Rita Casaro
“É quase como se fosse a repactuação das regras de como a sociedade funciona, porque essa é, cada vez mais, movida e orientada por dados. Para fazer uma analogia, é algo como o que foi a Consolidação das Leis do Trabalho (CLT) ou o Código de Defesa do Consumidor.” Assim o advogado Bruno Bioni descreve a Lei Geral de Proteção de Dados (nº 13.709), sancionada em 2018, vigente desde setembro de 2020, mas totalmente operante a partir de 1º de agosto último.
Instituída com a previsão de dois anos para que empresas e órgãos públicos pudessem se adequar às regras e mais um ano de vigência sem sanções, só agora estão valendo os artigos 52, 53 e 54 que determinam as penas a serem aplicadas pela Autoridade Nacional de Proteção de Dados (ANPD) em caso de transgressões. Essas vão de meras advertências a multas de R$ 50 milhões por infração.
Para além da importância de se respeitar a legislação para evitar as punições, Bioni, que é professor e consultor jurídico na área de regulação e tecnologia, com ênfase em privacidade e proteção de dados pessoais, avalia que a LGPD deve ser encarada como uma janela de oportunidades para aprimoramento de processos, ganho de eficiência e vantagem competitiva.
Doutorando em Direito Comercial na Faculdade de Direito da Universidade de São Paulo (USP), ele lembra, contudo, que extrair o melhor resultado dessa nova realidade exigirá mudança de cultura e atenção permanente aos processos envolvidos no tratamento de dados. “Muitas organizações tiveram um bom fôlego no início, mas às vezes acontece de mudar a equipe e isso acaba se perdendo, então essa perspectiva de reciclagem tem se apresentado como um dos principais gargalos”, destaca.
Esse aspecto demonstra a importância de quadros capacitados e abre oportunidades profissionais, inclusive a engenheiros na área de tecnologia da informação. “É um incentivo para que as pessoas possam estudar sobre o tema. Cada vez mais, processos seletivos cobram esse tipo de habilidade ou um mínimo de familiaridade”, revela.
Para que a sociedade como um todo se beneficie da LGPD, agora implementada plenamente, ressalta Bioni, é fundamental que haja, além de fiscalização, políticas públicas de educação e capacitação sobre a importância do respeito à privacidade. “O cidadão, sozinho, nem sabe quais são seus direitos, nem sabe eventualmente o que mudou, e isso precisa ser comunicado.”
Confira a entrevista ao Jornal do Engenheiro a seguir e no vídeo ao final.
Qual o significado do advento da LGPD para a sociedade?
O adjetivo mais importante é o “geral”, é uma Lei Geral de Proteção de Dados Pessoais. Significa que ela estabelece as regras do jogo para todo e qualquer tipo de tratamento de dados pessoais, ao uso das nossas informações, nos mais diferentes setores, nas mais diferentes relações. Quando estamos nos relacionando com o Estado, por exemplo, como beneficiários de uma política pública, como Bolsa Família ou Fies (Fundo de Financiamento Estudantil). Também impacta as relações laborais; invariavelmente nosso empregador processa uma quantidade enorme de dados pessoais, em folha de pagamento, para monitorar produtividade, questões de saúde e segurança. E as relações de consumo, nas mais diferentes facetas, como operadoras de celular, planos de saúde e por aí vai. Essa é uma lei que tem impacto enorme, é quase como se fosse a repactuação das regras de como a sociedade funciona, porque esta é cada vez mais movida e orientada por dados. Para fazer uma analogia, é algo como o que foi a Consolidação das Leis do Trabalho (CLT) ou o Código de Defesa do Consumidor.
Quais são os desafios para as organizações se adequarem às novas regras?
A melhor maneira de buscar a implementação é organizar o “guarda-roupa de dados”. As organizações processam uma série de dados, mas muitas não passaram por um processo de transformação digital e tecnológica para entender isso como um grande ativo e para extrair valor. Durante essas várias etapas de implementação, a mais importante talvez seja o mapeamento, que é justamente catalogar os dados e entender quais as finalidades e as bases legais para tratá-los. Tudo isso faz parte de um relatório diagnóstico que acaba se transformando num documento vivo dentro de um programa de governança. As organizações não vão parar de tratar dados, pelo contrário, isso só vai aumentar. Esse é um processo que veio para ficar. O principal gargalo é o elemento humano, porque isso envolve uma mudança de cultura na organização. O elemento de capacitação dos colaboradores, de entender quais as rotinas, como criar essa documentação e fazer o ajuste fino. Muitas organizações tiveram um bom fôlego no início, mas às vezes acontece de mudar a equipe, e isso acaba se perdendo, então essa perspectiva de reciclagem tem se apresentado como um dos principais gargalos. Muitas organizações não têm os processos desenhados dentro delas e aí acontece a contratação de profissionais de gerenciamento de projetos, que não o jurídico ou necessariamente relacionado a segurança de informação, mas que possa fazer essa sincronização entre as áreas. Obviamente, também tem um pilar muito forte relacionado à tecnologia, então muitos desses profissionais estão sendo assediados, no bom sentido, porque há demanda. E há a perspectiva jurídica, mais regulatória ou mesmo de compliance, para entender qual a interpretação que se dá, como os órgãos reguladores estão atuando e atualizar sempre, revisitar as decisões que foram tomadas em relação à adequação. Um exemplo: hoje se discute muito quais bases legais autorizam organizações a tratarem dados pessoais. Pode ser consentimento, pode ser legítimo interesse, pode ser cumprimento de contrato. Mas qual situação tem melhor encaixe? É dinâmico e vai precisar trabalhar cada vez mais dentro da formação de uma nova cultura organizacional. Porque mesmo depois que se consegue desenhar esses processos, é muito importante fazer com que as áreas não trabalhem em silos, pelo menos do ponto de vista desse programa de governança. Caso contrário, estarão sempre num ponto cego. É um exercício contínuo, sempre tem algo a se fazer, porque sempre tem a entrada de um conjunto de dados.
Que orientações você daria aos profissionais, especialmente da engenharia, para que tirem o melhor proveito dessa nova cultura?
Primeiro, entender que isso não é um tema jurídico, envolve todas as áreas, inclusive engenheiros de TI ou outros, como de produção. É uma agenda sobretudo de oportunidade no mercado de trabalho. Então é um incentivo para que as pessoas possam estudar sobre o tema. Cada vez mais, processos seletivos cobram esse tipo de habilidade ou um mínimo de familiaridade. Do ponto de vista da classe dos engenheiros, como da construção civil, que pode estar pensando “como esse negócio vai afetar o meu dia a dia?”, afeta demais. Você trata dados pessoais de “n” colaboradores; envolve a perspectiva de se relacionar com o seu consumidor, para fins de remarketing, de comunicação. Vale a pena pensar desse ponto de vista de não ser um custo, mas uma janela de oportunidades. Quando você tem os dados mais estruturados, tem mais eficiência, mais agilidade, identifica os gargalos.
Como a lei vem sendo implementada e o que significa a fase que teve início em agosto deste ano?
Desde o início, houve um diagnóstico que essa seria uma lei que traria impacto muito grande. Então, quando foi aprovada em 2017, logo se pensou em ter dois anos como período de vacatio legis: a lei foi aprovada, mas ainda não estava valendo, para que as organizações pudessem se adaptar. Esperava-se que os setores se utilizassem desses 24 meses para readequar os seus processos. Depois, colocou-se mais uma fase e a partir de agosto, os órgãos reguladores, especialmente a Autoridade Nacional de Proteção de Dados, já podem aplicar sanções caso haja infração.
E quais são essas sanções que passam a valer agora?
É importante lembrar que já havia fiscalização, inclusive antes da LGPD, [segundo outras normas], como o Marco Civil da Internet, o Código de Defesa do Consumidor, a Lei do Cadastro Positivo. Dentro desse cenário, eu gostaria de destacar o papel da Secretaria Nacional de Defesa do Consumidor e de Procons, que há muito tempo já vêm fiscalizando. Inclusive, nesse interregno, já tem havido muitos casos em esferas administrativas em que as regras do jogo vêm sendo cobradas. É uma lei que já pegou, antes da sua própria vigência. Também é preciso ter um olho não apenas na Autoridade Nacional de Proteção de Dados, mas se o setor é regulado em outras agências, como telecomunicações e saúde. Com a lei agora totalmente operante, é possível aplicar sanções nela previstas, que são duras, desde uma advertência a multas que podem chegar a R$ 50 milhões por infração ou ao bloqueio do tratamento de dados pessoais, o que, para algumas organizações, pode significar praticamente fechar as portas. Temos visto também um discurso muito afinado entre os diretores da Autoridade Nacional de Proteção de Dados, entendendo que pode ter ondas de fiscalização. Neste primeiro ano, vão atuar de maneira muito seletiva, do ponto de vista de capacitação e educação. Tem um cenário que não haverá um efeito dominó de multas, porém, não impede que já haja aplicação para que sejam exemplares. Quem vai cobrar? Não apenas o consumidor vai fazer uma denúncia, mas também os próprios agentes econômicos. Muitas vezes, aquela organização investiu tanto para estar em adequação que é uma prática anticompetitiva se o seu par no mesmo setor não investe e acaba tirando vantagem porque está descumprindo as regras do jogo. Há uma constelação de atores interessados no tema. E não vai ser do dia para a noite que vamos criar uma cultura de proteção de dados pessoais no Brasil. Primeiro vem a lei, depois vêm entidades com expertise para tratar esse tema; os órgãos reguladores se capacitam; o Judiciário começa a entender melhor a matéria. É um longo processo, e as organizações, se conseguirem entender isso como uma vantagem competitiva, vão plantar e colherão os frutos no futuro, porque vão se diferenciar nessa perspectiva: “você pode confiar seus dados a mim”.
Como o cidadão deve se comportar para fazer valer a lei e contribuir para proteger seus próprios dados?
Os efeitos da desproteção dos nossos dados são muito concretos, como algum tipo de discriminação que você pode sofrer por orientação religiosa, política ou características sensíveis. Envolve a perspectiva da nossa identidade, cada vez mais somos julgados não pela nossa pessoa de carne e osso, mas por aquilo que um banco de dados diz a nosso respeito. Tomada de crédito é vinculada a isso; se você tem os seus dados vazados e possíveis fraudes são praticadas, isso vai te cobrar lá na frente. E há questões muito emblemáticas. Há relatos mostrando como o referendo do Brexit, para saída do Reino Unido da União Europeia, pode ter sido manipulado a partir do uso de dados pessoais de maneira abusiva. Também há relatos [parecidos] sobre as eleições norte-americanas. E discussões [sobre] as eleições presidenciais [no Brasil] que aconteceram, e provavelmente vamos ter a mesma discussão no futuro. Então, impacta de maneira brutal a nossa vida. É sobre quem nós somos, como queremos ser enxergados e como nós queremos nos proteger em sociedade. Do ponto de vista da relação empregado-empregador, quais são os limites do monitoramento no ambiente de trabalho? Até onde se pode vigiar utilizando um dispositivo ou até mesmo durante home office? A maneira pela qual a gente vai virar essa chave de ter a formação de uma cultura de proteção de dados pessoais depende principalmente do cidadão, do titular, de ele exercer seus direitos quando verificar que há violações, procurando os órgãos reguladores. Procurando também fazer escolhas dentro do mercado de consumo que levem isso em consideração. Mas há a perspectiva de que é uma política pública. Vai precisar ter o envolvimento do Estado para educar, vai precisar ter campanha para dizer que isso é importante como foi o Código de Defesa do Consumidor. O cidadão, sozinho, nem sabe quais são seus direitos, nem sabe eventualmente o que mudou, e isso precisa ser comunicado. E [a partir disso] o cidadão vai precisar compreender e tomar ações no seu dia a dia. A gente não faz um detox para limpar o organismo? Por que não fazer um detox dos aparelhos celulares? Tem às vezes um aplicativo instalado há cinco anos e nunca mais usou. Isso significa que ele pode estar consumindo seus dados sem você consumir o aplicativo. Você pode também ter algum tipo de atualização nos seus dispositivos para questões de segurança para que esse seu veículo da vida digital não esteja vulnerável. Por fim, os órgãos reguladores devem cada vez mais se capacitar, não apenas a Autoridade – que pode se converter numa autarquia, passando a ser um órgão da administração pública indireta, com mais autonomia –, mas também os demais, que cada vez mais terão que lidar com isso, Cade [Conselho Administrativo de Defesa Econômica], Anatel [Agência Nacional de Telecomunicações], Bacen [Banco Central do Brasil]. Esse conjunto de ações será necessário para projetar um futuro melhor, o que acontecerá a médio e longo prazo.
Saiba mais sobre a LGPD
Autoridade Nacional de Proteção de Dados (ANPD)
Confira o vídeo com a entrevista de Bruno Bioni