Cenário da LGPD Após seu Primeiro Ano de Existência

Artigo escrito por: Paulo de Tarso Andrade Bastos Filho

Desde agosto de 2021, a vigência da Lei Geral de Proteção de Dados Pessoais (LGPD) passou a incluir potenciais sanções, e o cenário nacional vem se tornando mais claro e promissor. Os stakeholders, inclusive, já podem contar com uma grande quantidade de informações disponibilizadas pela Agência Nacional de Proteção de Dados (ANPD) em manuais para boas práticas, e também guia para mapeamento dos dados pessoais, e, ainda, modelos para termos de uso de dados e avisos de privacidade (https://www.gov.br/governodigital/pt-br/seguranca-e-protecao-de-dados/guias-operacionais-para-adequacao-a-lei-geral-de-protecao-de-dados-pessoais-lgpd).

Tudo isso possibilita um entendimento maior sobre as práticas que devem ser adotadas, democratizando a boa governança das empresas para a segurança da informação, permitindo que estas adotem uma postura mais apropriada para mitigar riscos cibernéticos. Por exemplo, a ANPD traz indicação de como confeccionar relatório de impacto.

Para as empresas, a melhor notícia foi ainda a confirmação da ANPD de que o órgão irá praticar a regulação responsiva. Durante a Fenalaw Digital Week 2021, seu Diretor Presidente Waldemar Gonçalves criticou o modelo antigamente adotado, que gerava a exagerada lavratura de autos de infração por parte dos entes administrativos, mencionando que queria evitar no cenário da LGPD repetir a prática de “multas que seguiam sendo proteladas e não eram pagas”.

As Vantagens da Regulação Responsiva

A regulação responsiva, idealizada por Ian Ayres e John Braithwaite (http://johnbraithwaite.com/wp-content/uploads/2016/06/Responsive-Regulation-Transce.pdf), pretende que as medidas administrativas considerem não só como melhor agir para a garantia do cumprimento das normas, mas também como assegurar que as soluções possam endereçar problemas, nos termos dos limites e capacidades de cada parte.

A ideia é punir de forma mais severa apenas aqueles agentes que demonstrarem má-fé, utilizando meios menos intrusivos, fazendo planejamento cooperativo, evitando-se a aplicação de uma sanção mais severa. A primeira opção deverá ser o diálogo para solução do problema, permitindo à administração pública entender as razões mercadológicas dos cidadãos.

Na prática, qualquer infração à LGPD a partir de agosto de 2021 poderá ser objeto de potencial análise e punição por parte da ANPD, mas a expectativa é que o Estado responsivo adote soluções consensuais, de forma a equilibrar as divergentes interpretações da lei e suas demandas, agindo de forma a educar o empreendedor para que este atinja os necessários níveis de governança corporativa.

Isso ocorre porque já se sabe que aqueles entes reguladores que utilizam a aplicação de sanções como modelo regulatório (modelo conhecido como “comando e controle”) costumam enfrentar dificuldades para garantir a conformidade às normas, já que as multas, suspensões e sanções, em geral, tendem a ser demasiadamente duras, sem incentivos ao cumprimento voluntário dos requisitos.

Assim, com a posição da ANPD, e os incrementos do apoio ao cidadão, garantindo fomento das melhores práticas não só em governança, mas também em segurança da informação e na proteção de dados pessoais, acreditamos que o empreendedor terá tempo e ferramentas hábeis para evitar a aplicação de sanções, principalmente aquele empreendedor das pequenas e médias empresas que receberá regulamentação exclusiva à sua realidade (https://anppd.org/noticia/anpd-se-pronuncia-sobre-adequacao-de-pequenas-e-medias-empresas-30-08-2021).

Como as Novas Relações e a Manutenção do Teletrabalho vão Expor Vulnerabilidade

No campo regulatório as novidades são positivas, mas nos ambientes corporativos em que ainda não ocorreu a devida implantação de um sistema de segurança da informação (https://revistapegn.globo.com/Opiniao-Empreendedora/noticia/2019/04/protecao-de-dados-os-efeitos-da-nova-legislacao-sobre-os-negocios.html), as expectativas continuam bastante preocupantes.

Vejamos. Após o turbilhão maior da crise COVID19, está certo que o aumento da utilização da Internet para fins de trabalho remoto, e de outras conexões pessoais e profissionais, será mantido, afinal é opinião firme dos especialistas que a pandemia apenas acelerou uma transformação que já ocorreria normalmente, tornando híbrido o modelo de trabalho em quase todos os campos e áreas.

Essa nova realidade no modo como o trabalho agora se configura repercute não só na logística e característica das relações do funcionário com a empresa, com os colegas e com os clientes (https://www.bbc.com/worklife/article/20210406-how-asynchronous-communication-could-change-your-workday), mas também no aspecto de segurança da informação e privacidade, já que a interface digital entre todos os stakeholders nem sempre poderá ser segura.

Em artigo anterior (https://revistapegn.globo.com/Opiniao-Empreendedora/noticia/2020/05/como-pandemia-aumenta-os-riscos-ciberneticos-e-como-empresas-podem-se-proteger.html) já tratamos do aumento dos riscos cibernéticos nas empresas durante a Pandemia, mas convém ressaltar que esse aumento ocorrido trouxe elementos de alta periculosidade, que estão a desafiar a boa governança das empresas para a segurança das informações.

Por o teletrabalho expor as vulnerabilidades de rede, mesmo naquelas empresas com sistemas de segurança da informação implementados, os criminosos que agem na Internet vêm conseguindo realizar os seus ataques com indiscutível eficácia, às vezes até auxiliados pelas próprias vítimas, através da utilização de aplicativos e programas que contém fragilidades conhecidas (https://canaltech.com.br/seguranca/basecamp-e-slack-estao-sendo-usados-por-criminosos-para-distribuir-malware-182995/).

Enquanto os efeitos mais devastadores continuam atingindo empresas consideradas mais suscetíveis pelos criminosos, como nos ataques à infraestrutura de oleodutos nos Estados Unidos da América (https://www.bbc.com/news/business-57050690), é certo que o risco de ataque cibernético aumenta exponencialmente, e nenhuma empresa está completamente livre de incidente (https://edition.cnn.com/2021/06/01/tech/jbs-usa-cyberattack-meat-producer/index.html).

Esses ataques ransomwares vêm ocorrendo diariamente, com os criminosos se apropriando de dados de indivíduos e de organizações, pondo em risco a reputação de entidades que atuam em diferentes áreas (https://www.foxnews.com/us/florida-school-district-ransomware-attack-hackers). Isso faz com que os usuários passem a ter cada vez mais receio de partilhar seus dados, questionando o consentimento para o tratamento dos dados pessoais que outrora se daria de forma quase que natural quando solicitados.

Portando é extremamente importante a aplicação de padrões mínimos, porém eficazes, de segurança da informação. Se a segurança cibernética não pode ser absoluta, o tratamento adequado dos dados pessoais e observância das normas estabelecidas pela lei poderão garantir a manutenção da confiança do titular dos dados, evitando-se que os receios dos ataques cibernéticos se transformem em empecilho para a realização de negócios.

A Garantia da Boa Governança como Ferramenta para Reforçar a Confiança do Titular

Todo o cenário atual está favorecendo a criação de uma cultura de proteção de dados pessoais, tornando os cidadãos mais cientes de seus direitos e dos riscos cibernéticos a que ficam sujeitos ao informarem seus dados pessoais. Além do mais, o Congresso Brasileiro aprovou recentemente PEC incluindo a proteção de dados pessoais como garantia fundamental na Constituição Federal (https://g1.globo.com/politica/noticia/2021/10/20/senado-aprova-pec-que-transforma-protecao-de-dados-pessoais-em-direito-fundamental.ghtml).

A boa reputação das empresas (https://www.camarbra.com.br/noticias/noticias-da-camarbra/como-voce-cuida-da-reputacao-de-sua-empresa) é elemento relevante para que seja estabelecida uma relação de confiança entre quem forneceu e quem recebeu os dados. Assim, cabe às empresas que manuseiam dados pessoais tomar medidas tecnicamente eficazes para protegê-los de indevidos acessos, utilização ou divulgação.

Mas essa relação de confiança ainda é tênue; existe uma representativa sensação de insegurança quanto ao uso dos dados pessoais por empresas e entidades, o que tem levado cada vez mais pessoas a questionarem o consentimento para tratamento dos dados, dificultando e até impedindo a realização de negócios e de parcerias.

Um exemplo recente, divulgado pela mídia, ocorreu com uma ONG de notória atuação social, a Central Única das Favelas (CUFA) (https://g1.globo.com/economia/tecnologia/noticia/2021/04/27/por-que-a-cufa-interrompeu-o-uso-de-reconhecimento-facial-apos-polemica.ghtml), que, ao se dispor a aplicar uma solução tecnológica a fim de facilitar o cadastro de pessoas para receber doações, verificou a necessidade de utilização de dados biométricos dos usuários para a realização de cadastro. Tendo se iniciado polêmica, que gerou insegurança com relação ao uso seguro do reconhecimento facial para o fim proposto, a CUFA acabou retrocedendo, deixando de utilizar tais dados pessoais.

Diante do exposto, torna-se ainda mais relevante oferecer aos titulares dos dados pessoais clareza e efetividade no processo de tratamento de dados, ou seja, uma governança confiável que será ferramenta importante dentro desse complexo sistema.

É certo que cada atividade tem suas particularidades, possuindo diferentes necessidades e exigências, mas todas as organizações deverão implementar um sistema de gestão das informações (https://revistapegn.globo.com/Opiniao-Empreendedora/noticia/2019/05/por-que-governanca-de-dados-e-fundamental-para-pequenas-empresas.html), que tenha clareza suficiente para conseguir a confiança do titular dos dados e de todos envolvidos no processo.

Por fim, é importante destacar que os titulares dos dados têm a expectativa que uma boa governança permita o manuseio dos dados sem a indevida exposição causadas pelos vazamentos frequentemente noticiados pela imprensa (https://edition.cnn.com/2021/04/09/tech/facebook-hack-user-notification/index.html), e, também, sem que os dados sejam objeto de monetização por parte das empresas através do desrespeito aos direitos dos titulares ou daqueles limites fixados nos termos de consentimento apresentados quando da coleta dos dados pessoais.

O Open Banking e sua Contribuição para a Boa Governança Corporativa

E concluindo essa análise sobre as práticas que poderão atuar como ferramenta para garantir o avanço do esforço de governança para proteção dos dados pessoais, consideramos relevante observar os parâmetros que serão aplicados na implementação do Open Banking (https://www.in.gov.br/en/web/dou/-/resolucao-conjunta-n-1-de-4-de-maio-de-2020-255165055).

Essa comparação servirá para os empreendedores brasileiros e também para os titulares dos dados pessoais, porque o padrão de tratamento determinado para as empresas que atuam no mercado financeiro é bastante elevado, e poderá estimular todos a evoluir nas suas práticas de segurança cibernética e privacidade.

O Conselho Monetário Nacional, através da Resolução n° 4.658/2018, já regulamentava a necessidade das instituições financeiras implementarem políticas de segurança cibernética, e requisitos a serem aplicados pelas instituições na contratação de serviços de armazenamento de dados, de processamento de dados e de computação em nuvem.

Agora, com a implementação do Open Banking, cujo cronograma de quatro fases previstas já se iniciou, e a importância dos dados pessoais para o funcionamento do Open Banking, na medida em que tal sistema não pode operar sem o compartilhamento padronizado de dados, resta evidente que o Banco Central tomou todas as cautelas para que os usuários tenham a segurança necessária, e se sintam confortáveis com o compartilhamento dos dados entre todos os operadores do sistema.

Como se verifica Resolução Conjunta nº 1, de 4 de maio de 2020, vários critérios para a obtenção do consentimento dos titulares são ainda mais restritos que na LGPD, com conceitos que poderão ser aprimorados no mercado brasileiro, preparando os participantes para a observância dos direitos dos titulares dos dados pessoais. Inclusive o consentimento deverá ter prazo máximo de doze meses (art. 10, § 1º, III), obrigando as instituições financeiras a renová-lo anualmente, empoderando o consumidor.

Observa-se, então, a importância do empresário manter-se sempre atualizado sobre as necessidades técnicas e normativas, que poderão ser alteradas e aperfeiçoadas pelas autoridades, sendo a experiência do Open Banking extremamente positiva para a proteção de dados pessoais (https://www.band.uol.com.br/noticias/jornal-da-band/ultimas/open-banking-cliente-pode-sair-ganhando-com-novo-sistema-16351328). Iniciativas como a implementação do Open Banking serão muito úteis para a avaliação da governança para tratamento de dados pessoais em todo país, servindo para educar a população, e garantindo que os titulares tenham confiança naquelas empresas que adotam boas práticas, cumprindo as obrigações decorrentes da LGPD.