Pesquisar

Artigos Científicos

LGPD, UMA VISÃO PROPOSITIVA DA LEI, OPORTUNIDADE PARA MAXIMIZAÇÃO DE PERFORMANCE, RESULTADO E DIFERENCIAL COMPETITIVO.

Facebook
WhatsApp
Twitter
LinkedIn

Revista Âmbito Jurídico nº 199 – Ano XXIII – agosto/2020

ISSN – 1518-0360

Resumo: Este artigo coloca sob perspectiva a importância de uma lei geral de proteção de dados pessoais na modernidade, em razão do grande fluxo de informações e o uso massivo da internet e das novas tecnologias na, para salvaguarda de direitos e garantias individuais dos cidadãos e do desenvolvimento econômico e sustentável da tecnologia e da inovação, e ainda, como as organizações podem se beneficiar, neste cenário, dos processos de adequação ao novo regramento legal de proteção de dados.

Sumário: Introdução. 1. Oportunidade para maximização de performance, resultados e diferencial competitivo. 2. Muito além das sanções, o estabelecimento de uma nova ordem social. Conclusão. Referências.

Palavra-chave: LGPD. Privacidade. Proteção de Dados. Segurança da Informação. Sustentabilidade Digital. Gestão da Inovação. Segurança da Informação. ROI (Return on Investment). ROV (Return on Value).

 

Introdução:

A Lei Geral de Proteção de Dados foi sancionada em agosto de 2018[1], e teoricamente entraria em vigor em agosto de 2020, após 2 anos da sanção presidencial (vacatio legis), período estabelecido para que a sociedade e as empresas se adequem ao novo Regramento Geral de Proteção de Dados Pessoais. Em resumo, a lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado[2]. Contudo, em razão do “COVID-19 Effect” a LGPD segue rumo a prorrogação da sua entrada plena em vigor, motivada, supostamente, em razão da situação atual em que se encontra a sociedade. Fato é, que recentemente surgiram várias iniciativas legislativas (Projetos de Leis), e mais recente a edição da Medida Provisória (MP 959/2020)[3], que prorrogou a entrada em vigor da lei para 03 de maio de 2021.

Deixemos de lado os impasses de ordem técnico-jurídica que certamente permeiam esta celeuma. A realidade é que PL’s e MP gravitam rumo a prorrogação da entrada  em vigor da lei, quer seja para conveniência de uns, ou para decepção de outros:  de um lado parte do setor empresarial que ovacionaram as medidas; do outro lado, para malgrado de outros, dentre eles, ativistas de privacidade e proteção de dados, acadêmicos e outros simpatizantes da temática.

A bem da verdade, grande parte das empresas sequer iniciaram seus projetos de adequação à lei, e se de fato a lei entrasse ou entrar em vigor em agosto de 2020, grande fatia deste grupo não estará “compliant” com o novo regramento legal de proteção de dados pessoais. Por tanto, a não conformidade com as diretrizes, princípios da nova legislação e a nova realidade de uma economia digital movida a dados, significa entre outras coisas, estar suscetível a: (i)sucumbir as sanções previstas pela nova legislação; (ii) risco de crise reputacional, nas hipóteses de data breach(incidente de privacidade ou de segurança da informação) e perda de competitividade, tendo como consequências impactos financeiros e reputacionais aos negócios.

 

  • – Oportunidade para maximização de performance, resultados e diferencial competitivo

A LGPD é uma legislação inspirada no regulamento europeu GDPR (General Data Protection Regulation), o que não significa dizer que é uma cópia fiel do referido instrumento legal. Nossa legislação foi fruto de um intenso e proativo debate legislativo, que contou com a participação de vários setores da sociedade civil, trata-se de uma legislação moderna e de vanguarda, adequada aos novos anseios de uma sociedade moderna e hiperconectada, orientada e movida por dados (data-driven-society).  Com forte base principiológica, cuja missão transcende a proteção dos dados pessoais “per se”, pois sua gênese é a proteção de direitos e liberdades individuais dos titulares dos dados pessoais; mais também propiciar a livre e segura circulação dos dados, em prol do desenvolvimento econômico e da inovação, propiciando maior segurança jurídica nas relações e aos negócios, que passam a contar a partir de então com um regulamento geral de proteção de dados.

Uma lei com característica simbiótica, pois dela pode-se extrair requisitos técnicos (segurança da informação) e requisitos técnicos-jurídicos (legal). A novíssima lei traz em seu bojo diretrizes de segurança da informação – ativo estratégico para proteção da informação – tendo como base padrões internacionais (standards)[4], que se implementados assertivamente, certamente trará reais benefícios às organizações, em termos deeficiência operacionalprodutividadediferencial competitivomitigação de riscos e impactos: financeiro, operacional, legal e reputacional, além de outras benesses. Sob o aspecto legal, a novel legislação traz um “cardápio” legal capaz de legitimar basicamente todas hipóteses probas e lícitas de tratamento de dados, observados seus princípios e as dez hipóteses legais autorizadoras para o tratamento de dados pessoais[5]. O âmago da lei é a transparência e a eticidade no tratamento dos dados, como vetores fundantes do regulamento geral de proteção de dados pessoais.

Um projeto de adequação que contemple os requisitos da lei, inevitavelmente conduz as organizações a revisitarem seus processos de negócios, com o propósito de diagnosticar as fontes de coleta e tratamento de dados, entre eles os pessoais –  objeto da lei – com o propósito de identificar e registrar as atividades de tratamento de dados pessoais, para posterior análise e adequação aos princípios[6] e requisitos legais.

Trata-se de uma excelente oportunidade para que os gestores analisem criticamente seus workflows, processos de negócios e o uso sustentável das informações e dados pessoais utilizados; neste ponto vale a pena considerar a máxima: “quanto maior o volume de dados coletados, maiores serão os encargos”, ou seja, deve-se coletar o mínimo de dados possíveis.  De toda sorte, este processo permitirá que os gestores façam os devidos ajustes e adequações nas suas operações, orientados a automatização e otimização destes processos, assim como eventual correção de gaps; quiçá surjam insights para criação de novos produtos, tendo sempre como escopo objetivos de negócios da organização.

 

  1. Muito além das sanções, o estabelecimento de uma nova ordem social!

A gestão da informação e do conhecimento são fatores essenciais para o desenvolvimento das atividades empresariais e continuidade dos negócios, “data is the new oil” expressão alcunhada por Clive Humby, matemático londrino especializado em ciência de dados, já é senso comum. De sorte, que as empresas que melhor administrarem esses insumos, certamente serão mais competitivas. Em realidade, a informação – ativo intangível que geram valor; a segurança da informação ou informática – ativo intangível de proteção de valor, Fontes (2012, p.5, Apud Domeghetti e Meir, 2019), e a proteção de dados pessoais, são valores sociais dignos de proteção e tutela estatal; no que refere-se a este último, com aptidão para figurar na lista dos direitos e garantias fundamentais e ser esculpido no rol do Artigo 5°[7], neste sentido é a PEC 17/2019 que propõe a inclusão da proteção de dados pessoais entre os direitos e garantias fundamentais do cidadão em seu inciso XII-A do referido artigo[8], tamanha a relevância e imprescindibilidade de proteção deste novel valor social na modernidade.

Neste sentido, independente da efetiva entrada em vigor da LGPD, a nova legislação já produz seus efeitos reflexos – LGPD effect. Autoridades administrativas (Procon, Senacon, Analel e Ministério Público), diligentemente e proativamente, vem desempenhando importantíssimo papel dentro das suas competências, na vigilância das organizações que inadvertidamente não estão honrando com seus compromissos legais e éticos de proteção de dados pessoais dos cidadãos. Diversamente do que possa parecer, essas autoridades possuem respaldo legal em leis setoriais – microssistemas de proteção de dados – que dispõe sobre a matéria, tais como o MCI (Marco Civil da Internet), o CDC (Código de Defesa do Consumidor) e a LCP (Lei do Cadastro Positivo).

Dentre outras, apenas para citar umas das iniciativas,  recentemente o instituto Sigilo ajuizou ação civil pública contra o Nubank[9], com fundamento no MCI, o CDC e a LCP, para que a instituição se abstenha de coletar informações e dados pessoais dos titulares de dados e consumidores não clientes, obtidos ilegalmente através de entidades financeiras ou comerciais, que não tenham o expresso consentimento, sob pena de multa diária de R$ 10.000,00.

No mesmo sentido, organizações que figuram na condição de tomadoras de serviços, estão vigilantes e atentas na seleção e manutenção de seus fornecedores e parceiros; em alguns casos estão sendo realizados Assessment por parte destas organizações, tendo como métricas: leis, normas e regulamentos sobre privacidade, proteção de dados e segurança da informação, com o objeto de mensurar o nível de maturidade e adequação nas temáticas. O fenômeno da “autorregulação ou corregulação”, por parte destes agentes (operadores e controladores de dados pessoais), justifica-se em razão da cadeia e liame de responsabilidade existentes entre os atores, considerada a troca de dados pessoais e a corresponsabilidade nos casos de incidentes.

Conclusão

Admirável mundo novo! Uma nova ordem social se faz presente e a proteção da informação e dos dados pessoais são elementos importantes para proteção de direitos e liberdades individuais (privacidade, intimidade, liberdade de expressão, dignidade da pessoa, livre desenvolvimento da personalidade, liberdade religiosa, etc.), bem como para o fomento sustentável da tecnologia e da inovação, de sorte que torna-se mandatório harmonizar a preservação da privacidade dos cidadãos. Contrapondo e complementando a ideia de que os “dados são o novo petróleo”, deve-se ter em mente que os dados constituem em uma parcela da personalidade da pessoa e merecem proteção jurídica (MENDES, Laura Schertel, 2014, pag. 33). Dados são pessoas! [10]

Ser reacionário a esta novel realidade poderá trazer consequências nefastas à sociedade e as organizações (impactos financeiros, crise reputacional, perda de competitividade etc.), além da perda de chance de melhoria de processos e procedimentos, e melhor aproveitamento das novas tecnologias. Esse processo de adequação deve ser conduzido de forma sustentável e ser encarado como investimento e não despesa!

 

Autor: Jean Carlos Fernandes dos Santos – Advogado, | MBA Direito Digital | Data Privacy | DPO Certified EXIN ® ISFS | Membro ANPPD ®

[1] Portal do Planalto: Lei 13.709/2018. Fonte: acesso a internet em 13/05/2012, às 13:21 <http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm>

[2] Lei 13.709/2018, artigo 1º.

Lei Geral de Proteção de Dados: “Art. 1º. Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.

[3] Portal do Planalto: Medida Provisória N. 959, de 29 de abril de 2020. Fonte: acesso a internet em 13/05/2020, às 16:21 <http://www.planalto.gov.br/ccivil_03/_ato2019-2022/2020/Mpv/mpv959.htm>

[4] Lei 13.709/2018, artigo 46.

Lei Geral de Proteção de Dados: “Art. 46. Os agentes de tratamento devem adotar medidas de segurançatécnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados (…).

Art. 50, Lei 13.709/2018 (LGPD).

[5] Art. 7º e 11, Lei 13.709/2018 (LGPD).

[6] Lei 13.709/2018, artigo 6º.

Lei Geral de Proteção de Dados: “Art. 6º. As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios: finalidade, adequação, necessidade, livre acesso, qualidade de dados, transparência, segurança, prevenção, não discriminação, responsabilização e prestação de contas”.

[7] Artigo 5 º da Constituição Federal

[8] Portal do Senado Federal: Proposta de Emenda à Constituição n° 17, de 2019. Fonte: acesso a internet em 12/05/2012, às 13:21 <https://www25.senado.leg.br/web/atividade/materias/-/materia/135594>

[9] Matéria portal Instituto de Defesa da Proteção de Dados Pessoais, Compliance e Segurança da Informação Sigilo: Tutela Antecipada contra o Nubank. Fonte: acesso a internet em 13/05/2010, às 15h:00 <https://https://sigilo.org.br/tutela-antecipada-nubank-sigilo/>.

[10] Conecte-se – II Seminário de Inovação e Tecnologia no Direito da OAB SP, 11 de março de 2020.

 

Referência:

BIONI, Bruno. Proteção de Dados Pessoais: a função e os limites do consentimento – Rio de Janeiro: Editora Forense, 2019, p. 135/136.

FONTES, Edison. Políticas e Normas para Segurança da Informação: Como desenvolver, implementar e manter regulamentos para a proteção da informação nas organizações. Rio de Janeiro: Brasport, 2012.

MENDES, Laura Schertel. Privacidade, proteção de dados e defesa do consumidor: linhas gerais de um novo direito fundamental – São Paulo: Saraiva, 2014.

BIONI, Bruno. Regulação de dados é uma janela de oportunidades. Mar. 2019. Disponível em: https://valor.globo.com/opiniao/coluna/regulacao-de-dados-e-uma-janela-de-oportunidade.ghtml. Acesso em: 28 fev. 2020.

Portal do Planalto: Lei 13.709/2018 (Lei Geral de Proteção de Dados). Fonte: acesso a internet em 13/05/2012, às 13:21 http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm

Portal do Planalto: Constituição da República Federativa do Brasil de 1988– Fonte: Fonte: acesso a internet em 13/05/2012, às 13:21 <http://www.planalto.gov.br/ccivil_03/constituicao/constituicao.htm>

ABNT NBR ISO/IEC 27002:2013: Tecnologia da Informação – Técnicas de segurança – Código de prática para controles de segurança da informação. Rio de Janeiro, 2013.

LGPD, uma visão propositiva da lei, oportunidade para maximização de performance, resultado e diferencial competitivo

Rolar para cima