Perguntas de Thiago Mendes Rodrigues e Eduardo Paracêncio contribuíram ao RGB Entrevista, espaço criado pela Rede Governança Brasil para saber um pouco mais sobre a opinião e o conhecimento das carreiras dos colaboradores voluntários da organização não governamental, que nesta semana apresenta a entrevista com o advogado e membro dos comitês de Integridade, Riscos e LGPD da RGB., Bruno Ferola. Confira!
RGB -Na sua visão, quais serão os maiores desafios na implementação da Lei Geral de Proteção de Dados (LGPD) nas empresas e no setor público? Qual o risco de insegurança jurídica e de judicialização sobre a LGPD nos próximos meses?
BF - Acredito que, em ambos os casos, um dos maiores desafios a serem enfrentados diz respeito à dificuldade de conscientizar as pessoas quanto ao nível de cuidado que devem ter ao tratar dados. A definição de tratamento de dados está no artigo 5º, inciso X da LGPD, no qual leciona como tratamento: “toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração”.
Dessa forma, o tratamento de dados envolve todo e qualquer tipo de dado pessoal dentro da rotina de uma pessoa jurídica, seja de direito privado ou de direito público. O empresário ou o servidor, ao realizar qualquer operação que envolva dados pessoais como nome, CPF, telefone, e-mail e entre outros, seja de forma física ou digital, está sujeito à nova Lei Geral de Proteção de Dados. Podemos citar, por exemplo, um simples cadastro na recepção de um prédio ou até mesmo o preenchimento de um formulário de solicitação para emissão de uma certidão. Logo, a conscientização de todos aqueles que de alguma forma tratam dados deve ser realizada mediante ações efetivas, como treinamentos, comunicações e canais de dúvidas.
No que tange aos riscos relativos à insegurança jurídica e à judicialização sobre a LGPD, são riscos reais. Entretanto, tal insegurança tende a ser mitigada, já que cada dia mais a LGPD vem ganhando espaço nas discussões da sociedade civil e das instituições públicas. Algumas ações são elogiáveis, como a do TCU que, em decorrência de terem sido registrados três vazamentos de dados em menos de dois meses, instaurou auditoria em 420 órgãos públicos.
Em relação à judicialização da LGPD, há certo receio, pois com a ANPD, órgão competente para fiscalizar e aplicar sanções, muitas empresas, sobretudo as que lidam diretamente com dados, podem sofrer não só com as duras sanções, mas também com uma quantidade significativa de demandas judiciais. Essa alta demanda afeta também, por outro lado, o Poder Judiciário, que pode ficar sobrecarregado pela recorrência de violações de dados.
Para evitar tais consequências, o primeiro e mais eficiente passo é, portanto, a prévia adequação à lei. Dessa forma, mesmo com a existência dos riscos, a LGPD é uma lei extremamente necessária e importante, ainda mais em um cenário em que fomos obrigados, de repente, a nos adaptarmos a uma rotina remota, inserida em uma sociedade que vive a um processo de digitalização dos seus processos.
RGB - Recentemente, foi publicada a agenda regulatória da Autoridade Nacional de Proteção de Dados (ANPD). Em sua opinião, quais medidas a Autoridade poderia adotar a curto prazo para fomentar a cultura de dados na sociedade mais rapidamente?
BF - A ANPD exerce um papel de suma importância para o cumprimento da Lei Geral de Proteção de Dados e a sua estruturação há de ser celebrada. Como bem pontuado pelo recém nomeado presidente da ANPD durante entrevista ao JOTA, a mera aplicação de sanções, mesmo que de forma bastante rigorosa, não é a melhor ferramenta para difundir rapidamente a cultura de dados na sociedade.
Sendo assim, em expressa concordância com as recentes declarações do Presidente, creio que há de ser implementado um programa que vise, especialmente, à instrução e o aculturamento das pessoas quanto à importância da Lei e à necessidade de sua aplicação, não somente como forma de evitar penalidades, mas também para criar uma cultura de proteção de dados, que prestigie a privacidade de todos, haja vista os perigos embutidos na divulgação e no armazenamento irrestrito de tais informações.
RGB - Quais benefícios práticos a sociedade pode esperar a partir de agora com a LGPD?
BF- A LGPD representou um grande avanço, especialmente, após um ano em que, como consequência da pandemia, os meios tecnológicos se tornaram ainda mais essenciais para a manutenção das nossas relações em sociedade.
Posto isso, em atenção ao princípio constitucional da privacidade, a LGPD, dentre outros benefícios, trouxe uma maior segurança a todos, possibilitando, ao balizar a forma de tratamento de dados pessoais, que as pessoas controlem melhor o uso e o acesso às suas informações.
Além da segurança de cada um dos nossos dados, sob o ponto de vista de quem trata os dados pessoais da nossa sociedade, também há uma segurança e transparência sobre os processos, visto que, em um processo de adequação à LGPD, são revistos todos os procedimentos e controles internos nos quais os dados pessoais são tratados, verificados os seus requisitos legais, de tecnologia da informação e de segurança da informação, trazendo desenvolvimento aos padrões de segurança da instituição e dos seus colaboradores, o que evita possíveis vazamentos de dados e abalo da credibilidade.
Ademais, as mudanças realizadas para a adequação das empresas à LGPD implicam, muitas vezes, investimentos em tecnologia, de modo que isso possa propiciar o avanço, sobretudo em micro e pequenas empresas, da transformação digital, empregando recursos e ferramentas que garantam a segurança da informação, bem como a digitalização da organização.
RGB - Como a LGPD pode contribuir com a elaboração e monitoramento da execução de políticas públicas? Há riscos de excesso de controles?
BF - A Lei Geral de Proteção de Dados versa expressamente sobre o tratamento de dados pessoais em seu artigo 7º, inciso III, que traz a possibilidade de tratamento de uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos. Considerando a amplitude do conceito de políticas públicas, a lei, como consequência, abrange uma larga margem para o tratamento de dados pela Administração, em primazia a um dos princípios basilares do ordenamento jurídico brasileiro, qual seja, a supremacia do interesse público sobre o particular.
Os cuidados a serem tomados recaem, como já explorado, sobre a transparência inerente aos órgãos da administração e a privacidade a ser concedida aos dados pessoais obtidos. A Lei, aliás, sofreu algumas alterações relacionadas à possibilidade de compartilhamento de dados pessoais pela administração pública com empresas privadas – o que anteriormente era muito mais restrito. Entretanto, a LGPD pode contribuir com o monitoramento de políticas públicas, na medida em que a melhoria da segurança pública, muitas vezes, significa a coleta de mais dados da população. Um exemplo elucidativo é a adoção, em algumas cidades, de câmeras de vigilância que transmitem imagens em tempo real ininterruptamente; assim, ocorre a coleta de infinitos dados pessoais por esses dispositivos e, embora já haja previsão legal no Código Civil, a Lei Geral de Proteção de Dados também disciplina o uso de tais informações por parte do setor público.
Assim, embora a Lei imponha certo limite ao exigir uma justificativa legal para a obtenção de dados pessoais, a sua abrangência ainda possibilita uma considerável amplitude na atuação da Administração. Sendo assim, tendo em vista o cenário atual, não acredito que haja um risco de excesso de controles, mas que ocorra a adaptação dos mecanismos já existentes e desenvolvimento de outros para o atendimento ao novo diploma legal.
RGB - LGPD e governança parecem temas restritos a nichos especializados em Brasília. Como engajar e incentivar municípios na causa?
BF - Creio que o engajamento e o incentivo de municípios na causa pressupõem políticas e movimentos positivos visando a esclarecer o quão importante são a governança e a cultura de proteção de dados em todos os âmbitos e quão benéficas para a segurança, transparência e efetividade dos processos elas podem ser.
O engajamento para adoção de ações de governança e de proteção de dados pelos municípios deve ser feito por meio da educação e difusão de conhecimento. Existem ações na sociedade como na Rede Governança Brasil que visam a esse estímulo nas administrações municipais, como a elaboração de cartilhas e treinamentos elaborados pelos seus comitês, formados por voluntários reconhecidos pela sua atuação e conhecimento, em prol de um país com mais transparência e efetividade nas suas ações.
RGB- Para além das competências previstas na LGPD, qual o horizonte inicial de iniciativas do Encarregado na governança de dados, seja em empresas ou no setor público?
BF - Em conformidade com o artigo 5º, inciso VIII, da Lei Geral de Proteção de Dados, o Encarregado é a pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).
Não suficiente, o artigo 41, § 2º, da Lei elenca as suas atividades em: (i) aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências; (ii) receber comunicações da autoridade nacional e adotar providências; (iii) orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais e (iv) executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
O Encarregado, portanto, deve ser uma pessoa que detenha conhecimentos jurídicos sobre a legislação de proteção de dados, bem como a respeito da segurança da informação. No mais, considerando que uma de suas principais funções é justamente orientar os funcionários da entidade, ele deve possuir conhecimentos de governança e ser capaz de integrar pessoas, pois a área de proteção de dados abrange diversos setores da empresa, como Financeiro, Marketing, TI, entre outros.
Assim, o horizonte inicial de medidas do Encarregado na governança de dados deve estar pautado na Lei Geral de Proteção de Dados e na realidade observada em determinada organização e, portanto, as primeiras medidas a serem tomadas por ele consiste justamente no treinamento e conscientização de todos os colaboradores dos mais diversos setores que tratam dados pessoais. O Encarregado deve, por conseguinte, entender como funciona o tratamento de dados e conhecer os pontos de risco, para que possa colaborar com a adequação da empresa à legislação. A função de Encarregado pode ser exercida de forma interna ou externa por meio de prestadores de serviço especializados.
Bruno Ferola é advogado. Formado em Direito pela PUC/SP, pós-graduado em Compliance e mestrando em Direito Público pela Fundação Getúlio Vargas - FGV/SP. É vice-presidente da Associação Nacional de Compliance (ANACO), membro da Rede Governança Brasil (RGB) dos comitês de Integridade, Riscos e LGPD e voluntário do projeto Constituição nas Escolas. Atuou por 13 anos em empresas relevantes como Banco do Brasil, Pinheiro Neto, Ambev, Telefônica e PwC. Possui expertise nas áreas de Compliance anticorrupção e criminal, M&A, Proteção de Dados e em projetos que envolvem investigações de fraudes corporativas, apropriação indébita de ativos, due diligence anticorrupção, implementação de programas de conformidade antifraude e anticorrupção e proteção de dados.