das empresas farão bem se não pensarem somente em mitigar o risco regulatório, mas também em como todo esse processo de conformidade poderá pivotar sua organização inteira em termos de inovação", defendeu Bioni.

"Ah! Tudo muito complicado…. E vai custar caro", você pode pensar.  Talvez. Mas não olhe para isso como custo. Olhe como investimento!

Após o escândalo da Cambridge Analytica, os consumidores ficaram mais ciosos do uso de seus dados pessoais. Principalmente, daquelas pegadas digitais que deixamos a cada interação na nossa jornada diária. Em todo mundo, os órgãos de defesa de consumidor vêm alertando para os riscos que um pânico geral pode provocar na economia, se os consumidores começarem a se recusar a fornecer dados por falta de confiança em quem os está tratando. Já abordei esse assunto aqui, no texto "Consumidor, qual valor você é capaz de extrair dos seus dados?", publicado em março deste ano.

"Quem olhar para a LGPD para além de uma obrigação legal não vai só calibrar a reputação da sua organização com base no medo de sanções, de multas milionárias por infração. A gente sabe que o terrorismo está correndo solto nesse sentido.  Vai pensar também em reorganizar e rever processos para gerar confiança em seus clientes e parceiros de negócio ao dar maior transparência ao uso dos dados. Proteção de dados pode ser um diferencial competitivo", explicou Bioni.

Gente, o grande diferencial

Mas esse processo de conformidade contínuo não será bem executado se for baseado apenas na contratação de excelentes consultorias jurídicas e na implementação de excelentes ferramentas tecnológicas. Será preciso mudar a cultura organizacional no sentido de incutir a preocupação com a proteção de dados pessoais na mente e na  atuação de todos os colaboradores. O elemento humano dentro da organização terá que se engajar nesse processo. "Por que, senão, ele vai ser o grande buraco negro, onde as coisas vão acontecer", comentou Bioni.

Sabe aquele bando de planilhas voando para lá e para cá? Bases cadastrais enviadas por e-mail para fornecedores sem qualquer proteção? Pois é! Tudo isso vai ter que acabar.

Vale lembrar que o elemento humano é sempre o elo mais fraco de qualquer sistema de segurança da informação. Não vai ser diferente com a proteção de dados.

O princípio de Privacy by Design (Privacidade por concepção) também entra aqui. Produtos e serviços devem ser concebidos e projetados com privacidade como uma prioridade absoluta, juntamente com quaisquer outras finalidades que atendam. É o que vai garantir que o usuário, titular dos dados, esteja no centro de toda a atividade da organização. E também o que vai prevenir a ocorrência de problemas.

Por fim, o terceiro desafio é entender que a lei é apenas um dos vetores para a construção de uma ecossistema que assume a proteção de dados pessoais como um direito fundamental do cidadão.

Para que a proteção de dados pessoais seja de fato efetiva, será preciso ter uma Autoridade Nacional de Proteção de Dados (ANPD) forte e atuante, especialmente no que diga respeito à educação de todos para o tema e à elaboração de boas práticas para cada atividade em particular. A autoridade não pode, e não deve, ter apenas um caráter punitivo.

A cada dia fica mais evidente que o modelo predominante de uso de dados é indispensável. Porém, pode ser irresponsável, perigoso e até abusivo. Como é que a Justiça irá lidar com o tema? Isso dependerá muito da atuação da ANPD. Portanto, é preciso acompanhar de perto a sua criação.

No Uruguai, por exemplo, a autoridade deles está atuando nesse momento para incluir ética, privacidade e proteção de dados como disciplina obrigatória no currículo escolar, desde a infância. "Acreditamos que assim estaremos formando a consciência dos futuros cidadãos e consumidores", disse a assessora Jurídica do Parlamento Uruguaio, Laura Nahabetian Brunet, durante o evento da Inloca University.

Lá, as multas são menores que no Brasil. Mas já houve o caso de suspensão total de atividades econômicas por conta de descumprimento da lei. Aqui, a multa é alta, mas a suspensão de atividades (talvez a sanção mais drástica) foi retirada da LGPD.

Em resumo, a criação de uma cultura de proteção de dados pessoais no Brasil deve ser o maior objetivo de todos nós, brasileiros, a partir da entrada em vigor da LGPD. Conseguiremos?

@@@@@@@@

Sobre gestão de risco

Ao aplicar um processo de gestão de riscos da mesma forma que ele foi adotado tempos atrás para segurança da informação, focado na garantia de privacidade e conformidade com a LGPD, serão construídos os cenários de riscos e os seus tratamentos com controles aplicáveis aos principais ativos que manipulam informações: pessoas, processos e tecnologias – expandindo o que foi definido na ISO 27001.

Nesse momento, a ISO (International Standard Organization) está em processo final de aprovação da norma ISO/IEC 27552 , que é uma expansão da ISO/IEC 27001 para o aspecto de privacidade. Ela defende uma abordagem baseada em riscos para que cada organização em conformidade lide com os riscos específicos que ela enfrenta, bem como os riscos para os dados pessoais.

É bom ficar de olho!

O tamanho do problema

Em qualquer atividade de tratamento de dados pessoais deve utilizar apenas os dados necessários e adequados à finalidade específica – e esta, por sua vez, deve encontrar fundamento em uma base legal. O escritório Opice Blum consolidou as análises de mais de 12 mil operações de tratamento de dados pessoais e elaborou um infográfico contemplando a previsão de como deverá se dar a escolha de bases legais, após a eficácia da LGPD.