Chegou a hora de levar a sério a proteção de dados no Brasil

A LGPD (lei 13.709/18), conhecida, simplesmente, como LGPD, tem causado furor e ansiedade no meio empresarial. A espelho da sua antecessora europeia, o General Data Protection Regulation - GDPR, a norma brasileira traz consigo rígidas previsões para o tratamento lícito de dados pessoais, e, consequentemente, exige a adoção de uma série de medidas de compliance pelas empresas, para que o dado pessoal, ativo tão valioso na vigente sociedade informacional, não se torne, simplesmente, um risco operacional desnecessário. 

O projeto de adequação à LGPD, conduzido por assessorias especializadas em proteção de dados, costuma mobilizar as atividades da empresa por longos períodos, e exige participação ativa de todos os seus setores, que deverão compreender as disposições da lei e incorporar novas rotinas e processos em suas atividades diárias. Em certos casos, inclusive, o próprio modelo de negócio da empresa pode ser fortemente afetado, demandando uma reestruturação, frente à LGPD, muito mais longa e dolorosa. Este complexo cenário que, a princípio, parece justificar a ansiedade do meio empresarial, na verdade, pode ser transposto com muito menos dor. Para tanto, basta seja incorporado um princípio fundamental na cultura da empresa: o tratamento sustentável de dados.

A verdade é que "proteção de dados" nunca foi uma pauta levada a sério no Brasil. Esta afirmação se mostra verdadeira em duas perspectivas diversas e complementares. A primeira resulta de uma questão cultural e comportamental: o cidadão brasileiro nunca se preocupou, efetivamente, no resultado da entrega indiscriminada de seus dados pessoais para terceiros. Por exemplo, rotineiramente, o brasileiro entrega, sem questionar, seus dados pessoais mais sensíveis para poder obter descontos ou participar de sorteios. Isso, sem falar nos cadastros gratuitos em websites e redes sociais para poder aproveitar, gratuitamente, serviços online. Com efeito, ainda hoje é motivo de surpresa, quando se afirma, em palestras e cursos, que a nossa privacidade é o preço pago para usufruir gratuitamente de serviços na Internet. A segunda perspectiva resulta da análise do modo temerário com que muitas empresas constituíram modelos de negócios, principalmente setores de marketing, comercial, inteligência de mercado, etc., que exploram a privacidade dos seus próprios clientes para poder lhes ofertar (bombardear) com produtos e serviços das mais diversas estirpes. Tudo isso, sempre foi assimilado pelo brasileiro com muita naturalidade, como se fosse um processo natural de perda de um direito tão íntimo e fundamental: a privacidade.

Não é motivo de surpresa, por isso, que o Brasil viesse a passar uma lei para a proteção de dados, apenas, no ano de 2018. Ademais, certamente assim o fez, não por livre e espontânea vontade, mas por pressão comercial internacional, advinda da aplicação extraterritorial da GDPR. Em todo o caso, o fato é que, um país que não possui qualquer tradicional em proteção de dados, como o Brasil, do dia para a noite, ganhou uma rígida norma desta natureza. Importante lembrar que, antes da GDPR, a Europa já possuía, no âmbito do direito comunitário, a Directiva 95/46/CE, do ano de 1995, para a proteção de dados, além de uma longa e tradicional experiência nesta matéria, no âmbito do direito interno de seus países, a exemplo da Bundesdatenschutzgesetz, da Alemanha, de 1977. Ou seja, há mais de quatro décadas, no mínimo, o assunto da proteção de dados já é corriqueiro na Europa, e vem amadurecendo, até que se chegasse ao rígido GDPR. No Brasil, no entanto, muito embora a norma seja absolutamente bem-vinda, sua chegada veio descolada de qualquer debate prévio mais aprofundado, o que justifica, de certa forma, o espanto e furor que vem causando, principalmente no âmbito empresarial, que terá que adaptar suas rotinas, processos e estruturas, partindo do "8 para o 80".

Tratando especificamente do Brasil, a grande virada proporcionada pela LGPD, sem dúvida, é a garantia da titularidade do dado à pessoa a quem eles se referem. Até esta quadra da história, as empresas ostentavam, e até se vangloriavam, de que os seus bancos de dados - compostos por dados dos seus clientes e de terceiros em geral -, representavam o seu maior ativo. A representatividade do dado pessoal, na vigente sociedade informacional, é tão grande, que a prestigiada revista inglesa, "The Economist" , chegou a estampar em uma de suas capas, que os dados seriam o petróleo do futuro. Chancelando esta afirmação, é possível perceber que, anual e repetidamente, empresas como Facebook e Google, que estruturaram modelos de negócio na exploração de dados pessoais, seguem sendo reconhecidas, por publicações como a Forbes, como duas das marcas mais valiosas do mundo. Neste contexto, é paradigmática a ruptura realizada pela LGPD: agora, o dado é de propriedade do seu titular, e as empresas, que se vangloriavam de seus bancos de dados, passam a ser meras hospedeiras temporárias deste dado, cujo tratamento é lícito, exclusivamente, se ela apresentar alguma boa razão para tanto. A lógica é a mesma como se estivéssemos tratando qualquer bem material: para pegar e utilizar bens de terceiro, você precisa de alguma boa razão para tanto (não necessariamente de um consentimento, diga-se de passagem), caso contrário, estaremos diante de um potencial caso de furto. Com o dado pessoal, agora, a lógica é a mesma.

O ator principal da LGPD, portanto, é o titular do dado. É com ele que a Lei dialoga, concedendo-lhe "Direitos". Por outro lado, as empresas, na condição de "Agentes de Tratamento" - "Controladoras" ou "Operadoras de dados" - ganham uma série de "Obrigações/Deveres". Em apertada síntese, o grande trabalho de adequação a ser desenvolvido, para poder estar compliant com a LGPD, reside no mapeamento das operações de tratamento de dados que ocorrem dentro das empresas, para fins de enquadramento em uma das dez hipóteses legais (art. 7º) - cumprimento de obrigação, proteção ao crédito, legítimo interesse do controlador, etc. -, seguido da alteração estratégica de hábitos, processos e estruturas hábeis a atender os titulares de dados, em toda sua gama de direitos, tais como: segurança, portabilidade, revisão de decisões automatizadas, informações completa, cópia, correção etc. No entanto, há um ponto chave deste processo de mudanças, que nem a melhor das consultorias e grupos de trabalho consegue atender: a mudança de cultura, ou seja, aqueles hábitos enraizados nas rotinas dos colaboradores da empresa, que apenas contribuem para expor os titulares de dados. 

Eis o grande desafio a ser enfrentado! Uma boa consultoria em proteção de dados consegue elaborar excelentes mapeamentos e relatórios de impacto à proteção de dados, para prever onde ocorrem os tratamentos de dados e justificá-los, com precisão, frente à LGPD; consegue, também, elaborar os melhores documentos jurídicos - políticas e contratos - que diminuirão significativamente os riscos atrelados ao compartilhamento de dados com terceiros; em parceria com especialista em tecnologia e segurança da informação, consegue revisar todos os processos de TI e estruturas de rede, software e hardware, para garantir o atendimento às melhores práticas em segurança e prevenção incidentes; consegue, ainda, promover os melhores treinamentos e workshops para os colaboradores da empresa, explicando à miúde todos os detalhes da LGPD. Entretanto, nem a melhor das consultorias consegue engendrar a necessária mudança de cultura.

Neste contexto, torna-se fundamental a compreensão do conceito de "proteção sustentável de dados". Se, antes, práticas que gerassem risco de vazamento ou exposição de dados não geravam qualquer consequência, atualmente, o prejuízo pode ser substancial, não apenas em multas e indenizações, mas para a própria imagem da empresa. Em outras palavras, hodiernamente, o dado pessoal apenas representa um ativo, desde que devidamente utilizado para o atingimento de finalidades específicas dentro da empresa. Dados obsoletos, em excesso, ou que não são utilizados para qualquer fim, se não para acumular volume no banco de dados, representam, apenas, um risco desnecessário para a empresa. A comparação com o meio ambiente é inevitável. Se, antes, os recursos naturais pareciam infindáveis, hoje temos a consciência de que eles irão faltar se não os utilizarmos com sabedoria. A racionalização e emprego de práticas diárias, portanto, visando à preservação do meio ambiente, tem sido pauta corriqueira na defesa ambiental. O argumento é simples (e eficaz): a preservação do meio ambiente depende de cada um de nós. Utilizar menos sacolas plásticas, tomar banhos mais rápidos, utilizar transporte público, etc., são práticas diárias que cada um de nós pode adotar para fazer a sua parte na preservação ambiental. Voltando para a proteção de dados, a lógica é a mesma.

Se, atualmente, não sentimos a responsabilidade de preservar os dados de terceiro que temos em mãos, na condição de Agentes de Tratamentos - mesmo que na condição de colaboradores de uma empresa -, o primeiro passo, para falarmos em proteção de dados, é conscientizar que a segurança da nossa privacidade dependente, sim, da ação individual de cada um de nós. Primeiramente, ao fornecer um dado pessoal para terceiro, indagar os "porquês"; buscar informações sobre a empresa, e se ela adota as melhores práticas de segurança da informação. Por outro lado, na condição de Agente de Tratamento, é essencial ponderar: "por que razão eu preciso deste dado?"; "há algum modo menos gravoso para atender a esta mesma finalidade?"; "que medidas de segurança eu posso adotar para evitar exposição ou vazamento aos dados que tenho em mãos?". Ou seja, é preciso racionalizar o processo de tratamento de dados pessoais, tendo em mente que a permanência de um resquício de privacidade que ainda dispomos depende da ação de todos.

A este processo de conscientização e racionalização da importância individual para a segurança informacional e privacidade da coletividade, é que chamamos de "proteção sustentável de dados", em uma analogia clara com a sustentabilidade ambiental. Inclusive, porque a situação de perigo enfrentada é a mesma nestes dois casos. Se não conscientizarmos, hoje, que medidas individuais de segurança e prevenção precisam começar a ser adotadas, amanhã, poderá ser tarde demais. Dentro do ambiente empresarial, é preciso conscientizar os colaboradores da importância de cada um, para o desiderato pretendido de tornar a empresa LGPD compliant. A sensibilização geral, acerca da importância de práticas individuais de proteção à privacidade, representa um primeiro grande passo que deve ser dado por aqueles que conduzem projetos de adequação à lei. 

De nada adianta possuir os melhores documentos e processos de compliance, se a empresa não dispõe da adesão daqueles que estão na linha de frente do tratamento de dados. E, mesmo para aquelas empresas que ainda não começaram a fazer o "tema de casa", pensar em práticas sustentáveis para a proteção de dados, representa um primeiro grande começo.