O “não” da LGPD as empresas já têm

Compartilhar no facebook
Compartilhar no linkedin
Compartilhar no twitter
Compartilhar no telegram

Em 14 de agosto último foi sancionada nossa Lei Geral de Proteção de Dados Pessoais, que já recebeu acrônimo de quatro letras (LGPD), à semelhança de sua matriz europeia (GDPR). Se você teve chance de se familiarizar com o tema, é possível que tenha ficado incomodado com o surgimento de mais uma tarefa de compliance para sua empresa. Quer encontrar o culpado? Eu ajudo. Ele reside no Museu Smithsonian, em Washington D.C., e responde pelo nome de Eniac.

Eniac — ou Electronic Numerical Integrator and Computer — foi o primeiro computador digital eletrônico de grande porte (mainframe). Foi desenvolvido para processar cálculos balísticos na Segunda Guerra, mas não chegou a cumprir essa finalidade, uma vez que entrou em funcionamento apenas em fevereiro de 1946. Tornou-se obsoleto em apenas dez anos.

Concebidos para propósitos bélicos, o processamento massivo de dados e suas aplicações foram logo reconhecidos por outras áreas de governo, com destaque para o auxílio na definição de políticas públicas, como o censo demográfico. Já nas décadas de 1960 e 1970, a exploração da capacidade computacional pesada caminhou para a iniciativa privada, terreno onde mais se desenvolveu.

A façanha de Eniac foi ter inaugurado a era em que a humanidade passou a ter a capacidade de processar dados em grande escala. Ocorre que os dados processados muitas vezes dizem respeito a pessoas, o que implica riscos à privacidade e a direitos fundamentais de cada um de nós.

A ciência econômica define como externalidades os efeitos colaterais que uma decisão tem sobre aqueles que dela não participaram. Verifica-se uma externalidade quando há consequências para terceiros que não são levadas em conta por quem toma a decisão. A externalidade é negativa quando gera custos para os agentes externos. A poluição é o exemplo clássico de externalidade negativa.

Riscos associados ao processamento de dados pessoais são, de certo modo, a poluição que decorre da sociedade da informação. Esses riscos se materializam, por exemplo, na possibilidade de decisões equivocadas (e.g. relativas à concessão de crédito ou à contratação para emprego), na falta de controle sobre o fluxo de dados que dizem respeito a uma pessoa e a eventuais consequências da discriminação e do profiling.

Até o perdão, ou mesmo aquela vista grossa indulgente, em relação a atos impensados ou pecadilhos do passado, podem se ver ameaçados pela preservação indevida de dados pessoais. No limite, a própria noção cristã de redenção pode se ver a perigo.

Leis de proteção de dados pessoais, como a LGPD, nada mais são que respostas regulatórias aos riscos associados ao processamento massivo de dados pessoais. Não houvesse computador, não haveria a LGPD.

É nesse sentido que, antes de qualquer outra consideração, a legislação parte do pressuposto de que dados pessoais não podem ser processados sem que uma série de requisitos e controles sejam observados. Na lógica da LGPD, governo e iniciativa privada partem do “não” para tratar dados pessoais. O caminho rumo ao “sim” é intrincado, exigindo tempo e investimento.

Para olhos não treinados, a leitura da LGPD pode ser intimidadora. São várias as obrigações e os compromissos que deverão ser assumidos que, apesar de devidamente ordenados na lei, não guardam lógica aparente ou explícita.

Para chegar ao “sim”, a LGPD (e, de maneira geral, qualquer lei de proteção de dados pessoais) exige quatro conjuntos de ações daquele que pretende tratar dados pessoais: observância dos requisitos para tratamento (obtenção de consentimento, existência de interesses legítimos, tratamento para a tutela de saúde), tratamento de acordo com os princípios aplicáveis à gestão de dados (apenas para a finalidade objeto do consentimento, mínimo de dados necessários para se atingir o propósito do tratamento), observância dos direitos do titular quanto a seus dados (acesso, correção, portabilidade, eliminação e revogação), adoção de controles, processos, boas práticas e governança (DPO, privacy by design, accountability).

Apesar de não serem fáceis de implementar, são esses os quatro marcos a serem perseguidos rumo à conformidade no tratamento de dados pessoais. Trata-se de carta náutica segura, tanto para a interpretação adequada da LGPD quanto para a implementação dos controles internos de uma organização.

A par disso, as palavras de ordem que devem permear qualquer esforço de compliance em proteção de dados são ética, confiança e comprometimento. Ética no sentido de que a organização deve pautar seu tratamento de dados com base na razoabilidade; confiança no sentido de que a conquista de confiança de todos os stakeholders (titulares, regulador e parceiros) deve ser perseguido, comprometimento na medida em que nenhum desses objetivos será atingido sem o compromisso da alta administração.

Classifique:
5/5
loading...

DEIXE UM COMENTÁRIO

VOCÊ TAMBÉM PODE GOSTAR DE

Confira nossos vídeos exclusivos sobre IOT