fbpx

Blog

Lei Geral de Proteção de Dados

LGPD, uma visão propositiva da lei, oportunidade para maximização de performance, resultado e diferencial competitivo.

15 de junho de 2020 Acert ID, Anti fraude, Segurança 0 Comments

Resumo: Este artigo coloca sob perspectiva a importância de uma lei geral de proteção de dados pessoais na modernidade, em razão da adoção das novas tecnologias da informação e do grande fluxo de informações e o uso massivo da internet, para salvaguarda de direitos e garantias individuais dos cidadãos e do desenvolvimento econômico e sustentável da tecnologia e da inovação, e ainda, como as organizações podem se beneficiar, neste cenário, dos processos de adequação ao novo regramento legal de proteção de dados.

Art. 2º A CNH Digital constitui a versão eletrônica da Carteira Nacional de Habilitação e possui o mesmo valor jurídico do documento impresso…

Sumário: Introdução. 1. Oportunidade para maximização de performance, resultados e diferencial competitivo. 2. Muito além das sanções, o estabelecimento de uma nova ordem social. Conclusão. Referências.

Palavra-chave: LGPD. Privacidade. Proteção de Dados. Governança de Dados. Segurança da Informação. Privacy by design. Privacy by default. Vantagem Competitiva. Sustentabilidade Digital. Gestão da Inovação. Segurança da Informação. 

1° Introdução
2° Oportunidade para a reforma, resultados e diferencial competitivo
3° Conclusão


1. Introdução

A LGPD foi sancionada em agosto de 2018[1],⁠ e teoricamente entraria em vigor em agosto de 2020, após 2 anos da sanção presidencial (vacatio legis), período estabelecido para que a sociedade e as empresas se adequem ao novo Regramento Geral de Proteção de Dados Pessoais. Em resumo, a lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado[2].⁠ Contudo, em razão do “COVID-19 Effect”a LGPD segue rumo a prorrogação da sua entrada plena em vigor, motivada, em tese, em razão da situação atual em que se encontra a sociedade. Fato é, que recentemente surgiram várias iniciativas legislativas (Projetos de Leis), e mais recentemente a edição da Medida Provisória (MP 959/2020)[3],⁠ que prorrogou a entrada em vigor da lei para 03 de maio de 2021.

Deixemos de lado os impasses de ordem técnico-jurídica que certamente permeiam esta celeuma. A realidade é que PL’s e MP gravitam rumo a prorrogação da entrada  em vigor da lei, quer seja para conveniência de uns, ou para decepção de outros:  de um lado parte do setor empresarial que ovacionaram as medidas; para malgrado de outros, dentre eles, ativistas de privacidade e proteção de dados, acadêmicos e outros simpatizantes da temática.

Fato é, que grande parte das empresas sequer iniciaram seus projetos de adequação à lei, e se de fato a lei entrasse ou entrar em vigor em agosto de 2020, grande fatia deste grupo não estará “compliant” com o novo regramento legal de proteção de dados pessoais. Por tanto, a não conformidade com as diretrizes, princípios da nova legislação e a nova realidade de uma economia digital movida a dados, significa entre outras coisas, estar suscetível a: (i) sucumbir as sanções previstas pela nova legislação; (ii) risco de crise reputacional, nas hipóteses de data breach (incidente de privacidade ou de segurança da informação) e (iii) perda de competitividade. Em todas as hipóteses trazendo consequências e impactos financeiros e reputacionais aos negócios.


2. Oportunidade para maximização de performance, resultados e diferencial competitivo

A LGPD é uma legislação inspirada no regulamento europeu GDPR (General Data Protection Regulation), o que não significa dizer que é uma cópia fiel do referido instrumento legal. Nossa legislação é fruto de um intenso e proativo debate legislativo, que contou com a participação de vários setores da sociedade civil, trata-se de uma legislação moderna e de vanguarda, adequada aos novos anseios de uma sociedade moderna e hiperconectada, orientada e movida por dados (data-driven-society), e que inseri o Brasil em um movimento de convergência global, com a missão de estabelecer um padrão mundial de proteção de dados.  Com forte base principiológica, cuja missão transcende a proteção dos dados pessoais “per se”, pois sua gênese é a proteção de direitos e liberdades individuais dos titulares dos dados pessoais; mais também propiciar a livre e segura circulação dos dados, em prol do desenvolvimento econômico e da inovação, garantindo maior segurança jurídica nas relações e aos negócios, que passam a contar a partir de então com um regulamento geral de proteção de dados.

Uma lei com característica simbiótica, pois dela se extrai requisitos técnicos (segurança da informação) e requisitos técnicos-jurídicos. A novíssima lei traz em seu bojo, diretrizes de segurança da informação – ativo estratégico para proteção da informação – e faz referência a adoção de medidas técnicas e organizacionais pelos agentes de tratamento de dados pessoais[4], controles estes referenciados nas normas ABNT NBR ISO/IEC 27002. Sob outro prisma, em razão da complexidade, interdisciplinaridade, e ainda, toda sistematização que envolve um processo de adequação, notadamente em razão de envolver todas as áreas da organização, com reflexos em todo o ecossistema organizacional,  é recomendável que as organizações oriente-se por frameworks; ajustados, obviamente, as particularidades e peculiaridades de cada instituição, levando-se em consideração, ainda,  à escala e o volume das atividades de tratamento, assim como à criticidade dos dados tratados. 

A metodologia SGPD (Sistema de Gestão e Proteção de Dados) proposto pelo autor John Kyriazoglou, é um dos método, dentro outros,  utilizados para a implementação e governança de Privacidade e Proteção de Dados, que consiste em 5 fases: (1) Preparação; (2) Organização; (3) Desenvolvimento e Implementação ; (4)  Governança; (5) Avaliação e Melhorias. Em síntese, esta metodologia dialoga com ferramentas como PDCA (Plan, Do, Check e Act), utilizada para controle e melhoria contínua de processos e produtos.  Entretanto, em se tratando de um projeto, com todas as suas peculiaridades, deve-se ter em vista, ainda, frameworks como PMBOK (compilado de melhores práticas em gestão de projetos) e ITIL (conjunto de práticas detalhadas para o gerenciamento de serviços de TI). 

Dialogando com os requisitos de segurança da informação retro mencionados, a lei visa a salvaguarda da privacidade e a proteção dos dados em todo o ciclo de vida (coleta, tratamento, compartilhamento e exclusão), por  padrão e desde a concepção, tendo como pedra de toque a privacidade do titular de dados; dai deflui-se o principio do privacy by design e privacy by default,  embarcado na  LGPD e na GDPR. O conceito é fruto dos estudos e da pesquisa da Dra. Ann Cavoukian, Comissária de Informação e Privacidade de Ontário, Canadá, que desde a década de 90 já se preocupava com o exponencial avanço tecnológico e com o crescente volume de dados pessoais que trafegavam nos aparatos tecnológicos e na internet, e que poderiam, invariavelmente, colocar em riscos a privacidade dos cidadãos, São corolário do referido conceito os seguintes princípios ou premissas: 1) ser proativo e não reativo ; 2) privacidade por padrão; 3) privacidade incorporada ao projeto; 4) funcionalidade total – “soma-positiva” ao invés de soma-zero; 5) segurança de ponta a ponta – proteção durante todo o ciclo de vida da informação; 6) visibilidade e transparência; 7) respeito pela privacidade do usuário – solução centrada no usuário.

O Prof. Bruno Bioni em entrevista para o The Shift, ao discorrer sobre privacy by design e privacy by default, e ao abordar  os benefícios que as organizações podem obter em conceber e modelar seus produtos e serviços de acordo com os princípios da lei, em termos de vantagem competitiva, traz a tona a lógica econômica subjacente[5]. Vejamos: 

“Mesmo em um cenário como o de hoje, no qual ainda se discute e não se tem claro quando a LGPD vai entrar em vigor, as organizações já deveriam estar concebendo e modelando seus produtos e serviços de acordo com os princípios da lei. Por quê? Porque é mais barato. É mais caro ter que modificar o produto ou serviço quando o regulador bater na porta e pedir correções, ou um eventual parceiro exigir que você ser torne aderente às normas. Tem uma lógica econômica aí muito importante.”

Em  síntese, objetiva-se, chamar a atenção para o fato de que as organização ao adotarem  ou otimizarem, mecanismos de controles de segurança da informação, e adotarem metodologias e frameworks nesse processo; terão reais benefícios em termos de eficiência operacionalprodutividadediferencial competitivo e mitigação de riscos e impactos: financeiro, operacional, legal e reputacional

Sob o aspecto jurídico, a novel legislação traz um “cardápio” legal capaz de legitimar hipóteses probas e lícitas de tratamento de dados, observados os princípios e as hipóteses legais autorizadoras para o tratamento de dados pessoais[6].⁠ O âmago da lei, é a transparência, a lealdade, a licitude e a eticidade no tratamento dos dados, como vetores fundantes do regulamento geral de proteção de dados pessoais. A lei coloca sob perspectiva, de um lado o empoderamento dos titulares dos dados, que passam a ter direito o controle sob os seus dados: a forma de tratamento e para quais finalidades; sob outro prisma, exsurge o dever de transparência dos agentes, tocante as atividades de tratamento de dados, assim como o dever de responsabilização e prestação de contas, pois não basta dizer que fez, precisa fazer efetivamente, demonstrar que fez, e ainda, provar que o que fez foi de fato efetivo. 

Em remate, um projeto de adequação que contemple os requisitos da lei, inevitavelmente conduz as organizações a revisitarem seus processos de negócios, com o propósito de diagnosticar as fontes de coleta e tratamento de dados, entre eles os pessoais –  objeto da lei – com o propósito de identificar e registrar as atividades de tratamento de dados pessoais, para posterior análise e adequação aos princípios⁠[7] e requisitos legais.  Trata-se de uma excelente oportunidade para que os gestores analisem criticamente seus workflows, processos de negócios e o uso sustentável das informações e dados pessoais tratados; neste ponto vale considerar a máxima: “quanto maior o volume de dados coletados, maiores serão os encargos”, ou seja, deve-se coletar o mínimo de dados possíveis.  De toda sorte, que este processo permitirá que os gestores façam os devidos ajustes e adequações nas suas operações, orientados a automatização e otimização destes processos, assim como eventual correção de gaps; quiçá surjam insights para criação de novos produtos, tendo sempre como escopo os objetivos de negócios da organização. 

3. Muito além das sanções, o estabelecimento de uma nova ordem social

A gestão da informação e do conhecimento são fatores essenciais para o desenvolvimento das atividades empresariais e continuidade dos negócios, seja para criação de novos produtos, serviços e modelo de negócios, ou ainda, como insumo do processo decisório; gerir um grande volume de dados e obter benefícios em prol dos negócios não é uma tarefa elementar. A obra de Stucke e Grunes[8],⁠ tem-se que o big data se caracteriza a partir da teoria do Quatros Vs: volume, velocidade, variedade e valor dos dados coletados, de forma que a gestão do volume, velocidade e variedade, tem como produto o valor, compreendido como o resultado útil da gestão sustentável das informações para fins específicos, diminuindo a assimetria de informações, de modo a aclarar ao gestor as possibilidades e soluções antes imaginadas BRANCHER; BEPPU (2019, p. 126), ou ainda possibilitando maior assertividade nas tomadas de decisões.

Dado é o novo petróleo “data is the new oil” é expressão alcunhada por Clive Humby, matemático londrino especializado em ciência de dados, que traz à tona uma nova adjetivação aos dados, destacando o seu valor agregado, em uma economia predominantemente movida a dados. Neste racional, as empresas que melhor administrarem esse insumo, tendo como premissa a proteção da privacidade e os dados pessoais dos titulares, certamente serão mais competitivas. Em realidade, a informação – ativo intangível que geram valor; a segurança da informação ou informática – ativo intangível de proteção de valor, Fontes (2012, p.5, Apud Domeghetti e Meir, 2019), e a proteção de dados pessoais, são novos valores sociais dignos de proteção estatal; e no que refere-se a este último, com aptidão para figurar na lista dos direitos e garantias fundamentais,  a ser esculpido no rol do Artigo 5°[9],⁠ neste sentido é a PEC 17/2019 que propõe a inclusão da proteção de dados pessoais entre os direitos e garantias fundamentais do cidadão em seu inciso XII-A do referido artigo[10],⁠ tamanha a relevância e imprescindibilidade de proteção deste novel valor social na modernidade.

Neste sentido, independentemente da efetiva entrada em vigor da LGPD, a nova legislação já produz seus efeitos reflexos – LGPD effect. Autoridades administrativas (Procon, Senacon, Anatel e Ministério Público), diligentemente e proativamente, vem desempenhando importantíssimo papel dentro das suas competências, na vigilância das organizações que inadvertidamente não estão honrando com seus compromissos legais e éticos de proteção de dados pessoais dos cidadãos. Diversamente do que possa sugerir, essas autoridades possuem fundamento legal em leis setoriais – microssistemas de proteção de dados, que dispõe sobre a matéria:  tais como o MCI (Marco Civil da Internet), o CDC (Código de Defesa do Consumidor),LCP (Lei do Cadastro Positivo), LAI (Lei de Acesso à Informação, Regulações Setoriais: Bacen, CVM, Anvisa, Decretos Federais e próprio GDPR.

Dentre outras, apenas para citar umas das iniciativas,  recentemente o instituto Sigilo ajuizou ação civil pública contra o Nubank[11],⁠⁠ com fundamento no MCI, o CDC e a LCP, para que a instituição se abstenha de coletar informações e dados pessoais dos titulares de dados e consumidores não clientes, obtidos ilegalmente através de entidades financeiras ou comerciais, que não tenham o expresso consentimento, sob pena de multa diária de R$ 10.000,00.

No mesmo sentido, organizações que figuram na condição de tomadoras de serviços, estão vigilantes e atentas na seleção e manutenção de seus fornecedores e parceiros;  e em alguns casos estão sendo realizados Assessment por parte destas organizações, tendo como métricas: leis, normas e regulamentos sobre privacidade, proteção de dados e segurança da informação,  com o objetivo de auferir o nível de maturidade e adequação dessas organizações nas temáticas. O fenômeno da “autorregulação ou corregulação”, por parte destes agentes (operadores e controladores de dados pessoais), justifica-se em razão da cadeia e liame de responsabilidade existentes entre os atores, considerada a troca de dados pessoais e a corresponsabilidade nos casos de incidentes.


4. Conclusão

Admirável mundo novo! Uma nova ordem social se faz presente e a proteção da informação e dos dados pessoais são elementos importantes para proteção de direitos e liberdades individuais (privacidade, intimidade, liberdade de expressão, dignidade da pessoa, livre desenvolvimento da personalidade, liberdade religiosa, etc.), bem como para o fomento sustentável da tecnologia e da inovação, de sorte que torna-se mandatório harmonizar a preservação da privacidade dos cidadãos aos anseios econômicos e tecnológicos. Contrapondo e complementando a ideia de que os “dados são o novo petróleo”, deve-se ter em mente que os dados constituem em uma parcela da personalidade da pessoa e merecem proteção jurídica (MENDES, Laura Schertel, 2014, pag. 33). Dados são pessoas! ⁠[12]

Ser reacionário a esta novel realidade poderá trazer consequências nefastas à sociedade e as organizações (impactos financeiros, crise reputacional, perda de competitividade, etc.), além da perda de chance de melhoria de processos e procedimentos, e melhor aproveitamento das novas tecnologias. Esse processo de adequação deve ser conduzido de forma sustentável e ser encarado como investimento e não despesa!

Jean Carlos Fernandes, Advogado, Presidente da Comissão de Direito Digital – 104a Subseção de Itaquera – OAB/SP, Membro Efetivo da Comissão de Direito Digital – OAB/SP, MBA em Direito Eletrônico – Escola Paulista de Direito, pós graduado em Direito e Tecnologia da Informação – Escola Politécnica – USP, pós graduado em Direito Penal – Escola Superior de Advocacia –SP.

Por: Jean Carlos Fernandes
Referência: https://www.linkedin.com/pulse/lgpd-uma-vis%C3%A3o-propositiva-da-lei-oportunidade-para-de-fernandes/?published=t

[]
1 Step 1

Todos os direitos reservador por AcertOnline - Consultoria, Assessoria e Tecnologia especializada em prevenir Fraudes. Não utilizaremos seu e-mail para envio de SPAM.

keyboard_arrow_leftPrevious
Nextkeyboard_arrow_right


Back to blog list

Tags

Share this Story


About the Author


Join Discussion