Os impactos da Lei de Proteção de Dados no Compliance dos novos [e velhos] negócios

Cristiana Campos Mamede Maia[1]

O presente artigo tem por objetivo trazer à tona alguns questionamentos e desafios trazidos pela Lei de Proteção de Dados Brasileira, analisando-a sob a perspectiva da segurança da informação e suas implicações no atual conceito de Compliance.

 

Palavras-chave:Proteção de Dados. Compliance. Governança da Informação. Privacidade. Segurança. LGPD. GDPR.

 

Os impactos da Lei de Proteção de Dados no Compliance dos novos [e velhos] negócios.

 

A evolução da economia digital ocorreu em virtude do avanço tecnológico e da globalização, resultando na geração de riquezas no meio eletrônico e no crescimento da competitividade global, o que trouxe grandes transformações nos sistemas de informação e gestão das empresas, forçando empresas e consumidores a repensarem a atuação na rede, especialmente no que tange a segurança da informação na Internet.

McLuhan e Fiore (2011) são categóricos ao afirmar que “os meios, ou processo, de nossa era de tecnologia eletrônica está remodelando e reestruturando os padrões de interdependência social e todos os aspectos da nossa vida pessoal[2]”, o que é notório quando pensamos na rápida expansão do e-business, forçando empresas e consumidores a repensarem a atuação na rede, especialmente no que tange a segurança da informação na Internet.

Anualmente, o roubo de informações internas causa sozinho 42% dos prejuízos com segurança nas corporações. Perda de produtividade e descontinuidade (indisponibilidade) dos serviços e ocupa o segundo lugar com 22%[3]. Posto no papel, esses riscos multiplicados pelo tamanho da empresa são um estopim para disparar a o êxodo dos acionistas e a sabatina midiática.  Assim, cada vez mais as informações de uma empresa, seja ela pequena ou grande, devem ser protegidas tendo em vista seu grande valor, porém é comum que isso só seja notado quando tais informações se encontram em risco.

 

1. Por que estar em conformidade?

Hoje vivemos a chamada sociedade da informação[4] ou sociedade dos dados, no qual os dados passaram a ser vistos como o novo ouro. Neste sentido, o modelo de troca de informação por serviços gratuitos passou a ser questionado, uma vez que as coletas muitas vezes são vistas como abusivas, sendo necessário o direito se impor no resgate da privacidade.

Cada vez mais se exige um atuar ético das empresas, inclusive no que tange o tratamento de dados pessoais.  Hoje não se pensa em um atuar regionalizado, mas sim em um atuar globalizado. Cada vez mais as relações empresariais são traçadas em âmbito internacional, com fornecedores e clientes distribuídos em diversos países.

A recente lei de proteção de dados pessoais (Lei nº 13.709/2018 -LGPD) não visa impedir o uso dos dados, mas sim trazer alguns controles (check and balance) para essa relação, voltando sua atenção para a segurança da informação e consequentemente valorizando os profissionais desta área.

Após a aprovação do GDPR- General Data Protect Regulation na União Europeia em 25 de maio de 2018 foi aprovado a LGPD brasileira que, apesar da similaridade, deixa a desejar pela falta de tecnicidade frente alguns conceitos fundamentais.

Historicamente, no Brasil, a busca pela proteção dos dados transmitidos na rede de Internet ocorre desde 2012, quando o deputado Milton Monti – PR/SP propôs PL 4060/2012, com o intuito de regular o uso de dados sensíveis na internet. Porém, somente após a entrada em vigor do GDPR em maio de 2018, que o Congresso, a título de urgência, tramitou e aprovou o projeto de lei que originou a nossa LGPD.

Essa urgência justifica-se pelo interesse do país em ingressar na Organização para a Cooperação e Desenvolvimento Econômico (OCDE), que possui como pré-requisito para o ingresso do país na organização o respeito à “OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data. Neste sentido, o Brasil carecia de uma legislação que tratasse especificamente do tema.

A LGPD tem como finalidade fortalecer a privacidade dos indivíduos, por meio da imposição de maior transparência do uso de dados, e prevê que todas as empresas deverão estar em conformidade até agosto de 2020, sendo necessário conhecer os pontos de impacto e as consequências que poderão atingir os novos e velhos negócios, especialmente no que tange eventuais crises.

Neste sentido, a lei estabelece diversas sanções aplicáveis caso seja constatada a ocorrência de uma infração. Elas incluem, por exemplo, advertência, medidas corretivas, multa de até 2% do faturamento do grupo, publicização da infração, etc. Porém, da mesma forma que a Lei Anticorrupção (Lei nº 12.846/2013) trouxe a possibilidade de mitigação das sanções no caso de comprovação de efetivo programa de integridade, a LGPD visando a promoção da cultura de segurança nas empresas, trouxe o mesmo pensamento, deixando claro que, no momento da aplicação da sanção, serão levadas em consideração a existência de efetivas medidas de segurança, técnicas e administrativas postas em prática pelos agentes de tratamento antes, durante e após o incidente, bem como a eventual existência de regras de boas práticas, política de privacidade e programa de governança.

Na União Europeia, o GDPR adveio da declaração universal dos direitos humanos, e colocaram dentro deste as exigências de transparência, uso minimizado dos dados, respeito à privacidade do titular e a segurança dos dados. Esse apelo ideológico espalhou-se por todas as legislações que tratam da proteção de dados pessoais pelo mundo, tornando-as verdadeiras legislações reputacionais, onde estar ou não em conformidade passou a ser sinônimo de ser ou não uma empresa confiável, e por esse motivo cabe ao empresário brasileiro estar atento as mudanças necessárias para a implementação da referida legislação pátria.

 

2. O que muda?

Diferentemente do GDPR, a Lei brasileira (LGPD) traz um conceito muito aberto do que seriam dados pessoais. Nos termos da Lei, dados pessoais seriam quaisquer dados que identifiquem ou possam vir a identificar uma pessoa natural e tratamento[5] seria qualquer operação realizada com dados pessoais, abarcando a coleta, utilização acesso, reprodução, armazenamento, eliminação e transferência, mesmo que fora do ambiente digital.

Ocorre que esses conceitos são extremamente amplos em comparação as legislações internacionais, como por exemplo o conceito de dados pessoais propagado nas normativas sobre proteção de dados do United State of America Departament of Labor – U.S. DOL[6], que especifica como dados pessoais o nome, endereço, identificação do seguro social e outras informações que per si gerem a identificação de seu titular.

Essa amplitude conceitual adotada pela Lei pode levar a diversos questionamentos no âmbito técnico-jurídico, em especial no que tange a coleta e a combinação de dados. Neste sentido, Fulgencio Madrid Conesa[7] traz a “Teoria do Mosaico Social”, no qual demonstra a possibilidade de, por meio da conexão entre dados irrelevantes, chegar à identificação de seu titular. Por exemplo, uma placa de carro, por si só, não é vista como dado pessoal, mas esse dado pode permitir a identificação de seu titilar se o mesmo estiver com o IPVA em aberto, bastando uma busca nas publicações do Diário Oficial Eletrônico com o número da placa para identificar o CPF do titular do veículo. Deste modo o conceito de dados pessoais atribuído pela Lei brasileira poderia abarcar qualquer dado com essa capacidade, estando este em meio digital ou não, passando a incluir neste rol imagens, fotos, IP, email, login, placa de carro, avatares, etc.

Essa amplitude conceitual traz diversas adversidades para a implementação da Lei brasileira, uma vez que qualquer dado coletado, mesmo que por meios físicos, deverão ser submetidos as regras da LGPD, sendo necessário que todas as coletas antes efetuadas sejam revalidadas, seja pelo consentimento de seu titular, seja pela demonstração de enquadramento nas 10 hipóteses legais.

No mais, as empresas devem se preparar para atender a demanda quanto a informação dos dados em sua propriedade, uma vez que a Lei trouxe ao indivíduo o poder de consentir[8]  ou não com o uso, bem como o poder de transferir, bloquear[9], eliminar[10], corrigir ou anonimizar[11] seus dados quando desnecessários, excessivos ou tratados em desconformidade com a lei, exigindo para tanto que as empresas (controladoras) possibilitem o acesso facilitado e gratuito às informações sobre os tratamentos aplicados aos dados coletados e a possibilidade do titular requerer a eliminação dos dados em posse das empresas controladoras.

Outro ponto questionável na LGPD brasileira está na ausência de parâmetros temporais objetivos, uma vez que a legislação traz o dever de informar de maneira “imediata” aos parceiros de compartilhamento de dados eventual pedido de eliminação para que estes procedam da mesma forma (§6º art. 18).

Neste ponto a Diretiva Europeia 95/46 EC, reguladora da legislação europeia, é mais completa ao considerar, em seu art. 12 alínea “c”, que o direito do usuário de notificação a terceiros das alterações eventualmente produzidas pode se mostrar excessivamente oneroso ou mesmo impossível de ser realizado na prática.

Todavia a legislação brasileira não tratou da possibilidade do pedido de eliminação ser direcionado apenas a pessoa jurídica requisitada, nem da possibilidade de eventual incidente não permitir identificar todos os titulares dos dados afetados, prevendo apenas que as empresas controladoras deverão avisar em prazo “razoável” a Autoridade Nacional e o Titular caso ocorra algum incidente de segurança que possa acarretar risco ou dano aos titulares dos dados afetados pelo incidente.

Diferentemente do item 85 da GDPR[12], a legislação brasileira não definiu o que seria um “prazo razoável”, deixando mais uma vez em aberto um conceito essencial para a segurança jurídica.

Destaca-se que a legislação europeia toma o cuidado de não obrigar a comunicação nos casos em que eventual violação não implique em risco para os direitos e liberdades de seus titulares.

Todavia, a LGPD não possui qualquer previsão neste sentido, apenas prevendo que a Autoridade Nacional poderá solicitar relatório de todos os dados coletados e tratamentos sofridos, bem como o usuário pode requerer informações sobre seus dados a qualquer tempo.

 

3. Como lidar?

No que tange a Segurança a Informação, a presente Lei veio em bom tempo, uma vez que, segundo estudo da Level3[13], no Brasil apenas 42% das organizações possuem alguma política de segurança da informação e conseguem gerar métricas sobre o cumprimento destas, sendo o Brasil alvo de uma proporção significativa de ataques cibernéticos de larga escala que continuam a se proliferar conforme estudo divulgado pela Associação brasileira de Internet –ABRANET[14] e IDC[15].

Nesse sentido, o controlador, observando a estrutura, escala e volume de suas operações, bem como a sensibilidade dos dados tratados e probabilidade e gravidade dos danos para os titulares dos dados, poderá implementar o Programa de Governança em Privacidade, bem como estimular programas de conscientização da importância da cultura de segurança nas empresas e na vida pessoal dos colaboradores.

A lei visa incentivara a aplicação dos conceitos de governança e compliance no âmbito digital, objetivando aprimorar as relações de confiança entre titular e empresas controladoras, por meio da implementação de políticas de transparência e mecanismos de supervisão internos e externos, especialmente no que tange a implementação de planos de resposta a incidentes, uma vez que ao demonstrar a efetividade do programa de governança em privacidade, bem como o cumprimento das boas práticas de segurança da informação, a lei prevê a possibilidade de se amenizar e até afastar[16] a responsabilização e aplicação de sanções[17] por eventuais incidentes.

A LGPD tem grande impacto no compliance das organizações, uma vez que consagra princípios da responsabilidade (accountability) e adoção de medidas preventivas. Neste ponto, observa-se a necessidade das empresas atualizarem seu programa de compliance a fim de prever políticas de respeito à privacidade, instituindo métodos e boas práticas de Segurança da Informação[18], aplicando um olhar mais atento a Governança de Tecnologia da Informação e Comunicação[19] (TIC), conforme recomendações publicadas anualmente no Relatório de Segurança da Informação[20] da Symantec.

A Lei terá vigência a partir de agosto de 2020, assim, recomenda-se que as empresas adaptem o quanto antes suas práticas em compliance a este novo panorama legal.

[1]Advogada na Firjan, Pesquisadora da FGV-Rio, Colaboradora Externa do Grupo de Pesquisa Mercosul do UniCeub; Pós-Graduada em: Perícia Forense aplicada à Informática pelo Instituto Superior de Educação Ibituruna (2018), Direito Público e Privado pela Escola de Magistratura do Rio de Janeiro (2016), Direito do Estado e Regulação pela Fundação Getúlio Vargas-FGV/Rio (2013); Direito Processual Civil pela Universidade Candido Mendes- IAVM (2010); Especialista em Direito Imobiliário pela Candido Mendes – 2008; Bacharel em Direito pela Universidade Candido Mendes 2011.  Email:cristianamaia@gmail.com.

[2] MCLUHAN, Marshal; FIORE, Quentin. O meio é a massagem: um inventário de efeitos. Coord. Jerome Argel. Trad. E notas de Julio Silveira. Rio de Janeiro: Ímã, 2011, p.8.

[3] PONEMON –Institute of mesuring trust (2017) –Cost of Cyber Crime Study. Disponível em: < https://www.accenture.com/us-en/insight-cost-of-cybercrime-2017>. Consultado em 17 abril 2018.

[4] O conceito de Sociedade da Informação surgiu nos trabalhos de Alain Touraine (1969) e Daniel Bell (1973) sobre as influências dos avanços tecnológicos nas relações de poder, identificando a informação como ponto central da sociedade contemporânea.” Em GOUVEIA, Luís Manuel Borges (2004), “Notas de contribuição para uma definição operacional”. Disponível em: http://www2.ufp.pt/~lmbg/reserva/lbg_socinformacao04.pdf Acesso em 17 ago. 2018.

[5] Tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

[6] “Informação Pessoal Identificável (PII) é definida como: Qualquer representação de informação que permita a identidade de um indivíduo a quem a informação se aplica seja razoavelmente inferida por qualquer meio direto ou indireto. Além disso, PII é definida como informação: (i) que identifica diretamente um indivíduo (por exemplo, nome, endereço, número do seguro social ou outro número ou código de identificação, número de telefone, endereço de e-mail etc.) ou (ii) pelo qual uma agência pretende identificar indivíduos específicos em conjunto com outros elementos de dados, ou seja, identificação indireta. (Esses elementos de dados podem incluir uma combinação de gênero, raça, data de nascimento, indicador geográfico e outros descritores). Além disso, as informações que permitem o contato físico ou on-line de um indivíduo específico são as mesmas que as informações pessoalmente identificáveis. Esta informação pode ser mantida em papel, eletrônico ou outras mídias  (Tradução Nossa)

”Personal Identifiable Information (PII) is defined as: Any representation of information that permits the identity of an individual to whom the information applies to be reasonably inferred by either direct or indirect means. Further, PII is defined as information: (i) that directly identifies an individual (e.g., name, address, social security number or other identifying number or code, telephone number, email address, etc.) or (ii) by which an agency intends to identify specific individuals in conjunction with other data elements, i.e., indirect identification. (These data elements may include a combination of gender, race, birth date, geographic indicator, and other descriptors). Additionally, information permitting the physical or online contacting of a specific individual is the same as personally identifiable information. This information can be maintained in either paper, electronic or other media” Vide: <https://www.dol.gov/general/ppii> Acesso em 16 ago. 2018.

[7] A Teoria do Mosaico, cuja ideia – segundo Leonardo Roscoe Bessa, foi proposta por Fulgêncio Madrid Conesa – sustenta que existem dados, a priori, irrelevantes sob o prisma de proteção da privacidade, mas que em conexão com outras informações, também irrelevantes, podem servir para tornar completamente transparente a personalidade de um cidadão “al igual que ocurre con las pequeñas piedras que forman los mosaicos, que en si no dicen nada, pero que unidas pueden formar conjuntos plenos de significado.” Em BESSA, Leonardo Roscoe. O consumidor e os limites dos bancos de dados de proteção ao crédito. São Paulo: Editora Revista dos Tribunais, 2003. P. 91

[8] Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade especifica e determinada, fornecida por escrito ou por outro meio que demonstre a manifestação de vontade do titular, sendo nula a emissão de autorizações genéricas.

[9] Bloqueio: suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados.

[10] Eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado.

[11] Dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento (não serão considerados dados pessoais, salvo quando o processo de anonimização for revertido).

[12] Item 85 U.E. GDPR. “(…) Por conseguinte, logo que o responsável pelo tratamento tenha conhecimento de uma violação de dados pessoais, deverá notificá-la à autoridade de controle, sem demora injustificada e, sempre que possível, no prazo de 72 horas após ter tido conhecimento do ocorrido, a menos que seja capaz de demonstrar em conformidade com o princípio da responsabilidade, que essa violação não é suscetível de implicar um risco para os direitos e liberdades das pessoas singulares. Se não for possível efetuar essa notificação no prazo de 72 horas, a notificação deverá ser acompanhada dos motivos do atraso, podendo as informações ser fornecidas por fases sem demora injustifica” Disponível em: http://www.privacy-regulation.eu/pt/r85.htm Acessado em 1 set. 2018.

[13] Informação retirada da matéria disponível em: https://www.prnewswire.com/news-releases/level-3-publica-o-primeiro-indice-de-seguranca-da-informacao-no-brasil-300395911.html

[14] Vide matéria completa em: < http://www.abranet.org.br/Noticias/Ataques-de-larga-escala-seguem-se-proliferando-no-Brasil-1790.html?UserActiveTemplate=site#.W41OfM5KjIU> Acesso em 1 set. 2018.

[15] Estudo completo em: < http://resources.arbornetworks.com/wp-content/uploads/LA17019_IDC-Latin-America_Infobrief_Security-2017_ESP_Arbor-Networks-Complete-2.pdf> Acesso em 3 set. 2018.

^[16] Art. 43 – Lei nº 13.708/18:  Os agentes de tratamento só não serão responsabilizados quando provarem:

(…)

II – que, embora tenham realizado o tratamento de dados pessoais que lhes é atribuído, não houve violação à legislação de proteção de dados; ou

III – que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro.

^[17] Art. 52, §1º – Lei nº 13.708/18: As sanções serão aplicadas após procedimento administrativo que possibilite a oportunidade e ampla defesa, de forma gradativa, isolada ou cumulativa, de acordo com as peculiaridades do caso concreto e considerados os seguintes parâmetros e critérios: (…)

VIII – adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados para o tratamento seguro e adequado de dados (…);

IX – adoção de política de boas práticas e governança

X – pronta adoção de medidas corretivas; (…).

[18] A Segurança da Informação, por sua vez, pode ser conceituada como sendo as medidas administrativas, tecnológicas e físicas adotadas com o intuito de preservar a confidencialidade, a integridade e a disponibilidade das informações consideradas importantes para uma organização.

[19] A Governança de TIC é uma “extensão” da Governança Corporativa  (conjunto de ações, políticas, regras e processos que regem uma organização específica) direcionada para a gestão das ferramentas, recursos e soluções em TI, bem como descreve práticas que garantem a segurança da informação nos processos executados dentro de uma empresa, disponibilidade e total funcionamento das tecnologias da informação e durabilidade de todo o sistema implantado nas corporações.

[20] Vide: http://www.symantec.com/content/pt/br/enterprise/images/theme/enterprise-security/State-of-Security-Survey-Report-LAM-port.pdf Acessado em 3 set. 2018.