Privacidade e proteção de dados: uma jornada sem ponto de retorno

Neste dia 28 de janeiro, data em que se celebra o Dia Internacional da Proteção de Dados, trago à reflexão alguns pontos práticos de uma jornada pelo mundo dos projetos de adequação ao RGPD (Regulamento Geral sobre Proteção de Dados - Europa) e à LGPD (lei Geral de Proteção de Proteção de dados - Brasil).

Embora em contextos sociais um pouco diversos, o RGPD e a LGPD representam avanços significativos no reconhecimento da crescente importância do tratamento de dados pessoais, bem como da necessidade de proteção desses dados e correspondentes direitos de seus titulares, enquadrados como direitos fundamentais. Mas, quando tratamos da adequação de negócios às regras de tratamento de dados pessoais, trabalhamos com projetos similares em sua estruturação e execução nos dois lados do Atlântico. O que também repercute em dificuldades comuns ao longo do percurso. E, a participação em diversos programas de privacidade e proteção de dados, em diferentes setores econômicos, traz consigo o privilégio de identificar essas similaridades e pontos de atenção.

Um primeiro ponto diz respeito ao aculturamento das pessoas sobre o tema. É fato que toda a população deve estar ciente dos seus direitos enquanto titular de dados, mas aqueles que manipulam dados pessoais nas organizações, além dos direitos, precisam entender todo o contexto de tratamento desses dados. Faz-se primordial um esforço contínuo (reitero contínuo) de formação e conscientização dos times internos em relação à forma e aos limites de tratamento dos dados pessoais, ao exercício das medidas de segurança e às suas responsabilidades individuais, para que o caminho planejado seja de fato o caminho seguido.

Também merece atenção o fato dos programas de privacidade e proteção de dados não serem projetos estáticos. Ou seja, a adequação de uma organização às regras legais de proteção de dados é apenas o primeiro passo de um programa contínuo. Pelo menos anualmente, e sempre que necessário, seus registros e documentos devem ser revisitados. Estamos diante de uma rota circular, em que o ponto de partida precisa ser retroalimentado. E, para retroalimentá-lo, voltamos à importância do aculturamento, pois é fundamental o engajamento de toda a estrutura.

Destaca-se, no mesmo contexto, a figura do Encarregado de Dados, que para além do seu contato na política de privacidade, deve entender do negócio e de suas implicações para a privacidade e proteção de dados dos indivíduos. Isso não quer dizer que o Encarregado de Dados é dono e responsável por todos os processos, mas sim que deve ter conhecimento técnico multidisciplinar e ser um bom regente e aconselhador. Deve ter a capacidade de reagir rápido e orquestrar o que for necessário em situações adversas. Um Encarregado de Dados ausente gera um programa de privacidade e proteção de dados sem direção.

E, os sistemas de gestão de proteção de dados?

Em poucas palavras, por trás de todo o sistema existem pessoas. Não há sistema milagroso que consiga mapear todas as atividades de tratamento de dados pessoais, quem os trata, como são tratados, se são compartilhados, as suas bases legais, ocorrência de incidentes... Não se justifica a aquisição de um sistema sem que a organização estruture e pratique um bom programa de privacidade de proteção de dados. Sim. Os sistemas são úteis e importantes, mas são apenas um componente do veículo que percorre essa estrada.

Temos ainda o papel das autoridades nacionais de proteção de dados. Em alguns países mais ativas, em outros ainda dando os primeiros passos, a exemplo da ANPD no Brasil ou com sérios desafios estruturais, como a CNPD em Portugal. Lembro aqui que as autoridades, além de suas funções sancionadoras, têm responsabilidade como educadoras, seja dos titulares dos dados, seja das organizações. Devem ser facilitadoras na interpretação e compreensão das regras, bem como ágeis e claras na sua regulamentação. Enfim, são fundamentais na construção dos caminhos e na consolidação da cultura de proteção de dados pessoais. A efetividade das leis somente se dará com a atuação forte e diligente das autoridades nacionais.

A vivência dos projetos nos traz a certeza de que vivemos um período de construção. Há muito por vir, especialmente no que se refere à aplicação de sanções (incluindo as pesadas multas) previstas tanto na LGPD quanto no RGPD.

Por fim, o aculturamento, a continuidade dos programas de privacidade e proteção de dados, o exercício pleno das atividades do encarregado de dados, a adequação de sistemas, a ação efetiva das autoridades nacionais são apenas alguns pontos de reflexão para o prosseguimento desta jornada que se iniciou em um passado recente. Contudo, é uma reflexão necessária para a condução consciente de programas de privacidade e proteção de dados nas organizações. Afinal, como se prova com a inserção da proteção de dados na esfera dos direitos fundamentais, essa é uma jornada sem ponto de retorno.