Gustavo Artese*/ Ilustração: Julia Padula

Em 14 de agosto último foi sancionada nossa Lei Geral de Proteção de Dados Pessoais, que já recebeu acrônimo de quatro letras (LGPD), à semelhança de sua matriz europeia (GDPR). Se você teve chance de se familiarizar com o tema, é possível que tenha ficado incomodado com o surgimento de mais uma tarefa de compliance para sua empresa. Quer encontrar o culpado? Eu ajudo. Ele reside no Museu Smithsonian, em Washington D.C., e responde pelo nome de Eniac.

Eniac — ou Electronic Numerical Integrator and Computer — foi o primeiro computador digital eletrônico de grande porte (mainframe). Foi desenvolvido para processar cálculos balísticos na Segunda Guerra, mas não chegou a cumprir essa finalidade, uma vez que entrou em funcionamento apenas em fevereiro de 1946.  Tornou-se obsoleto em apenas dez anos.

Concebidos para propósitos bélicos, o processamento massivo de dados e suas aplicações foram logo reconhecidos por outras áreas de governo, com destaque para o auxílio na definição de políticas públicas, como o censo demográfico. Já nas décadas de 1960 e 1970, a exploração da capacidade computacional pesada caminhou para a iniciativa privada, terreno onde mais se desenvolveu.

A façanha de Eniac foi ter inaugurado a era em que a humanidade passou a ter a capacidade de processar dados em grande escala. Ocorre que os dados processados muitas vezes dizem respeito a pessoas, o que implica riscos à privacidade e a direitos fundamentais de cada um de nós.

A ciência econômica define como externalidades os efeitos colaterais que uma decisão tem sobre aqueles que dela não participaram. Verifica-se uma externalidade quando há consequências para terceiros que não são levadas em conta por quem toma a decisão. A externalidade é negativa quando gera custos para os agentes externos. A poluição é o exemplo clássico de externalidade negativa.

Riscos associados ao processamento de dados pessoais são, de certo modo, a poluição que decorre da sociedade da informação. Esses riscos se materializam, por exemplo, na possibilidade de decisões equivocadas (e.g. relativas à concessão de crédito ou à contratação para emprego), na falta de controle sobre o fluxo de dados que dizem respeito a uma pessoa e a eventuais consequências da discriminação e do profiling.

Até o perdão, ou mesmo aquela vista grossa indulgente, em relação a atos impensados ou pecadilhos do passado, podem se ver ameaçados pela preservação indevida de dados pessoais. No limite, a própria noção cristã de redenção pode se ver a perigo.

Leis de proteção de dados pessoais, como a LGPD, nada mais são que respostas regulatórias aos riscos associados ao processamento massivo de dados pessoais. Não houvesse computador, não haveria a LGPD.

É nesse sentido que, antes de qualquer outra consideração, a legislação parte do pressuposto de que dados pessoais não podem ser processados sem que uma série de requisitos e controles sejam observados. Na lógica da LGPD, governo e iniciativa privada partem do “não” para tratar dados pessoais. O caminho rumo ao “sim” é intrincado, exigindo tempo e investimento.

Para olhos não treinados, a leitura da LGPD pode ser intimidadora. São várias as obrigações e os compromissos que deverão ser assumidos que, apesar de devidamente ordenados na lei, não guardam lógica aparente ou explícita.

Para chegar ao “sim”, a LGPD (e, de maneira geral, qualquer lei de proteção de dados pessoais) exige quatro conjuntos de ações daquele que pretende tratar dados pessoais: observância dos requisitos para tratamento (obtenção de consentimento, existência de interesses legítimos, tratamento para a tutela de saúde), tratamento de acordo com os princípios aplicáveis à gestão de dados (apenas para a finalidade objeto do consentimento, mínimo de dados necessários para se atingir o propósito do tratamento), observância dos direitos do titular quanto a seus dados (acesso, correção, portabilidade, eliminação e revogação), adoção de controles, processos, boas práticas e governança (DPO, privacy by design, accountability).

Apesar de não serem fáceis de implementar, são esses os quatro marcos a serem perseguidos rumo à conformidade no tratamento de dados pessoais. Trata-se de carta náutica segura, tanto para a interpretação adequada da LGPD quanto para a implementação dos controles internos de uma organização.

A par disso, as palavras de ordem que devem permear qualquer esforço de compliance em proteção de dados são ética, confiança e comprometimento. Ética no sentido de que a organização deve pautar seu tratamento de dados com base na razoabilidade; confiança no sentido de que a conquista de confiança de todos os stakeholders (titulares, regulador e parceiros) deve ser perseguido, comprometimento na medida em que nenhum desses objetivos será atingido sem o compromisso da alta administração.

*Gustavo Artese (gustavo@arteseadv.com.br) é sócio de Artese e Advogados