Opa! Espere aí, se o título envolvendo LGPD é provocativo? Pode até ser. Mas lembremos que todo conhecimento é democrático! ????
Recentemente li um artigo – por sinal muito bem escrito – cujo o título é a A LGPD e o mito do advogado que entende de Dados, que noticia – entre outras coisas – a falta de conhecimentos técnico por parte de alguns profissionais da área jurídica, notadamente advogados, com relação a questões que permeiam a proteção de dados e segurança da informação.
O referido artigo traz a tona uma realidade preocupante, motivada pela iminência da entrada em vigor da famigerada Lei Geral de Proteção de Dados LGPD, que se dará em agosto de 2020, e que tanto furor tem causado no mercado jurídico e de segurança da informação, no qual profissionais de toda sorte se arvoram na ânsia de venderem seus produtos, serviços e projetos de conformidade com a LGPD, com a promessa de serem a panaceia para todos os males, e ainda, evitarem aplicação de vultuosas multas a serem aplicadas pela autoridade fiscalizadora (ANPD).
Motivado pelo insight e pela provocação intelectual, resolvemos discorrer brevemente sobre o tema, sobre outro ângulo, trazendo a tona outra realidade reversa, A LGPD e o mito dos profissionais de Tecnologia e Segurança da Informação que entendem de Leis.
Sem sombra de dúvidas um projeto sério de adequação a LGPD, pressupõe o engajamento de uma equipe multidisciplinar, que contemplem ao menos três áreas estratégicas: segurança da informação, jurídico e projetos, tudo isso sob a batuta e envolvimento das áreas de negócio e da alta direção.
Destacamos, ainda, que embora cada área técnica deva concentrar energias em suas competências e expertises, questões legais com o jurídico, temáticas tecnológicas e de segurança da informação com suas respectivas áreas, todos devem possuir uma visão do todo, e para usar um termo da moda, possuir uma visão holística, acrescente-se ainda, que as soluções devem ser construídas de forma colaborativa e compartilhada, o dialogo profícuo entre as áreas deve ser a tônica deste projeto de proteção de dados pessoais, de sorte que é necessário ao profissional do legal possuir conhecimentos de segurança e tecnologia da informação, bem como aos profissionais de segurança e de TI, entender as nuances do universo jurídico, para que este diálogo seja efetivo, em prol do sucesso do projeto.
Desta forma, temos observado um movimento crescente de profissionais de ambas as áreas em busca de qualificações nas áreas correlatas tocante a temática Proteção de Dados Pessoais (JURÍDICO <-> SEGURANÇA DA INFORMAÇÃO), o que é muito salutar. Igualmente temos visto, uma “queda de braços” entre esses profissionais, cada qual justificando a sua maior importância e relevância dentro do processo de efetiva adequação da lei.
Sendo entusiastas da tecnologia, inovação, segurança da informação e das ciências jurídicas, e tendo navegado a algum tempo neste universo, na busca de conhecimento e entendimento, conhecemos em partes os desafios enfrentados por estes aguerridos profissionais. Tem sido árduo o trabalho que realizamos juntamente com empresas e profissionais parceiros de Segurança da Informação, na busca de promover o aculturamento/ evangelização das empresas com relação a importância do tema, endereçando por intermédio do jurídico este assunto ao board das corporações. #tamosjuntos
A proteção de dados, quer sejam eles pessoais ou não, carecem da implementação de um sistema de gestão de segurança da informação (SGSI), que deve ter como norte as normas ABNT NBR ISO/IEC 27001 e 27002, que orientam a implementação de Políticas de Segurança da Informação e consequentemente a adoção de controles, com objetivo de proteger o ativo intangível (informação). Tivemos notícias da recém editada norma, no início de agosto 2019, a ISO/IEC 27701:2019, que é uma extensão dos mencionados standards, com uma abordagem mais focada em privacidade e proteção de dados. Contudo, em se tratando da LGPD, deve-se realizar a efetiva adequação dos requisitos legais aos requisitos técnicos da mesma lei (soluções de software e hardware), bem como o devido ajuste de processos e procedimentos, tudo em consonância com a legislação, normas técnicas e best practices.
“A segurança da informação é alcançada pela implementação de um conjunto adequado de controles, incluindo políticas, processos, procedimentos, estrutura organizacional e funções de software e hardware.” ABNT NBR ISO/IEC 27001
Ressalta-se também que o Marco Civil da Internet (MCI), o Decreto 8.771/2016 e a novíssima Lei Geral de Proteção de Dados (LGPD) jogaram um verdadeiro feixe de luz em uma disciplina que há tempo tem sido relegada por grande parte das empresas, principalmente as pequenas e médias organizações. Neste cenário, temos acompanhado os esforços das áreas e departamentos de segurança da informação para justificar a importância e investimentos em SI, ainda mais em um cenário onde não existia um enforcement legal, apenas algumas leis setoriais e frameworks (tentando alguma forma de corregulação), muitas vezes desconhecidas por essas empresas e profissionais.
No que se refere aos requisitos legais, enganam-se aqueles que acreditam que podem enfrentar o tema apenas com a leitura literal – por vezes superficial – do novel regramento de proteção de dados pessoais, a famigerada LGPD, pois trata-se de trabalho hercúleo – muitas sinapses – que pressupõe imersão na temática, para a devida compreensão do alcance e meandros da lei, assim como o devido ajuste e enquadramento das bases legais para tratamento dos dados pessoais no caso concreto. Para se ter uma dimensão do desafio hermenêutico a ser superado, estima-se que haverá uma divisão da competência da interpretação final da lei, sendo parte dos Tribunais (das quais desembocarão milhares de demandas jurídicas decorrentes das problemáticas da LGPD), além, da exegese a ser aplicada pela ANPD (Autoridade Nacional de Proteção de Dados, recentemente, criada pela MP nº 869/2018 do governo federal).
Frise-se, ainda, há outros dispositivos legais que já tratam do tema e devem – necessariamente – dialogar com a nova legislação, de sorte que a interpretação deve ser sistêmica, tendo como pano de fundo: os direitos e garantias fundamentais esculpidos na CF/88, bem como os interesses e legitimas expectativas do titular dos dados. Neste ponto, puxo aqui a sardinha para nós profissionais da área jurídica, – fundamentalmente os que militam no Direito Digital, para nós o tema proteção de dados pessoais e privacidade – diga-se de passagem, conceitos distintos – não são novidades no universo jurídico, de sorte que já existiam leis setoriais, que tratam do tema, tais como, Código de Defesa do Consumidor, Lei do Cadastro Positivo, Lei de Acesso à Informação, Marco Civil da Internet etc. #DireitoDigital
Para se ter uma ideia do desafio, existem na LGPD 10 bases legais para tratamento de dados pessoais, que são hipóteses legais autorizadoras que legitimam o tratamento dos dados [1]. Contudo, para citar apenas uma, talvez a mais polemica, que é o legítimo interesse, deve-se atentar que essa importante base legal é um conceito aberto, ambíguo, que tem como sustentáculo toda uma racional jurídica (teste de proporcionalidade), que deve ser analisada a luz de todo o ecossistema de proteção de dados pessoais, pois não se deve confundir Legítimo Interesse do Controlador com Interesse do Controlador, pois essa base legal para tratamento de dados pessoais não deve ser uma bala de prata ou um cheque em branco para o tratamento dos dados pessoais.
Cabe ainda, aos profissionais da área jurídica a adoção de um mind set propositivo, além de uma postura proativa – foco no foco do cliente – com a devida compreensão do seu modelo e regras de negócio, e ainda, do ecossistema digital, pois a adequação deve ser realizada com o menor impacto na operação do cliente, com o ajustamento estratégico das bases legais ao caso de uso, justificador do tratamento dos dados pessoais – legal intelligence – aplicada ao negócio. Desafio hercúleo? Sem dúvida!
Vis-à-vis, somos todos contemporâneos desta novel revolução tecnológica e do conhecimento, e juntos estamos construindo um novo Contrato Social, direito e tecnologia devem – na medida do possível – caminhar juntos, para que possamos viabilizar o melhor aproveitamento das novas tecnologias em prol da inovação e da sociedade. #MissãoDigitalMente #EducaçãoDigital #Crowdsourcing
JEAN CARLOS FERNANDES, advogado, especialista em direito digital, entusiasta da segurança da informação, tecnologia e idealizador do DigitalMente.
ELVIS DAVANTEL, consultor jurídico, especialista em direito digital, entusiasta da tecnologia e idealizador do DigitalMente.