LGPD - Lei Geral de Proteção de Dados

LGPD, ANPD e GDPR. Estas siglas ainda estarão no seu dia a dia. Vivemos em um universo empresarial cuja captura, utilização, avaliação, uso e reuso de dados (em geral) adquiriu uma grande importância.

Há que diga que “Data is the new oil“ (Clive Humby – matemático britânico primeiro a cunhar a frase), e há quem diga que “Data Is Not The New Oil” (Bernard Marr).

Segundo o primeiro, “é valioso, mas se não refinado, não pode realmente ser usado”. Já ao segundo, “enquanto o petróleo é um recurso finito, os dados são efetivamente infinitamente duráveis e reutilizáveis”, e “é muito mais produtivo considerar como os dados são diferentes – a miríade de maneiras pelas quais eles podem ser capturados, usados e reutilizados e, ao fazê-lo, gerar valor e benefícios para os seres humanos que nos ajudarão a lidar com grandes problemas, da educação à saúde, da redução da fome, para combater as mudanças climáticas”.

Na seara de empreendedores e empresários, naturalmente, a informação e os dados relacionados a um determinado negócio sempre existiram – dados de clientes, produtos, mercado, concorrentes, dentre outros.

Mas, com o avanço e apoio da moderna tecnologia, é que o tratamento destes dados (velocidade, quantidade, formas, repositórios, etc), quando não se tornou o principal recurso e fim de um negócio, é elemento essencial para planejamento, desenvolvimento, operação e expansão de outros.

O Business Intelligence

Hoje, o conceito de Business Intelligence (“BI”) afeta diretamente e profundamente o modo de operação e a inteligência empresarial, e o modo de tomada de decisões estratégicas no mundo corporativo.

Relaciona-se a processos de coleta, organização, análise, refinamento, monitoramento e compartilhamento de informações.

O BI atua nesta interpretação de dados, auxiliando o empresário na identificação de novas oportunidades de negócio, e até na montagem da estratégia corporativa de longo prazo, sempre visando aumento da competitividade no mercado.

O trabalho com o dito big data leva a novas possibilidades e horizontes, ou noutras palavras, “o produto dos dados (carros autônomos, drones, wearables etc.) gerarão mais dados (onde você normalmente dirige, com que rapidez / se dirige bem, quem está com você etc.)” (Piero Scaruffi, 2016).

A Regulamentação do Uso de Dados

A ausência de regulação neste tratamento de dados também trouxe inconvenientes, que hoje estão sendo sentidos e contestados globalmente – assim como a atividade tem sido regulada, por meio de diversas legislações locais e/ou regionais que tratam de privacidade e tratamento de dados.

Trata-se de movimento global que levanta a preocupação com a coleta e o uso de dados pessoais, em todas as suas esferas. Mas certamente não é um movimento para “acabar” com o uso de dados.

Conforme destacado por Bernard Marr, a coleta / mineração não regulamentada de dados acarreta “um conjunto totalmente diferente de problemas – problemas de privacidade e também o desequilíbrio de poder causado pela informação estar nas mãos de poucos, e não de muitos.”.

E tais problemas de privacidade ecoam nos mais distintos níveis pessoais, dado que inúmeras vezes o titular do dado não tem a menor ideia do que autorizou, quantos e quais dados são utilizados e de que forma serão tratados seus dados (sensíveis ou não).

Basta rememorar grandes escândalos mundiais de uso indevido de dados como o da Cambridge Analytica, que envolveu o Facebook, vazamentos de plataformas de games como a Sony, dentre outros casos, e a cada vez maior necessidade de preocupação com segurança cibernética / cyber security.

E com isso chegamos aos atuais modelos regulatórios que estão sendo implementados ao redor do globo. Especialmente importa à atividade empreendedora nacional o impacto da Lei nº 13.709/2018, conhecida como Lei Geral de Proteção de Dados, ou simplesmente LGPD.

A GDPR – Regulamento Geral Sobre A Proteção de Dados

Dentro das siglas indicadas, a GDPR refere-se ao Regulamento Geral sobre a Proteção de Dados nº 2016/679, da União Europeia, em vigor desde maio de 2018.

Trata-se de um regulamento do direito europeu sobre privacidade e proteção de dados pessoais, que tem aplicabilidade sobre todos os indivíduos na União Europeia e Espaço Econômico Europeu, e que também regulamenta, de forma extraterritorial, a exportação de dados pessoais para fora da UE e EEE.

E para empresas e empresários que possuem e lidam com clientes estabelecidos e baseados na Europa (que utilizem dados deste cidadão), certamente será necessário cumprir os regulamentos e ditames da GDPR.

Veja que, em tese, ainda que apenas um cidadão europeu estiver presente no banco de dados, a empresa brasileira automaticamente passa a ter que respeitar as regras da GDPR.

A avaliação criteriosa e pontual irá requerer, portanto, uma cuidadosa investigação e estruturação de regras de compliance digital, seja para verificar se existe a atração da incidência da regulamentação europeia, seja para apontar cuidados necessários aos mais diversos aspectos da segurança da informação, de suma importância para garantir proteção para todos os envolvidos.

A LGPD – Lei Geral de Proteção de Dados

Sem prejuízo da importância da regulação estrangeira, no momento o maior interesse deve estar centrado na LGPD e na ANPD.

A LGPD é a Lei nacional, cuja vigência tem início em agosto de 2020, e que dispõe sobre:

“o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.” (Art. 1º).

O titular dos dados é pessoa natural a quem se referem os dados pessoais que são objeto de tratamento (Art. 5º, V).

A LGPD é uma norma principiológica e não procedimental, dado que não fixa ou estabelece procedimentos que devam ser seguidos pelos responsáveis pelo tratamento de dados.

A regulação brasileira é baseada em princípios e busca garantir e alocar direitos aos titulares de dados, estabelecendo regras claras (em sua maioria) sobre as operações de tratamento realizadas por órgãos públicos ou privados.

E o conceito de “tratamento” é aquele mais amplo possível, envolvendo “toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração” (Art. 5º, X).

Leia Também:  Empresa Cria Visão 360º de Targets por Meio de Big Data e Business Intelligence

Existem 3 importantes definições das quais o empresário e empreendedor deve ter conhecimento – controlador, operador e encarregado.

O Controlador

O Controlador é aquele definido pela Lei como sendo toda pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.

O Operador

O Operador é pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.

O Encarregado

E por último, o Encarregado, que será a pessoa indicada pelo Controlador e Operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD); (Art. 5º, VI, VII, e VIII, respectivamente).

O Princípio Básico da LGPD

Um princípio básico da LGPD é a responsabilização do Controlador (a quem compete a tomada de decisões referentes ao tratamento de dados pessoais), que deve ser capaz de demonstrar que o processamento é/foi realizado de acordo com a regulação (LGPD e regulamentação a ser fixada pela ANPD), de forma eficaz, ativa e passivamente, inclusive por meio de prestação de contas.

Importância da relação entre Controlador e Operador, pois, ainda que a norma brasileira tenha determinado que o Operador deva realizar o tratamento de dados conforme as instruções do Controlador, não há exigência de formalização por meio de contrato ou outro ato jurídico que vincule as partes (obrigação presente na GDPR). Naturalmente, a melhor recomendação é no sentido de que o vinculo seja formal e documentalmente estabelecido e regrado.

Caberá ao controlador dos dados, visando a proteção da reputação, bom nome e imagem do empresário e empreendedor, afastá-lo e protegê-lo de ações ilícitas, por meio de condutas lastreadas em elevados padrões éticos e morais. No tocante aos dados, deverá manter tais informações seguras e comprovadamente demonstrar que está “em compliance” com a LGPD.

A ANPD – Autoridade Nacional de Proteção de Dados

A Autoridade Nacional de Proteção de Dados (ANPD) é a autoridade nacional criada como sendo um órgão da administração pública federal, integrante da Presidência da República, responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional. (Art. 5º, XIX).

A ANPD tem autonomia técnica e decisória, e lhe foi conferido um conjunto de funções regulatórias, sancionadoras e normativas, significando uma atuação mais ampla e não apenas vinculada ou destinada a aplicação de penalidades e sanções.

Espera-se que os gestores públicos atuem no desenvolvimento de uma efetiva e melhor cultura relacionada ao uso e tratamento de dados pessoais, com aprofundamento da privacidade e segurança de tais dados, que já vinham tratados desde o Marco Civil da Internet (Lei n° 12.965/2014).

É importante reforçar que a LGPD se aplica:

“a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados”, desde que:

(i) o tratamento seja realizado no território nacional;

(ii) tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional;

(iii) ou os dados pessoais objeto do tratamento tenham sido coletados no território nacional.

Devem ser considerados coletados no território nacional os dados pessoais cujo titular nele se encontre no momento da coleta (Art. 3º).

A Importância do Compliance Digital para Mitigar Riscos

O que se deve estabelecer, como meta para mitigar os riscos de atuação e tratamento de dados, e para não ter que desesperadamente estruturar um plano de recuperação de desastres, o empresário e empreendedor devem buscar apoio para desenvolver uma estrutura básica de compliance digital (monitoramento e controle), que pode envolver:

(i) avaliação de ferramentas de comunicação e de armazenamento de dados corporativos, para identificação de usos e gargalos no tratamento de dados (dados pessoais, dados sensíveis – inclusive de eventuais dados de menores) de diversas fontes e meios (cadastro de clientes, website da empresa, mailing, softwares internos e licenciados, sistema de criptografia e os contratos de trabalho, de serviços com parceiros, clientes e fornecedores);

(ii) auditoria (due diligence) visando identificação de ações e rotinas da empresa que necessitam maior atenção e cuidado, e para estruturação de um planejamento;

(iii) análise e adequação de termos de uso e políticas de privacidade aplicados aos mais distintos meios utilizados pela empresa;

(iv) estabelecimento de níveis de fiscalização e barreiras internas sobre tratamento e disponibilização de dados;

(v) criação e transmissão de nova cultura corporativa a ser estabelecida por meio de políticas internas (manual ou cartilha) (gestão dos recursos de tecnologia da informação, gestão e compartilhamento de dados entre áreas e politicas de tratamento de dados, informando como dados pessoais de clientes e colaboradores serão tratados, armazenados e disponibilizados).

Conclusão

De toda forma, não podemos exorcizar ou buscar eliminar o tratamento de dados e o BI das empresas – não é este o real alcance das diversas legislações locais e/ou regionais que tratam de privacidade e tratamento de dados.

O que efetivamente é necessário é a busca pelo equilíbrio entre o BI e os direitos daqueles titulares de dados que estão sendo tratados.

Afinal, “assim como o petróleo era um recurso natural que alimentava a última revolução industrial, os dados serão o recurso natural dessa revolução industrial.” (Abhishek Mehta, 2013).