Ilustração: Rodrigo Auada

Batem à porta das empresas brasileiras, dos mais variados portes e setores, as novas regras locais para coleta, tratamento e compartilhamento de dados. Sancionada em agosto do ano passado, a Lei Geral de Proteção de Dados (também conhecida pela sigla LGPD) entra em vigor em 2020, quando passa a de fato delinear a administração de informações pessoais — dinâmica tão nova quanto relevante do ponto de vista da gestão de riscos corporativos. O prazo para adaptação se encerra em fevereiro de 2020, o que já dispara o alerta para as organizações se mexerem.

Considerando o prazo exíguo para a LGPD passar a vigorar, vale o debate em torno de questões como as principais mudanças que a lei representa e os desafios de implementação a ela associados. Esses e outros pontos relevantes foram abordados no encontro do Grupo de Discussão realizado em 4 de dezembro de 2018, com a participação de Paulo Seixas, diretor da Fifteen Hundred Consulting; José Eduardo Pieri, membro da comissão de direito digital da Associação Brasileira de Direito da Tecnologia da Informação e das Comunicações (ABDTIC); Camila Borba Lefèvre, sócia do Vieira Rezende Advogados; e Antonio Gesteira, sócio líder de serviços forense da KPMG Brasil.

CAPITAL ABERTO: Que pontos da nova lei merecem atenção particular?

Camila Lefèvre: A grande novidade é que existe uma vedação para o tratamento de dados pessoais, exceto nas hipóteses que estão autorizadas pela Lei. Costumo dizer que o compliance dentro das empresas é como um muro que se vai construindo para proteger a empresa contra determinadas infrações a leis que podem prejudicá-la. E esse muro agora também vai ter que ser construído com relação a dados pessoais. A primeira coisa que se precisa fazer é uma análise dentro da empresa sobre o que fazer com dados pessoais. Qual a natureza desses dados?

CAPITAL ABERTO: Como está o andamento das obras desses “muros” nas empresas brasileiras?

Antonio Gesteira: É importante dizer que isso não deveria ser algo novo para as empresas que estão mais maduras — se é que se pode chamar assim as multinacionais que operam no Brasil. O que temos percebido é que as subsidiárias, pegando uma linha de empresas multinacionais que já passaram pelo GDPR [lei europeia que trata da proteção de dados], têm como primeiro desafio a criação da figura do DPO [data protection officer], que segundo a lei brasileira deve ser o responsável pelo projeto de proteção de dados dentro da companhia. É preciso ter o projeto do arquiteto antes de contratar o pedreiro.

Mas acho que o calcanhar de aquiles é o mapeamento de dados: saber onde estão, conhecer suas extensões, saber se são dados estruturados ou não. No Brasil existem plataformas heterogêneas — em formatos de cadastro, de endereço, de CPF; a identificação é diferente conforme a plataforma. O desafio vai ser exatamente normatizar ou normalizar essa base de dados.

CAPITAL ABERTO: Seria um desafio para as empresas brasileiras pensar na privacidade dos dados já na concepção de um projeto? O fato de cada vez mais se exigir agilidade na inovação dificultaria essa tarefa?

Paulo Seixas: Hoje nossa capacidade de inovação é absurda. Para se ter uma ideia, um projeto de analytics ou de big data leva apenas duas, três semanas, é muito rápido. Por exemplo: se um varejista quiser ouvir o que um cliente está falando dentro do provador, ele pode? Tecnicamente sim. Se quiser identificar o cliente quando ele entra na loja, pode? Sem problema nenhum. E o custo da infraestrutura para ele poder fazer isso fica em torno de 149 dólares por mês, extremamente baixo. Por outro lado, existe pressão muito grande para se inovar, para entrega de resultado, criação de uma cultura de inovação. Então os projetos devem prever desde o início anonimização, deleção e portabilidade de dados, para se evitar problemas no futuro. Até porque um dos desafios é o fato de não existir uma base de dados única.

CAPITAL ABERTO: A lei fala em “uso legítimo da informação”, um conceito muito amplo. O que de fato significa essa expressão?

José Eduardo Pieri: Hoje no Brasil, em termos de captação de dados, só existe a referência do marco civil da internet, segundo o qual a hipótese-chave para a captação e o tratamento de dados é o consentimento expresso. A LGPD representa uma evolução, já que estabelece dez hipóteses, sem que uma seja mais importante que a outra. É importante saber qual é a fundamentação jurídica de cada tratamento de dados. O desafio das áreas de compliance das empresas é criar essas justificativas, para fundamentar as decisões a serem tomadas. E, mais importante do que isso: deve-se criar uma argumentação sólida, para que no dia em que for questionada a empresa possa dizer que tratou determinado dado como de legítimo interesse, por causa de tal justificativa jurídica, de tal linha de argumentação.

CAPITAL ABERTO: Ao mesmo tempo em que se passa a exigir mais rigidez em relação à proteção de dados pessoais, a informação está mais pulverizada dentro das empresas. Como lidar com esse cenário?

Paulo Seixas: Esse é um dos grandes problemas que teremos pela frente. Para cumprir a lei, uma empresa precisa ter rastreabilidade para todas as análises e registros. Mas como controlar um processo de inovação sem bloqueá-lo? A questão é como encontrar o ponto de equilíbrio. Outro aspecto importante é que existem algoritmos de machine learning, especialmente de deep learning, que não explicitam o porquê de identificarem tal coisa como um padrão específico.

CAPITAL ABERTO: A lei fala também em anonimização de dados. Como olhar para esse aspecto no ambiente corporativo?

Camila Lefèvre: A lei diz que os dados que são anonimizados não estão sujeitos a todas as restrições. Então é uma coisa interessante de se olhar. Se uma empresa vai trabalhar com dados, pode ser com dados anonimizados? Quais são os requisitos legais para se fazer uma anonimização que esteja fora do alcance da lei?

Paulo Seixas: Mas nesse ponto há um aspecto interessante, que são os requisitos legais. Porque hoje existem mecanismos para, a partir de um dado anonimizado, se chegar ao titular. Então, qual o limite?

José Eduardo Pieri: Como a lei é pró-negócio, reconhece que não é possível chegar a uma blindagem de 100%. A obrigação das empresas não é anonimizar, é investir no que há de mais moderno, é fazer todos os investimentos necessários e disponíveis para fins de anonimização. A obrigação é de meio, não de fim. No momento em que se fizer o relatório de impacto de dados é preciso que se diga quanto foi investido, qual foi a ferramenta adquirida, por que foi a escolhida e como foi feito o tratamento. Porque, no momento em que desanonimizar esses dados, a empresa terá que cumprir as normas

Leia também

Efeitos da lei de proteção de dados nas operações de M&A 

Riscos cibernéticos ganham prioridade na agenda corporativa

GDPR, versão brasileira 

CAPITAL ABERTO: E a questão do CPF? Qualquer cadastro simples hoje exige o preenchimento do campo do CPF… Ele é considerado um dado sensível?

Camila Lefèvre: Esse tipo de questão surge no Brasil porque até hoje não existia uma cultura e de privacidade no País. Não pensamos nisso, e agora vamos ter que começar a pensar. A lei inclusive obriga que uma empresa colete dados somente na medida em que eles são necessários para aquele interesse ou objetivo. Eu não posso pedir seu CPF se não for necessário. Então acho que isso vai ter que ser revisto.

José Eduardo Pieri: A criação de uma lei demanda escolhas legislativas. No caso da LGPD, optou-se pela inclusão da figura do dado sensível, inexistente no marco civil da internet. E qual foi a escolha legislativa no caso da LGPD? Que qualquer informação, qualquer dado pessoal que possa acarretar algum tipo de preconceito sobre uma pessoa é um dado sensível. Então, RG e CPF não entraram como dados sensíveis, e eu entendo a lógica. A lei veio para viabilizar negócios envolvendo dados, não para atravancar.

Antonio Gesteira: Uma coisa é informação pessoal, outra é informação pessoal identificável. Na grande maioria dos sistemas, a chave é alguma informação pessoal, não necessariamente identificável. E acho que isso não vai mudar — um CNPJ é uma chave, assim como um CPF. É pouquíssimo provável que toda a arquitetura tecnológica mude para deixar de coletar esse tipo de informação. Mas, ao mesmo tempo, é preciso deixar clara a diferença entre informação pessoal e informação pessoal identificável.

CAPITAL ABERTO: Falando agora sobre a figura do DPO: ela é requerida pela LGPD para empresas de todos os portes?

Camila Lefèvre: É até possível que essa figura do DPO seja dispensada, mas acho que as empresas vão precisar ter uma pessoa responsável por essas questões de tratamento e proteção de dados. Um exemplo: na empresa, onde está alocado o canal de comunicação com o titular dos dados? Na essência, é preciso que exista uma pessoa na empresa responsável por isso. Mas a responsabilidade vai depender do tamanho de cada uma e de seu nível de uso de acesso de dados.

Antonio Gesteira: A figura do DPO tem que estar dentro do contexto das três linhas de defesa: o business, as áreas de auditoria e compliance e o regulador. Tentando colocar em perspectiva o risco da exposição dessa função, não dá para colocar um estagiário para fazer esse trabalho.

CAPITAL ABERTO: Para além da proteção de dados de clientes, as empresas hoje se veem diante de ameaças cibernéticas, segurança da informação e riscos operacionais. Nesse ambiente, o compliance também deve estar atento ao potencial estrago para o negócio de eventuais vazamentos de dados?

Paulo Seixas: Pensando em empresas multinacionais: elas têm critérios próprios para abordagem de compliance, de risco, de administração. Algumas, por exemplo, não permitem uma conexão servidor a servidor, por se tratar de um risco muito grande, na sua avaliação. “Ah, então tá bom, você pode fazer o seguinte: eu mando o dado por e-mail”. É uma coisa absurda! A empresa pode querer controlar tanto que acaba criando risco muito maior do que se tivesse permitido uma conexão com dados criptografados. Assim, não adianta uma política ser extremamente rigorosa, porque na ponta existe a realidade do negócio. Então como é que se casa essas duas situações?

CAPITAL ABERTO: E quando se pensa no consentimento dos usuários? Os termos de serviço que envolvem uma caixinha com “li e concordo” são suficientes? Para os funcionários de uma organização o que a LGPD prevê em termos de proteção de informações pessoais?

José Eduardo Pieri: Na minha opinião, consentimento padrão não basta: o consentimento deve ser inequívoco, informado e livre. Para que seja informado, a pessoa efetivamente deve saber a finalidade da cessão do consentimento. E livre significa que a pessoa tem que ter a opção de dizer não. Uma cláusula de uso de dados no contrato de trabalho é um consentimento livre? Claro que não. A pessoa não tem opção. Então, as empresas precisam avaliar em que momento estão obtendo consentimento para verificar se era de fato necessário. Aquela cláusula no contrato de adesão padrão que ninguém lê não vai ser efetivo.

Paulo Seixas: Se estamos falando em proteger a privacidade do usuário final, acabamos entrando um pouco também na privacidade dos empregados. O que acontece hoje é que, para se proteger o servidor e o fluxo de dados dentro de uma empresa, existe uma série de ferramentas. O elo fraco da cadeia são as pessoas. Os funcionários e equipes representam boa parte das portas de entrada e, se a empresa não controlar essa ponta, estará deixando de cumprir todos os requisitos de controle e segurança.

Antonio Gesteira: E aqui começamos a entrar numa outra seara, também polêmica, que é o “bring your own device”. Funciona assim: um funcionário compra um celular na loja e usa o chip da empresa. Como entender isso? Se não fica clara a propriedade daquele dispositivo, no caso de a empresa não ter uma política de “bring your own device”, paira a dúvida: ela pode fazer a coleta do chip? Mas sabemos que a informação não está no chip.

Então, inicialmente conversamos com o departamento jurídico para realmente revisitar todas as políticas internas e, obviamente, a anuência do colaborador: é preciso saber se ele tem ciência de que a empresa monitora e-mails, de que em um caso de uma investigação as informações contidas no computador podem ser analisadas etc. Mas sabemos que esses dispositivos têm informações pessoais e dados sensíveis para investigação.

Camila Lefèvre: Com relação a empregados, é importante que os departamentos de recursos humanos comecem a pensar em como a empresa usa os dados desses funcionários. Que tipo de política tem para isso? Existe consentimento? Mais que o consentimento previsto na LGPD, a empresa precisa informar, ter políticas claras dizendo “olha, uso seus dados para tal finalidade”. Transparência é fundamental.

Leia também

Como tributar dados

Direito digital busca dar conta do avanço da tecnologia 

A tributação de novas tecnologias