A Lei Geral de Proteção de Dados foi sancionada em agosto de 2018[1], e teoricamente entraria em vigor em agosto de 2020, após 2 anos da sanção presidencial (vacatio legis), período estabelecido para que a sociedade e as empresas se adequem ao novo Regramento Geral de Proteção de Dados Pessoais. Em resumo, a lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado[2]. Contudo, em razão do “COVID-19 Effect” a LGPD segue rumo a prorrogação da sua entrada plena em vigor, motivada, supostamente, em razão da situação atual em que se encontra a sociedade. Fato é, que recentemente surgiram várias iniciativas legislativas (Projetos de Leis), e mais recente a edição da Medida Provisória (MP 959/2020)[3], que prorrogou a entrada em vigor da lei para 03 de maio de 2021.
Deixemos de lado os impasses de ordem técnico-jurídica que certamente permeiam esta celeuma. A realidade é que PL’s e MP gravitam rumo a prorrogação da entrada em vigor da lei, quer seja para conveniência de uns, ou para decepção de outros: de um lado parte do setor empresarial que ovacionaram as medidas; do outro lado, para malgrado de outros, dentre eles, ativistas de privacidade e proteção de dados, acadêmicos e outros simpatizantes da temática.
A bem da verdade, grande parte das empresas sequer iniciaram seus projetos de adequação à lei, e se de fato a lei entrasse ou entrar em vigor em agosto de 2020, grande fatia deste grupo não estará “compliant” com o novo regramento legal de proteção de dados pessoais. Por tanto, a não conformidade com as diretrizes, princípios da nova legislação e a nova realidade de uma economia digital movida a dados, significa entre outras coisas, estar suscetível a: (i)sucumbir as sanções previstas pela nova legislação; (ii) risco de crise reputacional, nas hipóteses de data breach (incidente de privacidade ou de segurança da informação) e perda de competitividade, tendo como consequências impactos financeiros e reputacionais aos negócios.
1 – Oportunidade para maximização de performance, resultados e diferencial competitivo
A LGPD é uma legislação inspirada no regulamento europeu GDPR (General Data Protection Regulation), o que não significa dizer que é uma cópia fiel do referido instrumento legal. Nossa legislação foi fruto de um intenso e proativo debate legislativo, que contou com a participação de vários setores da sociedade civil, trata-se de uma legislação moderna e de vanguarda, adequada aos novos anseios de uma sociedade moderna e hiperconectada, orientada e movida por dados (data-driven-society). Com forte base principiológica, cuja missão transcende a proteção dos dados pessoais “per se”, pois sua gênese é a proteção de direitos e liberdades individuais dos titulares dos dados pessoais; mais também propiciar a livre e segura circulação dos dados, em prol do desenvolvimento econômico e da inovação, propiciando maior segurança jurídica nas relações e aos negócios, que passam a contar a partir de então com um regulamento geral de proteção de dados.
Uma lei com característica simbiótica, pois dela pode-se extrair requisitos técnicos (segurança da informação) e requisitos técnicos-jurídicos (legal). A novíssima lei traz em seu bojo diretrizes de segurança da informação – ativo estratégico para proteção da informação – tendo como base padrões internacionais (standards)[4], que se implementados assertivamente, certamente trará reais benefícios às organizações, em termos deeficiência operacional, produtividade, diferencial competitivo e mitigação de riscos e impactos: financeiro, operacional, legal e reputacional, além de outras benesses. Sob o aspecto legal, a novel legislação traz um “cardápio” legal capaz de legitimar basicamente todas hipóteses probas e lícitas de tratamento de dados, observados seus princípios e as dez hipóteses legais autorizadoras para o tratamento de dados pessoais[5]. O âmago da lei é a transparência e a eticidade no tratamento dos dados, como vetores fundantes do regulamento geral de proteção de dados pessoais.
Um projeto de adequação que contemple os requisitos da lei, inevitavelmente conduz as organizações a revisitarem seus processos de negócios, com o propósito de diagnosticar as fontes de coleta e tratamento de dados, entre eles os pessoais – objeto da lei – com o propósito de identificar e registrar as atividades de tratamento de dados pessoais, para posterior análise e adequação aos princípios[6] e requisitos legais.
Trata-se de uma excelente oportunidade para que os gestores analisem criticamente seus workflows, processos de negócios e o uso sustentável das informações e dados pessoais utilizados; neste ponto vale a pena considerar a máxima: “quanto maior o volume de dados coletados, maiores serão os encargos”, ou seja, deve-se coletar o mínimo de dados possíveis. De toda sorte, este processo permitirá que os gestores façam os devidos ajustes e adequações nas suas operações, orientados a automatização e otimização destes processos, assim como eventual correção de gaps; quiçá surjam insights para criação de novos produtos, tendo sempre como escopo objetivos de negócios da organização.
2 – Muito além das sanções, o estabelecimento de uma nova ordem social!
A gestão da informação e do conhecimento são fatores essenciais para o desenvolvimento das atividades empresariais e continuidade dos negócios, “data is the new oil” expressão alcunhada por Clive Humby, matemático londrino especializado em ciência de dados, já é senso comum. De sorte, que as empresas que melhor administrarem esses insumos, certamente serão mais competitivas. Em realidade, a informação – ativo intangível que geram valor; a segurança da informação ou informática – ativo intangível de proteção de valor, Fontes (2012, p.5, Apud Domeghetti e Meir, 2019), e a proteção de dados pessoais, são valores sociais dignos de proteção e tutela estatal; no que refere-se a este último, com aptidão para figurar na lista dos direitos e garantias fundamentais e ser esculpido no rol do Artigo 5°[7], neste sentido é a PEC 17/2019 que propõe a inclusão da proteção de dados pessoais entre os direitos e garantias fundamentais do cidadão em seu inciso XII-A do referido artigo[8], tamanha a relevância e imprescindibilidade de proteção deste novel valor social na modernidade.
Neste sentido, independente da efetiva entrada em vigor da LGPD, a nova legislação já produz seus efeitos reflexos – LGPD effect. Autoridades administrativas (Procon, Senacon, Analel e Ministério Público), diligentemente e proativamente, vem desempenhando importantíssimo papel dentro das suas competências, na vigilância das organizações que inadvertidamente não estão honrando com seus compromissos legais e éticos de proteção de dados pessoais dos cidadãos. Diversamente do que possa parecer, essas autoridades possuem respaldo legal em leis setoriais – microssistemas de proteção de dados – que dispõe sobre a matéria, tais como o MCI (Marco Civil da Internet), o CDC (Código de Defesa do Consumidor) e a LCP (Lei do Cadastro Positivo).
Dentre outras, apenas para citar umas das iniciativas, recentemente o instituto Sigilo ajuizou ação civil pública contra o Nubank[9], com fundamento no MCI, o CDC e a LCP, para que a instituição se abstenha de coletar informações e dados pessoais dos titulares de dados e consumidores não clientes, obtidos ilegalmente através de entidades financeiras ou comerciais, que não tenham o expresso consentimento, sob pena de multa diária de R$ 10.000,00.
No mesmo sentido, organizações que figuram na condição de tomadoras de serviços, estão vigilantes e atentas na seleção e manutenção de seus fornecedores e parceiros; em alguns casos estão sendo realizados Assessment por parte destas organizações, tendo como métricas: leis, normas e regulamentos sobre privacidade, proteção de dados e segurança da informação, com o objeto de mensurar o nível de maturidade e adequação nas temáticas. O fenômeno da “autorregulação ou corregulação”, por parte destes agentes (operadores e controladores de dados pessoais), justifica-se em razão da cadeia e liame de responsabilidade existentes entre os atores, considerada a troca de dados pessoais e a corresponsabilidade nos casos de incidentes.
Conclusão
Admirável mundo novo! Uma nova ordem social se faz presente e a proteção da informação e dos dados pessoais são elementos importantes para proteção de direitos e liberdades individuais (privacidade, intimidade, liberdade de expressão, dignidade da pessoa, livre desenvolvimento da personalidade, liberdade religiosa, etc.), bem como para o fomento sustentável da tecnologia e da inovação, de sorte que torna-se mandatório harmonizar a preservação da privacidade dos cidadãos. Contrapondo e complementando a ideia de que os “dados são o novo petróleo”, deve-se ter em mente que os dados constituem em uma parcela da personalidade da pessoa e merecem proteção jurídica (MENDES, Laura Schertel, 2014, pag. 33). Dados são pessoas![10]
Ser reacionário a esta novel realidade poderá trazer consequências nefastas à sociedade e as organizações (impactos financeiros, crise reputacional, perda de competitividade, etc.), além da perda de chance de melhoria de processos e procedimentos, e melhor aproveitamento das novas tecnologias. Esse processo de adequação deve ser conduzido de forma sustentável e ser encarado como investimento e não despesa!
Jean Carlos Fernandes dos Santos
Advogado, | MBA Direito Digital | Data Privacy | Certified EXIN ® ISFS – ISO 27001 and PDPF | Membro ANPPD ®
