LGPD e a autodeterminação informativa

Para além do marco civil da internet, datado de 2014, que pode até ter sido considerado um ícone para o início das regulamentações dos ambientes virtuais no Brasil, surge a nova lei denominada Lei Geral de Proteção de Dados Pessoais ou LGPD para os mais próximos e, aqui eu diria que muitos, indubitavelmente, querem se tornar cada vez mais íntimos dela, seja em decorrência da procura em se evitar a responsabilização civil, sanções com multas pesadíssimas ou até mesmo para o importante aculturamento das organizações. Fato é que a lei 13.709/18 trouxe como legado principal a autodeterminação informativa ou o controle dos dados pelo seu próprio titular, tornando este titular o protagonista do cenário geral para o tratamento de seus dados e, desta maneira, concedendo-lhe amplos poderes nunca antes imaginados.

Mas a pergunta que não quer calar está em saber quais as perspectivas diante disso tudo? De maneira inevitável uma corrida desenfreada de empresas, independendo seu porte ou tamanho, e da própria Administração Pública para iniciarem as adequações, eis que a lei entrou em vigor em setembro de 2020 com as fiscalizações da Autoridade Nacional de Proteção de Dados prevista para agosto de 2021. Sim, meus caros, o prazo é exíguo e o trabalho árduo!

Pois bem, colocando tudo o que foi dito até então em aspectos práticos, temos que as mais variadas áreas ou nichos de atuação devem efetuar as adequações se não imediatamente, com a máxima prioridade, considerando, essencialmente, que o pontapé inicial relativo ao diagnóstico e mapeamento dos dados, além de, na maioria das vezes apresentar-se como complexo, trará a base estrutural para todo o resto da implementação da referida Lei. Dia desses até ouvi a seguinte expressão: "Ao se mapear os dados, você puxa um fio e sai um urso!!!" Traduzindo, desta maneira, os desafios e barreiras que as empresas e organizações poderão encontrar pela frente.

Dito isto, vamos imaginar outro cenário: se apenas considerando o caráter principiológico da lei e, ignorando o consentimento e a finalidade, pudéssemos justificar toda e qualquer coleta/uso dos dados no legítimo interesse, que pode ser definido como fato que fundamenta a utilização daquele dado para finalidades legítimas, a partir de situações concretas, dispensando a extrema preocupação com o correto tratamento e processamento desses dados e, portanto, continuaríamos a tornar o titular do dado cada vez mais vulnerável nas transações do cotidiano. Lembrando que o legítimo interesse não é absoluto e aqui estamos diante de uma situação hipotética, justamente para demonstrar quão frágil é o indivíduo, ainda que tenha direito à liberdade, à privacidade e ao livre desenvolvimento da personalidade, previstos constitucionalmente.

Nesta seara, um diferencial concedido ao titular do dado e, que tem primordial significado para as entidades é o consentimento para a utilização de seus dados, diante de uma finalidade específica. Porém, não nos esqueçamos que este consentimento é muito frágil, se a organização entender que ao obtê-lo está totalmente adequada, uma vez que pode ser revogado a qualquer momento e, diante desta problemática, um olhar especial deve ser lançado à cultura e transparência das instituições em demonstrar a adequação com efetividade. Tanto o é que mesmo considerando o advento da LGPD e todos os procedimentos por ela trazidos, ainda temos vivenciado situações assustadoras de vazamento de dados, como foi o caso de vazamento dos dados que expôs muito mais que apenas o CPF de 220 milhões de brasileiros recentemente. E a preocupação não pára por aí, pois sequer conseguiram rastrear o destino destes dados, transformando a situação em um enorme alerta para a ocorrência de fraudes das mais variadas formas. Mais uma vez, ressaltando a vulnerabilidade de todo um país, isto sem falar no aspecto internacional, com ampla exposição reputacional e de credibilidade. Inegável, portanto, a carência que temos de proteção, reforçando ainda mais a necessidade da efetividade da LGPD, a qual destaco, de maneira alguma, deve ser vista como fator de engessamento ou ainda de alto custo que inviabilize a continuidade dos negócios, mas que reflita sua aplicabilidade de acordo e na proporção de cada realidade empresarial, sempre pensando na prevenção, na sustentabilidade, na credibilidade e, sobretudo, na segurança.

Além de tudo que foi exposto, primordial se faz falar da visão de quem fiscalizará a lei, ou seja, da ANPD ou Autoridade Nacional de Proteção de Dados, a qual em consonância com a GDPR, legislação da União Europeia, datada de 2016, portanto anterior à LGPD, e que possui um caráter orientativo em primeiro lugar, para, após, pensar em punição. Obviamente, não descartando a existência desta punição, visto que está prevista na nossa lei. Para além de todo exposto até aqui, outro olhar da ANPD é dedicado também ao desenvolvimento de pesquisas e, um de seus principais desafios, senão o maior deles, é pegar a Lei e transformá-la corretamente em procedimentos eficazes. Para isso, há que se pensar em um planejamento estratégico coerente e, principalmente, nas adequações necessárias a um regulamento interno do referido Órgão, que sirva de exemplo para todos os demais. Assim sendo, necessário se faz olhar "para dentro de casa" em um primeiro momento, ressaltando que todos os esforços têm sido envidados neste sentido.

Logicamente, questões relativas a como viabilizar os direitos dos titulares, como, por exemplo, qual a maneira correta de se lidar com a portabilidade de seus dados, além da indagação do que seria um rito adequado de tratamento, sem falar na produção dos relatórios de impacto, nas transferências internacionais dos dados, bem como na coordenação de todas as diretrizes com outros órgãos reguladores. Obviamente, tudo isso deverá ser muito bem pensado de maneira equilibrada, para que o resultado final alcance a efetividade esperada. Fato é que, conforme anteriormente destacado, a ANPD vem demonstrando a real preocupação com todos os fatores aqui mencionados, de modo que recentemente lançou a Portaria 11/21, que contempla a agenda regulatória para o biênio 2021 - 2022, com destaque para a observância dos prazos, que se dividem em fases, de modo que nenhuma importante iniciativa escape deste planejamento.

Assim sendo, meu caro leitor, após ter ponderado os mais relevantes aspectos da LGPD, vou me encaminhando para o final do presente artigo, certa de que antes da vigência da Lei Geral de Proteção de Dados Pessoais tínhamos uma vulnerabilidade ainda maior do uso indevido de nossas informações. Logicamente, ainda estamos distantes do cenário ideal e as recentes notícias de vazamento e fraudes estão aí para comprovar este fato. Porém, é inegável que quanto maior o nível de maturidade empresarial/organizacional nos quesitos segurança da informação e respeito ao titular do dado, tanto maior será seu nível de confiabilidade e sustentabilidade, conferindo-lhe destaque positivo em uma era cada vez mais digital.