O dilema da inovação versus proteção de dados pessoais

Uma das perguntas que tenho respondido bastante em agendas com executivos é: como viabilizar os projetos de transformação digital e inovação tecnológica em conformidade com as novas regulamentações de proteção de dados pessoais?

Com toda certeza, o maior desafio das novas leis como o Regulamento Europeu (GDPR) e a legislação brasileira (LGPD) envolve justamente a capacidade de aplicar o conceito do “privacy by design”, ou seja, de que um projeto, desde o seu início, já seja concebido para atender às especificações de privacidade e aos controles de cibersegurança. Mas como fazer isso?

Primeiro passo, precisa estabelecer um procedimento que possa ajudar a conduzir o executivo em uma análise de risco de privacidade (“privacy risk”) logo no briefing e no kick-off do projeto. A criação de um roteiro simples, estilo check-list, onde seja averiguado alguns indicadores que permitirão conduzir o projeto dentro de um guideline de conformidade.

E isso precisa estar estabelecido para empoderar a empresa em suas iniciativas de inovação. A meu ver, apesar de muitas instituições estabelecerem uma área de privacidade, onde normalmente fica o DPO (Data Protection Officer), que seria o encarregado da proteção dos dados pessoais, ou melhor, o responsável por determinar qual será a estratégia que o negócio deverá seguir para ficar em conformidade com as regulamentações, não tem como gerar uma centralização demasiada, pois isso pode prejudicar a necessidade de agilidade dos negócios e aumentar a burocracia, o que pode ser um agravante dependendo do porte da empresa e seu segmento de atuação.

Desse modo, o que poderia contribuir como facilitador para construir uma cultura de proteção de dados pessoais harmonizada com um ambiente de inovação que precisa de celeridade? Talvez um check-list como o abaixo:

• O projeto irá de algum modo tratar dados pessoais (qualquer tipo de tratamento, captura, uso, armazenamento mesmo temporário, compartilhamento, edição, manipulação, outros)?
• Há possibilidade de tratar também dados pessoais sensíveis (relacionados à saúde, genético, biométrico, escolha sexual, racial, étnica, religiosa, filosófica, política, sindical)
• Há possibilidade de captura de geolocalização que possa determinar de algum modo também associação à dados pessoais sensíveis?
• Os dados pessoais serão usados para quais finalidades?
• Se os dados pessoais não forem usados para as exceções de consentimento precisarão obter o consentimento prévio, expresso e em destaque (as exceções são: cumprimento de obrigação legal ou regulatória, contratual, atendimento de política pública, proteção da vida, da saúde, legítimo interesse, proteção do crédito, estudo por Órgão de pesquisa, segurança pública, defesa nacional, investigação e repressão à infração penal, processo judicial, administrativo ou arbitral, acadêmico, jornalístico ou artístico)
• Há motivo para tratar os dados pessoais (ganho econômico, obrigação legal)?
• Qual o tempo que devem ser guardados os dados pessoais (tabela de temporalidade do projeto, e se necessário os logs de consentimento)
• Haverá anonimização da base de dados pessoais?
• Há uso de terceirizados no projeto? Há algum tratamento de dados pessoais por eles?
• Há compartilhamento de dados pessoais feita com outras empresas do grupo econômico? Se sim, para quais finalidades?
• Há compartilhamento de dados pessoais feita com outras empresas terceiras? Se sim, para quais finalidades?
• Há internacionalização dos dados pessoais (seja dentro do mesmo grupo econômico ou para outras empresas)?
• Haverá algum tipo de uso de serviço de cloud (nuvem) que possa gerar internacionalização dos dados pessoais?
• Quais são as medidas de proteção dos dados pessoais aplicadas no projeto desde a sua captura à sua eliminação (mapeando o fluxo de dados pessoais e seu ciclo de vida), considerando desde uso de controle de acesso, algum tipo de criptografia ou senha ou pasta criptografada, descarte seguro.
• Foi assinado NDA já com cláusula de proteção de dados pessoais?
• O contrato com parceiros ou terceiros já possui cláusulas sobre proteção de dados pessoais e atendimento de regulamentações como GDPR e LGPD?

Claro que muitas instituições estão, neste momento, fazendo o seu dever de casa para atender os novos requisitos das leis. Para tanto, em geral, precisam realizar um assessment, para ter um diagnóstico da situação atual que diga o que precisam ajustar (qual o gap e o mapa de risco com priorização)? Mas esta não é uma conta de chegada, mas sim de partida.

Quero dizer que o mais difícil não é atualizar documentos, soluções tecnológicas para atender a lei agora, mas sim, se manter na conformidade da lei. Ou seja, manter um processo contínuo, um PDCA, que faça com que a instituição continue atendendo as exigências após a entrada em vigor. Afinal, a fiscalização será permanente e a possibilidade de judicialização da matéria aumenta com o tempo, dentro de um período de amadurecimento natural de nova legislação de 5 a 7 anos.

Portanto, realizar treinamento com os gestores, principais líderes de projetos, equipes que de algum modo manipulam muitos dados pessoais que podem estar desde o RH até o SAC da empresa é essencial. Pois há um novo procedimento a ser seguido que precisa ser aprendido e internalizado na cultura das instituições públicas e privadas.

A outra questão que tenho tido que responder muito é sobre quem eu acredito que pode gerar mais atração da Autoridade Nacional de Proteção de Dados Pessoais em um modelo centralizado ou do Ministério Público em um modelo de fiscalização difusa?

Bem, esta é uma pergunta difícil de responder, mas pela experiência que tenho de 20 anos de prática de Direito Digital, acredito que serão os setores que já possuem naturalmente um histórico ou de ter que atender regulamentações setoriais, como ocorre com Instituição Financeira (BACEN), Seguros (SUSEP), Saúde (ANS), Alimentos e Bebidas (ANVISA), Telecom (Anatel), setores que possuem alguma regulamentação profissional maior como Farmacêutico, Hospitalar, Médico (por tratarem também dados pessoais sensíveis), setor que lida muito com o consumidor como é o Varejo e Turismo e, por último, mas não menos importante, o setor de tecnologia que não é normalmente regulado mas que com esta legislação passará a ter o olhar da fiscalização pois trata muitos dados pessoais e aí vamos para Provedores de Aplicação, Mídias Sociais, Empresas de serviços de Cloud.

Neste sentido, o que temos que levar em consideração, não é apenas a conformidade dentro da empresa, mas principalmente uma análise do seu ecossistema de negócios e como está o seu framework de segurança da informação neste ambiente, aplicando algumas metodologias como ISO 27001, NIST, COBIT, PCI, outras.

O motivo se deve ao fato de que, em muitos casos, quem vai trazer primeiramente o dado pessoal para dentro da base pode ser ou uma pessoa física (ex: um corretor) ou uma empresa terceira (um correspondente bancário) ou até uma PME com menos estrutura de governança de riscos e segurança de dados. E é aí que mora o perigo. Justamente nestas interfaces de negócios e nas APIs.

Por isso, os projetos de proteção de dados pessoais assumem uma complexidade maior, pois envolvem inclusive ajustar este perímetro, este entorno. Principalmente se envolver o uso do que hoje se chama datalake onde há aplicação de enriquecimento de base de dados pessoais de todo tipo, de toda origem, que envolvem Big Data, Machine Learning, dados comportamentais.

Mas acima de tudo, o olhar tem que ser construtivo, evolutivo, positivo. Deve-se ter muito zelo, muito cuidado para não trazer uma camisa de força para o negócio. Há um nível de conformidade aceitável e de gestão de riscos aceitável. Deve-se trabalhar nos indicadores mais críticos, no que é vitrine, no que pode impactar diretamente questões de reputação, transparência, o que é obrigatório atender dos novos direitos dos usuários e que pode gerar até uma ação de dano moral em um juizado especial de pequenas causas ou na trabalhista (especialmente as que têm sindicatos fortes), e no que pode ocasionar um vazamento de dados pessoais pois ninguém quer ser envolvido em um incidente como este.

Por último, é uma regulamentação que se passa, em grande parte, por gestão de riscos através de contratos. Por isso, há 3 eixos fundamentais a serem trabalhados:

1. Eixo da solução de segurança de informação pra proteção dos dados pessoais;
2. Eixo da governança e gestão de riscos pelos contratos, documentos, normas, políticas;
3. Eixo da Cultura com a capacitação e as campanhas de conscientização seja das equipes ou mesmo dos usuários clientes.

*Patricia Peck Pinheiro é sócia e sócia e Head de Direito Digital do escritório PG Advogados. Advogada especialista em Direito Digital, doutora pela Universidade de São Paulo, com PhD em Propriedade Intelectual e Direito Internacional, pesquisadora convidada pelo Instituto Max Planck e pela Universidade de Columbia, professora convidada pela Universidade de Coimbra e pela Universidade Central do Chile. Árbitra do Conselho Arbitral do Estado de São Paulo – CAESP, Vice-Presidente Jurídica da ASEGI, Conselheira de Ética da ABED, Presidente do Instituto iStart de Ética Digital. Autora de 22 livros de Direito Digital.