A LGPD e o mito do advogado que entende de Dados

Recentemente li um artigo no LinkedIn que dizia do problema em transformarmos pessoas bem sucedidas em uma área em heróis para toda a vida e em todas as áreas. Não é porque alguém canta ou joga futebol bem, que será também um bom empresário ou pai de família. Sucesso e competência em uma área não significa integridade e ética em todas as demais.

Creio que estamos vivendo mitos assim, agora que a LGPD já é parte do vocabulário de muitas empresas e profissionais afins.

A proteção de dados é agora o que já vivemos com Compliance, Código de Defesa do Consumidor, #SOX e o “bug do milênio” de antes. A diferença é que não há data de corte e sim muito trabalho em todas as frentes para adequação, conscientização, conformidade legal e sustentação das operações.

Nem mesmo as empresas multinacionais estão adequadas totalmente à LGPD, porque agora o foco é certificação e integridade de dados pessoais tratados no Brasil e a Autoridade de Controle será brasileira. Assim, como a nossa tomada de três pinos, as interpretações e conceitos podem ser diferentes da maturidade europeia.

Mesmo sendo derivada de uma Lei e inspirada na GDPR, a Proteção de Dados Pessoais demanda muito trabalho todas as áreas, dentre as quais as necessidade de assessments/gap analysis técnicos, mapeamento de dados, ISO 27001, PCI, venda de soluções e equipamentos para segurança, acesso e backup, desenvolvimento e adaptação de aplicações, ferramentas de controle de privacidade, Data Privacy Management Systems; soluções para criptografar e anonimizar banco de dados e muito mais!

É um mito que exista um único vendor ou “bala de prata” que consiga solucionar todos os pontos trazidos pela LGPD, em todos os segmentos ou para todas as empresas. Cada negócio deverá olhar para as suas necessidades de adequação e conscientização e decidir o que implementar, diretamente ou através de seus Trusted Advisors e um ecossistema próprio.

Dentro do Assis e Mendes, a Proteção de Dados pessoais não é um assunto novo. Há quase 15 anos trabalhamos com Direito Digital e sempre tivemos contatos e desafios jurídicos envolvendo grandes volumes de informações e bancos de dados de milhares de usuários. Mesmo assim confesso que desde que começamos a implementar a #GDPR para clientes brasileiros em 2017 aprendemos e aprofundamentos nossos conceitos sobre Privacidade, Finalidade e o que é razoável na equação entre Tecnologia e Segurança e Orçamento. Eu, pelo memos, não me julgo especialista ou capaz de cobrir todas as nuances que a LGPD envolve.

Mas a principal lição foi o contato com diversas empresas europeias e o entendimento dos passos que seguiram na Europa para adequação à #GDPR.

Como está ocorrendo aqui no Brasil, houve a corrida do ouro por escritórios de advocacia que vendiam pareceres sobre o que significava a Lei; depois de vendedores de ferramentas que poderiam resolver questões ligadas aos pareceres.

Finalmente o mercado europeu amadureceu e encontrou empresas de serviços e consultorias específicas para servirem como Trusted Advisors.

 São estes parceiros que entendem as necessidades de cada negócio e apoiam as empresas desde a conscientização até o mapeamento dos dados e implementação técnica e operacional dos novos conceitos.

Ficamos felizes de hoje podermos trabalhar com diferentes parceiros e consultorias de todos os tipos nos novos desafios do Brasil e hoje também sermos reconhecidos como Trusted Advisors quando o assunto é Proteção de Dados.

 Interessante! Mas se o Jurídico não é o mais importante para a LGPD e dados pessoais, para que serve o assessment jurídico neste contexto?

Já assumindo a postura ética que todos deveriam ter, a nossa resposta é que nenhum advogado bom é capaz de superar um consultor ruim de segurança da informação em questões que envolvam a tecnologia, ambientes ou configurações lógicas!

Se um advogado perguntar se a empresa tem criptografia ou usa algum tipo de firewall e a resposta for sim; ele ficará muito contente e anotará isso numa planilha.

Mas temos que lembrar dos conceitos e princípios da Proteção de Dados, principalmente de questões que envolvem boas práticas, o “Security and Privacy by Design; or byDefault”.O que os advogados não conseguem saber é se o Firewall está de fato ligado e está cobrindo todas as necessidades da empresa; bem como se a criptografia, por si só, é capaz de resolver as questões técnicas que envolvem o acesso e compartilhamento de dados.

Aqui no Assis e Mendes, preferimos nos concentrar no que sabemos fazer de melhor e cuidar apenas dos conceitos jurídicos da norma.

Pode parece pouco mas nossos trabalhos abrangem apenas:

• Entender o que a empresa faz e como coleta e trata dados pessoais
• Dar a correta caracterização legal de informações, dados pessoais e sensíveis coletados para cada atividade
• Verificar se todos os requisitos da jurídicos já estão em uso e são suficientes, ou se há a necessidade de ajustes na operação e documentação antes da vigência
• Antecipar questões envolvendo o tratamento de dados Internacionais / Compartilhamento de dados com terceiros
• Fazer comparações e benchmark das necessidades de nossos clientes, com cases de empresas europeias e suas necessidades de adequação perante a GDPR;
• Definições técnicas de, em que momentos, o Cliente agirá como CONTROLADORA ou como OPERADORA de dados pessoais, englobando
• Palestras, treinamentos e workshops de conscientização e implementação dos conceitos de Privacidade e Proteção de Dados Pessoais.

 Todo o demais, inclusive o mapeamento e mineração dos dados devem ser feitos por empresas ou soluções especializadas nesta área.

E, claro, indo além, quando já houver uma consciência dos dados, numa segunda fase também apoiamos nossos clientes e parceiros na:

• Adequação de contratos com fornecedores de TI que recebem dados pessoais ou sensíveis das empresas
• Revisão dos termos de uso e contratos com as cláusulas de consentimento
• Participação e revisão dos Relatórios de Impacto à Proteção de Dados Pessoais, exigidos por lei.
• Revisão e opinião nas questões jurídicas envolvendo Políticas de Segurança da Informação, Comitê de Crise e mapeamento dos riscos jurídicos do negócio.
• Apoiar o Cliente em premissas, bem como definição das funções / perfil e formação de um DPO – Encarregado de Dados Pessoais.

 Em nossas conversas internas e reuniões, sempre frisamos que a Proteção de Dados não deve ser vista como um escudo ou barreira entre empresas e o mercado, mas sim como algo relacionado ao carinho e cuidado que temos com as coisas que são importantes para nós!

Que venham os novos tempos, mais conscientes e seguros!

Adriano Mendes é o sócio e fundador da Assis e Mendes Advogados e é especializado em Direito Digital e LGPD. Acompanhe seus artigos no LinkedIn.