1 - Introdução
A Lei nº 13.709/19, conhecida como Lei Geral de Proteção de Dados Pessoais ou LGPD, em vigor desde 18 de setembro de 2020, consolida um importante avanço na proteção de um direito fundamental – o da privacidade – abordando-o de modo particularizado no que diz respeito aos dados pessoais.
A norma surge quando a proteção de dados pessoais se
transforma em uma questão global, recrudescida em importância pelo escândalo da
Cambridge Analytica e, fundamentalmente, pela edição do General Data Protection
Regulation – GDPR, com abrangência entre os países europeus.
A observância às novas regras passa a se constituir em exigência
do comércio internacional. A desatenção à lei é severamente punida.
Se por um lado o novel regramento aponta para a evolução dos
Direitos Humanos e do próprio Direito, na sua tentativa de dirimir os conflitos
inerentes à chamada Sociedade da Informação, de outro representa um momento de
disrupção e, em consequência, um enorme desafio para o ambiente de negócios em
geral.
A adequação à recente e minuciosa lei exigirá que os
gestores dediquem bastante atenção aos processos da organização e que
reformulem aqueles que não estiverem em conformidade com a LGPD.
Em muitos casos haverá profunda alteração do modelo de
negócio.
Nesse contexto, a Gestão de Segurança da Informação, a par
dos temas com os quais tradicionalmente tem que lidar, será chamada a assumir novos
papéis e responsabilidades projetados pela LGPD.
Os riscos inerentes às atividades de tratamento de dados
pessoais reclamarão novas funções, novos métodos de mitigação, elaboração de documentos
específicos e, principalmente, novos comportamentos dos gestores e
colaboradores da organização.
O presente trabalho procura evidenciar alguns dos desafios da
Gestão da Segurança da Informação surgidos da incipiente vigência da LGPD.
Alvin Toffler, notável professor norte-americano, dizia que
a evolução da humanidade se estabeleceu em três “ondas” (PINHEIRO, 2008, p.
6).
A primeira onda se caracterizou pela riqueza agrícola. A
propriedade da terra significava riqueza e poder.
A segunda onda ficou conhecida por revolução industrial.
Nessa fase, a riqueza se constituiu da combinação da propriedade, do trabalho e
do capital.
A terceira onda – a de nossa era – é a da informação. Nela a
riqueza deriva do volume sempre crescente da informação. Consolida-se com a
implementação da tecnologia digital e a criação da internet, que trazem à cena
a velocidade de transmissão dos dados e a descentralização de suas fontes.
Nesse contexto, a matéria-prima das organizações é a
informação.
Na percepção de Sêmola (2014, p. 7),
o sangue da empresa é a informação. Distribuída por todos os processos de negócio, alimentando-os e circulando por diversos ativos (tudo o que manipula direta ou indiretamente a informação, inclusive ela própria), ambientes e tecnologias, a informação cumpre o importante papel de fornecer instrumentos para a gestão do negócio.
Com o crescimento exponencial do uso de computadores e de
dispositivos interconectados para trafegar e tratar a informação,
multiplicam-se os dilemas e conflitos derivados do emprego de tecnologia. Da
necessidade de dirimi-los nascem os instrumentos legais sobre o tema. Surge uma
nova disciplina jurídica: o Direito Digital[1].
No Brasil, datam da década de 70, os primeiros registros de
projetos de leis versando sobre “informática”, do que são exemplos: o projeto
de lei nº 3.279, de 1976, do Deputado Siqueira Campos, que dispunha “sobre a
programação viciada de computador” (arquivado em 1979); o projeto de lei nº 96,
de 1977, do Senador Nélson Carneiro, que dispunha “sobre a proteção das informações
computadorizadas” (arquivado em 1980); projeto de lei nº 579, de 1991, do
Deputado Sólon Borges dos Reis, que dispunha “sobre o crime de interferência
nos sistemas de informática (destruição); entre outros (REIS, 1997, p. 50).
Seguiram-se, entre outros, os seguintes diplomas normativos
destinados a regular temas afetos à tecnologia: a Lei nº 12.735/12, denominada
"Lei Azeredo", nascida do projeto de lei nº 84, de 1999, do Deputado
Luiz Piauhylino, para dispor "sobre os crimes cometidos na área de
informática, suas penalidades e outras providências"; a Lei nº 12.737/12,
conhecida como “Lei Carolina Dieckmann”, concebida após o acesso indevido ao
computador da referida atriz, seguido da divulgação de fotos íntimas assim
obtidas, instituindo entre nós a definição dos crimes cibernéticos próprios; e
a Lei nº 12.965/14, definidora do “Marco Civil da Internet”, conferindo uma
base legal sobre deveres de provedores de conexão e de acesso a aplicações na
internet em confronto com os direitos dos usuários.
A Lei nº 13.709/18, mais conhecida como Lei Geral de
Proteção de Dados Pessoais ou LGPD, surge entre nós depois que a Europa colocou
a questão da proteção dos dados pessoais no centro de sua agenda (MALDONATO,
2018, p. 87).
Embora a privacidade seja compreendida como um direito
fundamental desde a Convenção Europeia dos Direitos Humanos, de 1950, diversas
normas foram instituídas nos últimos 40 anos com o intuito de alargar o campo
conceitual desse direito, bem como para assegurar de modo mais particularizado
a proteção dos dados pessoais.
O primeiro diploma jurídico que trata especificamente da
proteção de dados pessoais foi a “Convenção para a Protecção das Pessoas
relativamente ao Tratamento Automatizado de Dados de Carácter Pessoal”,
concluída em 28 de janeiro de 1981.
Vieram, na sequência, a Carta dos Direitos Fundamentais da
União Europeia de 2000; o Tratado de Lisboa de 2007, que inseriu no art. 8º do
Tratado sobre o Funcionamento da União Europeia (TFUE) regras de proteção de
dados de caráter pessoal; e o próprio TFUE, que versa em seu art. 16º sobre o
direito à proteção de dados a todas as pessoas (MALDONATO, 2018, p. 87-90).
O diploma normativo mais recente e que, sem sombra de
dúvida, fomentou a edição da LGPD, é o GDPR (General Data Protection
Regulation), que entrou em vigor no dia 25 de maio de 2018.
Essa norma foi adotada nos 28 países da União Europeia e
três países do Espaço Econômico Europeu (Noruega, Islândia e Liechtenstein) e é
de observância obrigatória a todas as empresas que detêm ou manipulam dados
pessoais dos cidadãos europeus, onde quer que estejam sediadas.
Aspecto interessante do GDPR é que empresas europeias ficam
impedidas de contratar com empresas de países cujas leis não ofereçam o mesmo
nível de proteção dos dados pessoais.
Assim sendo, a LGPD nasce entre nós como uma questão
emergencial, de caráter econômico, pois, como observaram Cots e Oliveira (2019,
p. 23), sua lacuna diminuiria a competitividade das empresas brasileiras no
mercado internacional.
Os mesmos autores também apontam como fato motivador da
edição da lei o caso da Cambridge Analytica, no qual o mal uso de dados
pessoais poderia supostamente ter influído no resultado das eleições
americanas.
Estima-se que o impacto da Lei Geral de Proteção de Dados
Pessoais possa ser tão abrangente quanto foi o impacto da aprovação do Código
de Defesa do Consumidor, da Lei dos Crimes Ambientais ou do Marco Civil da
Internet.
Todas essas legislações têm algo em comum, como observou
Ronaldo Lemos, no prefácio da obra de Cots e Oliveira (2019, p. 7): “elas
transformam práticas e definem regras do jogo para o ambiente de negócios do
país”.
As normas de proteção dos dados pessoais não foram criadas
para produzir impactos negativos na economia, mas sim porque as novas tecnologias
conhecidas como Internet das Coisas, Inteligência Artificial, Blockchain,
Criptomoedas, Fintechs etc. utilizam dados pessoais como substrato de geração
de valor (LIMA, 2018, p. 24), impondo-se que o façam em ambiente de segurança
jurídica e respeitando os direitos individuais já consagrados[2].
Nesse cenário, é imperativo que as pessoas físicas, enquanto
os titulares dos seus dados pessoais, tenham controle e entendimento sobre todo
o ciclo de vida das informações que lhes dizem respeito.
Aspecto bastante
interessante é que tanto a GDPR quanto a LGPD asseguram ampla gama de proteção
de dados pessoais, sejam eles tratados de forma automatizada ou mesmo
manualmente.
Essa característica faz com que tais normas sejam
consideradas “tecnologicamente neutras” (LIMA, 2018, p. 35), pois não tem
qualquer importância para a aplicação de suas regras se as informações foram
coletadas por computadores, celulares, aplicativos ou mesmo por outras pessoas
físicas.
Tal assertiva realça o fato de que a LGPD se aplica a
qualquer organização, incluindo pequenos comércios, firmas individuais, empresas
familiares etc.
É compreensível que, nas grandes corporações, o volume de
dados pessoais manipulado torne a gestão do assunto muito mais complexa e
desafiadora.
Empresas que se utilizam de Inteligência Artificial, por
exemplo, para tomar decisões sobre clientes ou classificá-los em perfis podem
ser demandadas a revisar e explicar as decisões automatizadas ou manter o
controle dos vieses discriminatórios.
Explicam Cots e Oliveira (2019, p.130):
O titular poderá pedir explicações sobre decisões automatizadas que sejam tomadas a seu respeito, o que acontece em boa hora, pois a inteligência artificial vem ganhando espaço no processamento de dados em geral, inclusive pessoais. Empresas vêm utilizando o recurso para, por exemplo, realizar classificações, rankings, perfis, entre outras ações, segmentando público-alvo, mercado etc. Ocorre que, para uma pessoa que é classificada ou tem seu perfil traçado, nem sempre fica claro como isso se deu, ou, ainda, pode-se não concordar com a conclusão. A LGPD estabeleceu a possibilidade de o titular solicitar explicações sobre essas decisões automatizadas ou até a revisão destas.
Como se intui, no dia a dia das corporações, é de
fundamental importância que todas as áreas da empresa que lidam com dados
pessoais estejam atentas para as regras da LGPD, incluindo as sanções, a fim de
garantir a conformidade de seus processos.
É nesse quadro que a Segurança da Informação assume posição estratégica
e essencial, pois deve coordenar os esforços das diversas áreas voltados à proteção
dos dados como um todo, dedicando especial atenção à fração dessas informações
que corresponde aos dados pessoais.
Releva notar que, na vigência da LGPD, torna-se ainda mais
evidente que a Segurança da Informação não se restringe aos sistemas
computacionais.
Todos os aspectos relativos à proteção de dados – em especial
os dados pessoais – recebem a atenção da disciplina, impondo-se ao gestor de
segurança – ou CSO (Chief Security Officer) – atributos como: visão global com
foco local; que tome decisões por meio de análise de riscos; que tenha
habilidade de criar e multiplicar padrões; boa comunicação e relacionamento;
liderança; e comprometimento[3].
Gerir a Segurança da Informação exigirá desse profissional,
cada vez mais, a visão holística e abrangente de toda a organização.
Afinal,
a empresa virou uma grande teia de comunicação integrada, dependente do fluxo de informações que por ela são distribuídas e compartilhadas. Essas mesmas informações, agora sujeitas a vulnerabilidades que transcendem os aspectos tecnológicos, são alvos também de interferências provocadas por aspectos físicos e humanos (SÊMOLA, 2014, p. 13).
A GDPR e a LGPD criaram a figura de um novo profissional, conhecido
no âmbito de sua incidência, respectivamente, como Data Protection Officer
(DPO) e Encarregado pelo Tratamento de Dados Pessoais.
As funções do encarregado estão descritas no art. 41, § 2º
da LGPD e abrangem: a) aceitar reclamações e comunicações dos titulares,
prestar esclarecimentos e adotar providências; b) receber comunicações da autoridade
nacional e adotar providências; c) orientar os funcionários e os contratados da
entidade a respeito das práticas a serem tomadas em relação à proteção de dados
pessoais; e d) executar as demais atribuições determinadas pelo controlador ou
estabelecidas em normas complementares.
Essas tarefas não são taxativas e podem ser ampliadas por
ato normativo da autoridade nacional.
A exemplo do DPO, o encarregado é alguém incumbido de monitorar,
fiscalizar, orientar a aplicação da LGPD na empresa. Também é sua incumbência
interagir em nome dela com os titulares dos dados pessoais.
Esse papel exige conhecimentos em Segurança da Informação,
das regras de negócio e Direito.
O cargo reclama, como se constata, conhecimentos multidisciplinares
de seu ocupante.
Na prática, percebe-se que as funções de DPO acabam sendo ocupadas por advogados ou consultores legais especialistas em privacidade e proteção de dados ou mesmo profissionais de segurança da informação, em razão de sua familiaridade com o tema (CHAVES, 2018, p. 134).
Embora advogados e profissionais do Direito venham ocupando
essas posições, o Encarregado pelo Tratamento de Dados Pessoais deve ter,
necessariamente, formação em tecnologia de Segurança da Informação ou disciplina
correlata.
O recrutamento dos profissionais do Direito para essa função
se deveu, num primeiro momento, à indeterminação de alguns conceitos trazidos
pela lei e à inexistência da autoridade nacional, que poderia esclarecer o
alcance das definições normativas, elaborando uma espécie de jurisprudência
administrativa sobre os assuntos tratados na LGPD.
Incorporados esses conceitos na cultura da empresa, o foco
da gestão da Segurança da Informação na vigência da LGPD será implementação do
“privacy by design” em todos os processos, na mitigação de incidentes que
possam comprometer a proteção de dados pessoais e na introdução e manutenção
das boas práticas de governança.
Essas tarefas, como se conhece, já são inerentes às
atribuições do Gestor de Segurança da Informação e, com a LGPD, serão adaptadas
à sua rotina, tornando-o ainda mais valioso para a empresa.
3 - Considerações finais
Em conclusão do presente trabalho, pode-se afirmar que:
1. Na Sociedade da Informação, o uso massivo de tecnologia
põe em disputa direitos humanos fundamentais, como o da privacidade.
2. A Lei nº 13.709/18, mais conhecida como Lei Geral de
Proteção de Dados Pessoais ou LGPD, surge quando a questão da proteção dos dados
pessoais se torna preocupação mundial e requisito das relações de comércio
internacional.
3. A LGPD impõe novos processos de negócio e a assunção de
novos papéis e responsabilidades pelos gestores da Segurança da Informação.
4. O novo paradigma de proteção dos dados pessoais trazido
pela LGPD demanda a existência de profissionais de Segurança da Informação com
visão holística, amplo conhecimento do negócio e formação multidisciplinar.
5. Embora profissionais do Direito venham assumindo posições de DPO, tal fato se deve à indeterminação de conceitos trazidos pela LGPD e o receio de consequências jurídicas em razão de alguma não conformidade com a norma. Uma vez que as regras da LGPD estejam incorporadas à cultura da empresa, a função de Encarregado pelo Tratamento de Dados Pessoais poderá ser carreada ao profissional de Segurança da Informação ou de área afim, para ênfase nos processos dotados de “privacy by design”, na mitigação de incidentes e das boas práticas de governança.
Referências:
CHAVES, Luis Fernando Prado. Responsável
pelo tratamento, subcontratante e DPO. In: MALDONATO, Viviane Nóbrega; OPICE
BLUM, Renato (coord.). Comentários ao GDPR: Regulamento Geral de
Proteção de Dados da União Europeia. São Paulo: Thompson Reuters Brasil, 2018,
p. 111-138.
COTS, Márcio; OLIVEIRA, Ricardo. Lei
Geral de Proteção de Dados Pessoais Comentada. 2ª. ed. rev. e ampl., São
Paulo: Thomson Reuters Brasil, 2019.
LIMA, Caio César Carvalho. Objeto,
aplicação material e aplicação territorial. In: MALDONATO, Viviane Nóbrega;
OPICE BLUM, Renato (coord.). Comentários ao GDPR: Regulamento Geral de
Proteção de Dados da União Europeia. São Paulo: Thompson Reuters Brasil, 2018,
p. 23-36.
MALDONATO, Viviane Nóbrega. Direitos
dos titulares de dados. In: _____; OPICE BLUM, Renato (coord.). Comentários
ao GDPR: Regulamento Geral de Proteção de Dados da União Europeia. São
Paulo: Thompson Reuters Brasil, 2018, p. 85-109.
PINHEIRO, Patricia Peck. Direito
digital. 2ª. ed., 2ª. tir., rev. atual. ampl. São Paulo: Saraiva, 2008.
REIS, Maria Helena Junqueira. Computer
crimes: a criminalidade na era dos computadores. Belo Horizonte: Del Rey,
1996.
SÊMOLA, Marcos. Gestão da
segurança da informação. Kindle
iOS version, 2014.
[1]
Conf. PIMENTEL, José Eduardo de Souza. Introdução ao direito digital. Revista
Jurídica da Escola Superior do Ministério Público de São Paulo. São Paulo, v.
13, n. 1, 2018, p. 15-39. Disponível em <https://es.mpsp.mp.br/revista_esmp/index.php/RJESMPSP/article/view/352/340340364>.
Acesso em: 23 nov. 2020.
[2]
Ne versão em língua portuguesa do GDPR encontra-se, entre os consideranda, a
seguinte proposição: “Os princípios e as regras em matéria de proteção das
pessoas singulares relativamente ao tratamento dos seus dados pessoais deverão
respeitar, independentemente da nacionalidade ou do local de residência dessas
pessoas, os seus direitos e liberdades fundamentais, nomeadamente o direito à
proteção dos dados pessoais. O presente regulamento tem como objetivo
contribuir para a realização de um espaço de liberdade, segurança e justiça e
de uma união económica, para o progresso económico e social, a consolidação e a
convergência das economias a nível do mercado interno e para o bem-estar das
pessoas singulares” (nota do autor).
[3]
Informações verbais passadas em out. 2020 pelo Prof. Alberto Martins Júnior
durante aula na FATEC-AM.
Nenhum comentário:
Postar um comentário