LGPD/GDPR e o diálogo entre engenheiros e advogados

Artigo

Especialistas analisam as novas leis de proteção de dados e como elas podemos sem utilizadas no Brasil

por Andreia Saad e Renato Terra

O tema da proteção dos dados pessoais nunca esteve tão em voga. De fato, desde a entrada em vigor da General Data Protection Regulation (GDPR) na Europa, em maio de 2018 e, sobretudo, a sanção da Lei Geral de Proteção de Dados (lei 13.709/2018 – LGPD) no Brasil, em agosto do mesmo ano, debates a respeito da necessidade de adoção, pelas empresas, de regras e procedimentos com o objetivo de garantir a privacidade dos dados pessoais a que têm acesso, têm estado na ordem do dia.
Sabemos que a preocupação com o respeito à privacidade de dados pessoais não é nova no Brasil, sendo tratada pela nossa legislação em dispositivos diversos, notadamente o Marco Civil da Internet (lei 12.965/2014), o Código de Defesa do Consumidor (lei 8.078/1990 – CDC) e a própria Constituição Federal. No entanto, apenas agora, com a LGPD, temos um diploma específico tratando o assunto de maneira ordenada e detalhada, com obrigações bem específicas, ao invés de, eminentemente, conceitos genéricos. Além disso, independentemente da obrigação legal, o espírito do tempo (pós-Snowden, Cambridge Analytica, vazamento de dados notórios diversos, eleições americanas, dentre outros), por si só, já tratou de criar nas empresas um senso de urgência e uma demanda natural por mecanismos de proteção dos dados pessoais a que têm acesso ou sobre os quais têm gestão.
Nesse contexto, a vigência da GDPR, a perspectiva de uma LGPD vigente já em agosto de 2020 e a preocupação de evitar ser a bola da vez nas páginas dos jornais tratando de vazamento de dados tem feito empresas agirem em massa, buscando soluções para dar cumprimento integral às novas regras de proteção de dados pessoais. Tais soluções são tão diversas quanto os ajustes em modelos de negócio, elaboração de políticas de segurança mais estritas, revisão de políticas de privacidade e termos de uso e a adoção de cláusulas contratuais para tratar especificamente da proteção de dados pessoais e da forma como estes dados devem ser tratados.
Tais medidas são importantes e necessárias para que as empresas possam garantir regras internas alinhadas com as novas legislações; contudo, para que sejam efetivas, é essencial que sejam viáveis, podendo ser seguidas à risca e incorporadas integralmente ao dia-a-dia prático das empresas. De nada servirá às empresas ou à sociedade cláusulas ou termos de uso formalmente perfeitos, mas que se restrinjam ao papel, sem seu efetivo reflexo no mundo real.


Para garantir a viabilidade prática dos programas de adequação às novas leis de proteção de dados, é fundamental um ajuste fino entre o exigido pela legislação, os procedimentos internos já adotados pelas empresas para desenvolvimento de seus softwares e sistemas, seus modelos de negócio atuais e aqueles que as empresas pretendem perseguir no futuro. Somente com este ajuste é que se pode garantir que o movimento de adequação às novas regras será incorporado à cultura das empresas de modo eficaz, sendo plenamente implementado e devidamente mantido, através do monitoramento contínuo e a reciclagem periódica dos envolvidos.
É certo que este ajuste fino depende do engajamento massivo dos vários setores das empresas. De fato, especialmente no caso das legislações de proteção de dados, não basta que o departamento jurídico faça seu trabalho: porque muitas das regras envolvem aspectos eminentemente técnicos, envolvendo segurança da informação e implementação de sistemas de solicitação e gerenciamento de consentimento dos usuários, por exemplo, mostra-se fundamental a cooperação do corpo jurídico com os departamentos técnicos das empresas. Os advogados precisam do apoio dos engenheiros para redigir cláusulas e termos de uso em sintonia com o que é viável considerando a tecnologia existente; por outro lado, os engenheiros precisam de um apoio jurídico constante e especializado, para que possam entender as novas exigências legais, bem como adequar seus sistemas, procedimentos e modelos de negócio e mantê-los em compliance com o entendimento que os tribunais e órgãos reguladores derem às leis aplicáveis.
Como, por exemplo, poderia um advogado, sem o apoio de engenheiros ou corpo técnico, definir de forma adequada se um determinado dado é anonimizado ou não, considerando que, pelo critério adotado pela LGPD, um dado anonimizado é aquele “dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento”? Por outro lado, como poderia um engenheiro, sem o apoio de advogados, saber se está tratando dados de menores “no seu melhor interesse”, “nos termos do artigo 14” e “da legislação pertinente”, tal como exige a LGPD?
Já há muito que o entendimento quanto ao funcionamento das tecnologias e sua interface com o aparato legal vigente vêm se mostrando importantíssimo a qualquer profissional que queira se tornar apto a lidar com os novos modelos de negócios digitais que surgem a cada dia, independentemente de sua área de expertise, seja jurídica ou técnica. No entanto, com a importância que os dados pessoais assumiram na economia e na vida dos indivíduos, este entendimento deixou de ser importante para se tornar de fato essencial.
O objetivo do presente artigo é assim chamar atenção para essa necessidade, cada vez maior, de cooperação e entendimento entre advogados e técnicos, como engenheiros, programadores e profissionais da segurança da informação, a respeito deste assunto tão relevante, que é a proteção de dados pessoais.

Andreia Saad é gerente Jurídico Regulatório do Grupo Globo; LL.M. em Regulação Comercial e Antitruste pela New York University School of Law; Membro do Instituto Brasileiro de Estudos de Concorrência, Consumo e Comércio Internacional – IBRAC. Contato: [email protected]

 

Renato Terra é gerente Jurídico de Internacional, Infraestrutura e Tecnologia do Grupo Globo. Membro do módulo de propriedade intelectual do Fórum do Sistema Brasileiro de TV Digital Terrestre. Contato: [email protected]