Caso Klara Castanho: a importância da continuidade de um programa de adequação à LGPD

Saiu na grande mídia nacional, uma notícia sobre a atriz de 21 anos, Klara Castanho, na qual ela afirma ter sido vítima de ameaças de vazamento de dados de uma enfermeira de um hospital da região metropolitana de São Paulo, na qual havia ficado internada, para dar à luz a um bebê.

No caso que tomou grandes proporções, a atriz em sua rede social, faz graves denúncias sobre sua estadia naquele lugar, afirmando que um dos profissionais que teve acesso aos seu caso de saúde, (através de tramites legais devidamente instruída por uma advogada, decidiu ter um bebê e dá-lo em adoção imediatamente após o parto, pois a criança era fruto de um estupro) ameaçou a vazar essa história aos noticiários, o que de fato ocorreu.

Trata-se de uma triste história verídica, na qual a atriz Klara passou por diversos momentos de constrangimento e principalmente por ter sua privacidade invadida de maneira desenfreada.

E como isso se aplica ao contexto da LGPD? Em tudo, praticamente.

O relato da atriz é grave. Viola muitos princípios e fundamentos da LGPD. Ainda, pensando somente na privacidade e intimidade da atriz, estamos diante de dados sensíveis, que podem causar até mesmo discriminação. Não menos importante, esquecemos que também há o lado do bebê. Seus dados pessoais e genéticos foram expostos, ou seja, sensível elevando ao quadrado, por ser criança e por serem dados genéticos e de saúde.

Do lado do hospital podemos enumerar diversas violações, porém, esse não é objetivo do texto. Quero chamar sua atenção para o fato de que, mesmo a LGPD estando em muita evidência, ainda sim é negligenciada. Não por falta de adequação, mas por falta de comprometimento das próprias empresas com o seu programa de privacidade.

Muitas empresas pensam: ah, já tenho um programa implantado na minha empresa. Isso já basta.

Afirmação errada. Não basta estar adequado, é necessário estar em constante treinamento e monitoramento. Dados pessoais é a grande chave para o mercado de consumo, para o oferecimento de serviços e produtos customizados. Assim, não podem ser negligenciados.

A governança de dados tem que ser continua. Por isso que eu não gosto de falar em projeto de adequação. Gosto de chamar de programa.

O projeto é um planejamento único para atingir um fim desejado. Quando se chega a ele, finaliza-se. Um programa é sempre aperfeiçoado. Ele é contínuo. Dentro de um programa há vários projetos. Gera-se muitos esforços. É como um círculo vicioso.

A lei geral de proteção de dados pessoais traz como um dos seus fundamentos, ou seja, seu alicerce para o discorrer da legislação, justamente a proteção da privacidade e intimidade das pessoas. Percebe-se que o objeto da lei é tutelar como os dados pessoais são coletados e tratados, porém, o objetivo angular é a proteção da privacidade, intimidade, liberdade das pessoas, quais em determinadas situações pode causar danos graves e irreversíveis a honra e moral, como o caso exposto acima.

Quando falamos em um programa competente de proteção de dados pessoais pautados nos ditames da LGPD, tem-se uma necessária adequação real da minha operação. De forma infinita. A importância de mapear os fluxos de dados, seja interno ou externo, é uma tarefa que tem de ser desenvolvida de forma contínua, atualizada de tempos e tempos. Isso faz toda a diferença para o controle e mitigação de riscos. É necessário que algumas perguntas básicas sejam respondidas na hora de estruturar o programa de proteção de dados:

a) os dados pessoais dos meus clientes e dos meus colaboradores precisam realmente passar pelo conhecimento de todas essas pessoas?

b) eu realmente preciso coletar todos esses dados para atingir minha finalidade de tratamento?

Percebemos que em muitas vezes é tentado colocar em prática, técnicas mirabolantes e engenhosas para mostrar o quão robusto meu programa de proteção de dados é, ou desenvolver grandes e extensas políticas de privacidade que muitas pessoas sequer vão ler até o final, principalmente colaboradores internos. Por fim, coisas importantes como as perguntas levantadas anteriormente, deixam de ser tão necessárias, contudo, simples respostas a elas poderiam resolver grande parte dos problemas de vazamento de dados pessoais dentro das empresas.

É de extrema importância que as empresas, públicas e privadas, comecem a enxergar com mais carinho os programas de proteção de dados pessoais. Não basta que eu tenha uma política de proteção colada na parede da minha empresa. Os colaboradores internos têm que ter a consciência pedagógica dos riscos que determinado compartilhamento de dados pode trazer para a corporação. Além disso, a revista de contratos externos e contratos de trabalho, colocando como premissa a proteção dos dados pessoais recebidos pelas empresas, é obrigatório.

É necessário que tenhamos técnicas e projetos robustos para um decente programa de privacidade de dados pessoais? Com toda certeza. Entretanto é preciso começar a dar muito mais valor aos fundamentos e princípios da LGPD, pois neles, analisando de forma calculista, resolvem grande parte dos problemas e tornam o desenvolvimento da adequação à LGPD muito melhor e mais fluido.

A lei não cuida da proteção dos dados pessoais e tão somente isso. Ela tutela a privacidade e intimidade das pessoas. Dados pessoais são apenas um caminho para a finalidade. É por isso que o esforço da adequação não acaba. Ele precisa ser contínuo, sempre atualizado, pois dados pessoais são dinâmicos. Pessoas também. Você pode ter 10 funcionários em um dia e depois de seis meses ter 30. Porém, esses 30 funcionários também podem mudar. Não raro, podem não ser as mesmas pessoas. Pergunta-se: elas sabem de forma completa como é seu programa de proteção de dados? Quando isso fica cravado em um programa de implementação da LGPD, resolve-se grande parte dos problemas. Isso é o real significado de um programa baseado em Privacy by Desing.