A LGPD e o mito do advogado que entende de Dados

Recen­te­mente li um arti­go no LinkedIn que dizia do prob­le­ma em trans­for­mar­mos pes­soas bem suce­di­das em uma área em heróis para toda a vida e em todas as áreas. Não é porque alguém can­ta ou joga fute­bol bem, que será tam­bém um bom empresário ou pai de família. Suces­so e com­petên­cia em uma área não sig­nifi­ca inte­gri­dade e éti­ca em todas as demais.

Creio que esta­mos viven­do mitos assim, ago­ra que a LGPD já é parte do vocab­ulário de muitas empre­sas e profis­sion­ais afins.

A pro­teção de dados é ago­ra o que já vive­mos com Com­pli­ance, Códi­go de Defe­sa do Con­sum­i­dor, #SOX e o “bug do milênio” de antes. A difer­ença é que não há data de corte e sim muito tra­bal­ho em todas as frentes para ade­quação, con­sci­en­ti­za­ção, con­formi­dade legal e sus­ten­tação das operações.

Nem mes­mo as empre­sas multi­na­cionais estão ade­quadas total­mente à LGPD, porque ago­ra o foco é cer­ti­fi­cação e inte­gri­dade de dados pes­soais trata­dos no Brasil e a Autori­dade de Con­t­role será brasileira. Assim, como a nos­sa toma­da de três pinos, as inter­pre­tações e con­ceitos podem ser difer­entes da maturi­dade europeia.

Mes­mo sendo deriva­da de uma Lei e inspi­ra­da na GDPR, a Pro­teção de Dados Pes­soais deman­da muito tra­bal­ho todas as áreas, den­tre as quais as neces­si­dade de assessments/gap analy­sis téc­ni­cos, mapea­men­to de dados, ISO 27001, PCI, ven­da de soluções e equipa­men­tos para segu­rança, aces­so e back­up, desen­volvi­men­to e adap­tação de apli­cações, fer­ra­men­tas de con­t­role de pri­vaci­dade, Data Pri­va­cy Man­age­ment Sys­tems; soluções para crip­togra­far e anon­i­mizar ban­co de dados e muito mais!

É um mito que exista um úni­co ven­dor ou “bala de pra­ta” que con­si­ga solu­cionar todos os pon­tos trazi­dos pela LGPD, em todos os seg­men­tos ou para todas as empre­sas. Cada negó­cio dev­erá olhar para as suas neces­si­dades de ade­quação e con­sci­en­ti­za­ção e decidir o que imple­men­tar, dire­ta­mente ou através de seus Trust­ed Advi­sors e um ecos­sis­tema próprio.

Den­tro do Assis e Mendes, a Pro­teção de Dados pes­soais não é um assun­to novo. Há quase 15 anos tra­bal­hamos com Dire­ito Dig­i­tal e sem­pre tive­mos con­tatos e desafios jurídi­cos envol­ven­do grandes vol­umes de infor­mações e ban­cos de dados de mil­hares de usuários. Mes­mo assim con­fes­so que des­de que começamos a imple­men­tar a #GDPR para clientes brasileiros em 2017 apren­demos e apro­fun­da­men­tos nos­sos con­ceitos sobre Pri­vaci­dade, Final­i­dade e o que é razoáv­el na equação entre Tec­nolo­gia e Segu­rança e Orça­men­to. Eu, pelo mem­os, não me jul­go espe­cial­ista ou capaz de cobrir todas as nuances que a LGPD envolve.

Mas a prin­ci­pal lição foi o con­ta­to com diver­sas empre­sas europeias e o entendi­men­to dos pas­sos que seguiram na Europa para ade­quação à #GDPR.

Como está ocor­ren­do aqui no Brasil, hou­ve a cor­ri­da do ouro por escritórios de advo­ca­cia que ven­di­am pare­ceres sobre o que sig­nifi­ca­va a Lei; depois de vende­dores de fer­ra­men­tas que pode­ri­am resolver questões lig­adas aos pareceres.

Final­mente o mer­ca­do europeu amadure­ceu e encon­trou empre­sas de serviços e con­sul­to­rias especí­fi­cas para servirem como Trust­ed Advisors.

 São estes par­ceiros que enten­dem as neces­si­dades de cada negó­cio e apoiam as empre­sas des­de a con­sci­en­ti­za­ção até o mapea­men­to dos dados e imple­men­tação téc­ni­ca e opera­cional dos novos conceitos.

Ficamos felizes de hoje poder­mos tra­bal­har com difer­entes par­ceiros e con­sul­to­rias de todos os tipos nos novos desafios do Brasil e hoje tam­bém ser­mos recon­heci­dos como Trust­ed Advi­sors quan­do o assun­to é Pro­teção de Dados.

 Inter­es­sante! Mas se o Jurídi­co não é o mais impor­tante para a LGPD e dados pes­soais, para que serve o assess­ment jurídi­co neste contexto?

Você con­trataria um monte de advo­ga­dos para desen­volver um soft­ware ou faz­er o mar­ket­ing da sua empresa?!

Já assu­min­do a pos­tu­ra éti­ca que todos dev­e­ri­am ter, a nos­sa respos­ta é que nen­hum advo­ga­do bom é capaz de super­ar um con­sul­tor ruim de segu­rança da infor­mação em questões que envolvam a tec­nolo­gia, ambi­entes ou con­fig­u­rações lógicas!

Se um advo­ga­do per­gun­tar se a empre­sa tem crip­tografia ou usa algum tipo de fire­wall e a respos­ta for sim; ele ficará muito con­tente e ano­tará isso numa planilha.

Mas temos que lem­brar dos con­ceitos e princí­pios da Pro­teção de Dados, prin­ci­pal­mente de questões que envolvem boas práti­cas, o “Secu­ri­ty and Pri­va­cy by Design; or byDe­fault”.O que os advo­ga­dos não con­seguem saber é se o Fire­wall está de fato lig­a­do e está cobrindo todas as neces­si­dades da empre­sa; bem como se a crip­tografia, por si só, é capaz de resolver as questões téc­ni­cas que envolvem o aces­so e com­par­til­hamen­to de dados.

Aqui no Assis e Mendes, prefe­r­i­mos nos con­cen­trar no que sabe­mos faz­er de mel­hor e cuidar ape­nas dos con­ceitos jurídi­cos da norma.

Pode parece pouco mas nos­sos tra­bal­hos abrangem ape­nas:

• Enten­der o que a empre­sa faz e como cole­ta e tra­ta dados pessoais
• Dar a cor­re­ta car­ac­ter­i­za­ção legal de infor­mações, dados pes­soais e sen­síveis cole­ta­dos para cada atividade
• Ver­i­ficar se todos os req­ui­si­tos da jurídi­cos já estão em uso e são sufi­cientes, ou se há a neces­si­dade de ajustes na oper­ação e doc­u­men­tação antes da vigência
• Ante­ci­par questões envol­ven­do o trata­men­to de dados Inter­na­cionais / Com­par­til­hamen­to de dados com terceiros
• Faz­er com­para­ções e bench­mark das neces­si­dades de nos­sos clientes, com cas­es de empre­sas europeias e suas neces­si­dades de ade­quação per­ante a GDPR;
• Definições téc­ni­cas de, em que momen­tos, o Cliente agirá como CONTROLADORA ou como OPERADORA de dados pes­soais, englobando
• Palestras, treina­men­tos e work­shops de con­sci­en­ti­za­ção e imple­men­tação dos con­ceitos de Pri­vaci­dade e Pro­teção de Dados Pessoais.

 Todo o demais, inclu­sive o mapea­men­to e min­er­ação dos dados devem ser feitos por empre­sas ou soluções espe­cial­izadas nes­ta área.

E, claro, indo além, quan­do já hou­ver uma con­sciên­cia dos dados, numa segun­da fase tam­bém apoiamos nos­sos clientes e par­ceiros na:

• Ade­quação de con­tratos com fornece­dores de TI que recebem dados pes­soais ou sen­síveis das empresas
• Revisão dos ter­mos de uso e con­tratos com as cláusu­las de consentimento
• Par­tic­i­pação e revisão dos Relatórios de Impacto à Pro­teção de Dados Pes­soais, exigi­dos por lei.
• Revisão e opinião nas questões jurídi­cas envol­ven­do Políti­cas de Segu­rança da Infor­mação, Comitê de Crise e mapea­men­to dos riscos jurídi­cos do negócio.
• Apoiar o Cliente em pre­mis­sas, bem como definição das funções / per­fil e for­mação de um DPO – Encar­rega­do de Dados Pessoais.

 Em nos­sas con­ver­sas inter­nas e reuniões, sem­pre frisamos que a Pro­teção de Dados não deve ser vista como um escu­do ou bar­reira entre empre­sas e o mer­ca­do, mas sim como algo rela­ciona­do ao car­in­ho e cuida­do que temos com as coisas que são impor­tantes para nós!

Que ven­ham os novos tem­pos, mais con­scientes e seguros!

Adri­ano Mendes é o sócio e fun­dador da Assis e Mendes Advo­ga­dos e é espe­cial­iza­do em Dire­ito Dig­i­tal e LGPD. Acom­pan­he seus arti­gos no LinkedIn.