PT
EN
Com a recente divulgação do novo ISO 31.700 (privacy by design) que visa incluir a privacidade como padrão no tratamento de dados pessoais, convidamos a Dra. Paula Tonani para um bate-papo sobre a Lei Geral de Proteção de Dados.
Há mais de 25 anos à frente da Tonani Advogados, Dra. Paula Tonani concilia a advocacia com a função de conselheira efetiva no Instituto dos Advogados de São Paulo (IASP) e com a docência.
Ela possui um extenso currículo: Pós-doutoranda em Ciências Jurídicas pela Faculdade de Direito da Universidade de Lisboa em Portugal, Doutora em Direito Econômico pela Pontifícia Universidade Católica (PUC/SP), Mestre em Direito Civil pela Pontifícia Universidade Católica (PUC/SP), e também é autora do livro Responsabilidade civil e poluição por resíduos sólidos.
Sobre a Lei Geral de Proteção de Dados, , Lei nº 13.709, a Dra. explica que após idas e vindas legislativas, a LGPD foi promulgada em 14 de agosto de 2018 e entrou integralmente em vigor em 01 de agosto de 2021.
Sua promulgação se deu com o escopo de proteger direitos fundamentais assegurados pela Constituição Federal de 1988: a liberdade, a privacidade e a livre formação da personalidade. A lei aborda o tratamento de dados pessoais, dispostos em meio físico ou digital, registrados por pessoa física ou jurídica, de direito público ou privado, prevendo um conjunto de procedimentos e operações que podem se dar pelo meio físico ou digital.
- A LGPD sempre foi muito comentada na mídia, desde sua proposição até a entrada em vigor efetivamente. Quais são os principais pontos da lei?
Vários são os seus pontos positivos, dentre os quais destaco:
(i) a clareza conceitual acerca daquilo que são os dados pessoais e como estes devem ser, efetivamente, observados, tanto pelo titular dos dados, quanto pelo agente de tratamento;
(ii) a transparência em relação aos procedimentos aplicáveis, o que inclui eventual vazamento de dados e suas consequências;
(iii) a responsabilização dos agentes de tratamento;
(iv) as rigorosas penalidades ensejadas por falhas de segurança;
(v) o estabelecimento de regramento único para a sociedade, com vistas à criação de um cenário de segurança jurídica, com a padronização de normas e práticas.
A proteção de dados consubstancia importante direito fundamental globalizado.
É certo, porém, que nem tudo são flores. A lei é nova e, assim como as demais, apresenta lacunas. Por exemplo, a questão extraterritorial, já que a participação em fluxos transnacionais é crescente: as leis de proteção de dados já estão presentes em mais de 120 países, mas ainda há desarmonia de visões regulatórias entre países e atores de grande importância.
É aí que entra o operador do Direito, que deve se nortear por princípios e valores comuns na busca pela proteção isonômica dos usuários e da segurança jurídica.
- Como a LGPD pode afetar as atividades das empresas?
A LGPD afeta diferentes setores e serviços, e a todos os brasileiros de modo geral, seja no papel de indivíduo, empresa ou governo.
Ela impôs uma série de normas relativas à coleta, armazenamento e compartilhamento de dados pessoais. Tudo isso, para impedir o vazamento de dados, estabelecendo procedimentos e sanções em caso de irregularidades.
Agora, as empresas são responsáveis por cada uma das informações coletadas, sejam elas oriundas de formulários de cadastro ou utilização de serviços digitais.
Sendo assim, elas devem observar as previsões legais e serão responsabilizadas pela manipulação e uso desses dados. Nesse sentido devem, inclusive, atuar com transparência junto ao usuário sobre a coleta dos dados (localização, por exemplo).
- Vemos muitas notícias de vazamentos de dados. O que acontece com a empresa que tem dados de usuários vazados para a dark web?
É fato notório que as ações maliciosas em ambiente virtual não param de crescer e podem levar a prejuízos incalculáveis.
A chamada Dark Web faz referência a ambientes virtuais ocultos, com acesso delimitado e comercialização geral, o que envolve pessoas mal intencionadas e práticas ilícitas.
Diversamente dos leigos, que, em sua grande maioria, não tem preocupação em se proteger dos criminosos virtuais, a empresa deve contar com ferramentas poderosas de criptografia e proteção de dados, para impedir ataques cibernéticos e roubo de informações confidenciais.
São inúmeras as consequências que podem vir a ser produzidas por eventual vazamento de dados: crimes financeiros, fraudes, criação de cadastros falsos, falsificação de documentos, entre outros.
É certo que o causador do incidente que obteve os dados pessoais de maneira irregular responde pelo crime previsto no artigo 154-A, do Código Penal.
Mas não é só: conforme prevê o artigo 46 e seguintes da LGPD, os agentes de tratamento possuem, por força de lei, a obrigação de tomar todas as medidas de segurança técnicas e administrativa e arcarão com inúmeros prejuízos sofridos, sejam por condenações amparadas em fundamentos de violação a direitos e garantias fundamentais da população, sejam por desvalorização, consequência da desconfiança daqueles que, até o momento, possuíam negócios com a empresa de onde os dados se originaram.
É imprescindível que a empresa adote mecanismos de segurança que impeçam o vazamento de dados, sob pena de sofrer a imposição de multas milionárias, sem falar nos danos que podem ser causados à sua reputação e comprometer a manutenção de suas atividades.
- E para os cidadãos, quais foram as implicações do advento da LGPD?
Não há dúvida de que o impacto produzido pela LGPD afeta o dia a dia do indivíduo.
Não é preciso ser operador do Direito para saber o quão valiosas são informações como nome completo, RG, CPF, endereço, fotos de rosto, dentre outras. Nas mãos erradas, essas informações podem ser utilizadas para diversas finalidades criminosas.
Tome-se como exemplo a frequente solicitação de autorização reivindicada por sites como condição para prosseguimento de navegação: todos já tivemos que dar o “ok” para aceitar a política de privacidade atualizada ou para o consumo de cookies pelos sites e aplicativos.
O maior impacto trazido é a possibilidade de se solicitar a exclusão de dados inseridos na Internet, a todo e qualquer momento.
Outros impactos que merecem menção são:
(i) a portabilidade entre bancos, quando se mantém os dados da sua conta, mas passa a operá-la em outra instituição financeira;
(ii) a anonimização, pela qual um dado pessoal e/ou sensível passa a ser anônimo, de acordo com técnica aplicada, não sendo possível identificar o usuário por meio do dado anonimizado;
(iii) aumento de segurança de dados, com diminuição da exposição do usuário.
- Recentemente, vimos o lançamento do ISO 31.700 – Privacy by design. Por que ele é importante?
Privacy by Design ou “Privacidade por definição” é uma metodologia desenvolvida por Ann Cavoukian, Comissária de Informação e Privacidade da Província de Ontário, no Canadá.
A Comissária defende que os avanços tecnológicos possibilitam a coleta indiscriminada de dados e informações pessoais, sendo necessário o desenvolvimento de um conceito a ser adotado para que fossem colocados em prática regramentos de privacidade para a oferta de serviços e bens de consumo por empresas dos mais variados ramos.
Segundo ela, a privacidade deve se incorporar ao produto ou serviço durante o processo de sua criação, evitando adaptações e/ou retificações posteriores.
Com a preocupação global acerca da proteção de dados, órgãos e entidades no mundo todo passaram a divulgar e enaltecer os conceitos de Cavoukian, obviamente privilegiados pela legislação específica, como a General Data Protection Regulation (GDPR) e a própria LGPD.
A propósito, a importância do Privacy by Design já havia sido reconhecida pela LGPD, considerando que, em seu artigo 46, previu que: Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
Com a criação da ISO 31700 em fevereiro/2023 – utilizada como guia orientadora de padronização – a importância foi acentuada com dedicação à aplicação do Privacy by Design nas relações de consumo.
A Organização Internacional da Padronização justificou a criação na ISO 31.700 pelas preocupações crescentes quanto à privacidade no âmbito da economia digital. A adoção de práticas não seguras poderia gerar prejuízos incalculáveis aos titulares dos dados pessoais para práticas ilícitas de terceiros mal intencionados.
A ISO 31.700 pretende normatizar e fortalecer o sistema de proteção de dados pessoais, com abordagem integrativa, sempre olhando o processo de tratamento com os olhos do consumidor, maior interessado nos contornos do uso de seus dados. Ela certamente impulsionará o Privacy by Design, mas não dispensa uma mudança cultural dos agentes de tratamento, especialmente de empresas privadas. O planejamento que envolve produtos e serviços já envolve análises técnica, tributária, trabalhista, entre outras, e agora deverá, também, analisar o impacto de tratamento de dados pessoais.
- Como as empresas podem se adequar à LGPD?
A adequação à proteção de dados exige a adoção de medidas peculiares, a depender da pessoa ou organização a que se destina, mas algumas delas são comuns, a partir da implementação de boas práticas que merecem ampla abordagem. Sem pretensão de esgotá-las, damos destaque para:
(i) A realização de mapeamento de dados, que permite a adequação à lei, identificação de riscos, e exploração de melhorias com o afastamento de coleta desnecessária de dados sensíveis;
(ii) A manutenção de registro de operações de tratamento, de acordo com a base legal e sua finalidade, como forma de prova de legitimidade perante a órgãos de fiscalização, a Autoridade Nacional de Proteção de Dados – ANPD;
(iii) Elaboração de Relatório de Impacto à Proteção de Dados Pessoais (RIPD), com avaliação de riscos nas operações de tratamento de dados pessoais e adoção de medidas para mitigação;
(iv) Anonimização de dados. De acordo com a LGPD, a anonimização de dados é a utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo. Em outras palavras, é a impossibilidade de identificação de pessoas a partir de dados disponíveis. Veja-se que, para a empresa, ainda é possível se valer da informação, para fins estatísticos, por exemplo, sem necessidade de identificação do titular;
(v) Investir em Segurança da Informação, evitando, assim, acessos não autorizados, perdas, alterações e comunicações ilícitas. Preza-se pelos princípios da confidencialidade (a informação é conhecida apenas por aqueles que dela necessitam), integridade (mantida da íntegra, sem alterações indesejadas, e disponibilidade (disponível apenas quando necessária);
(vi) Escolha de parceiros idôneos e comprometidos com a proteção de dados. Não basta que uma organização dirija recursos para proteção de dados e privacidade se seus parceiros e colaboradores não adotarem a mesma postura. Um vazamento de dados pode dar ensejo a implicações legais, com a imposição de multas elevadas, e danos de reputação;
(vii) Atender aos direitos dos titulares dos dados. Sugere-se um amplo canal de comunicação com os titulares, com observância a critérios padronizados e, naturalmente, o processo deve implementar meios rigorosos de identificação do titular;
(viii) Criar protocolo de resposta envolvendo dados pessoais, com backup que possa ser acessado em caso de necessidade de recuperação, eliminando todo e qualquer risco ao titular;
(ix) Treinar e conscientizar a equipe a respeito da proteção de dados pessoais, com observância à adequação legal.
- Toda empresa precisa contratar/nomear um DPO? Para as empresas que optarem pelo DPO, é interessante contratar um terceirizado?
De acordo com o inciso V, do artigo 5º, da LGPD, DPO, Data Protection Officer, ou Encarregado, é a pessoa indicada pelo controlador para atuar como canal de comunicação entre o controlador, os titulares de dados e a Autoridade Nacional de Proteção de Dados (ANPD).
Trata-se de profissional que atua com independência e de maneira técnica, sendo responsável pela fiscalização do cumprimento da lei dentro da empresa.
Sua função é obrigatória para todas as empresas que coletem, armazenem ou processem dados, independentemente do porte e da área de atuação e as suas atividades são aquelas previstas no parágrafo 2º, do artigo 41, da LGPD.
O DPO pode ser um funcionário da empresa, mas desde que haja compatibilidade de tarefas.
É possível, também, que o DPO seja terceirizado, com amparo em Contrato de Prestação de Serviço com um indivíduo ou uma companhia externa ao agente de tratamento (DPO as a Service / DPO como um serviço).
Considero oportuna e recomendável a terceirização do DPO, pois, sua contratação se dá exclusivamente para o exercício do mister, cumprindo todos requisitos aplicáveis à função, e, em tese, o terceiro age com imparcialidade, afastando, assim, eventual conflito de interesses.
Há quem compare a dosimetria da pena a um medicamento. A dose correta é a diferença entre o remédio e o veneno.
A partir da finalização dos estudos e definições da dosimetria de punições a vazamentos de dados, a expectativa é que a ANPD faça uso de mais uma ferramenta para punir crimes e irregularidades envolvendo o mau uso de informações pessoais.
Casos como os citados podem servir como exemplo para que outras empresas tenham mais cuidado e responsabilidade sobre as informações manipuladas em seus bancos de dados. Isso deve incentivar um aumento nos investimentos em cibersegurança e governança digital.
