A crescente atenção para com a proteção dos dados pessoais está muito além das fronteiras brasileiras, o que pode ser verificado diante do incremento do número de países com legislação sobre a matéria, especialmente a partir do ano 2000¹. O movimento em busca da limitação ao uso dos dados pessoais nasce da constatação de que o avanço da tecnologia e da capacidade de processamento, quando combinado ao fácil acesso às informações pessoais, permite não apenas identificar, mas também, segregar, induzir comportamentos, avaliar capacidade de compra, condições de saúde, hábitos, condutas, orientações políticas, religiosas, enfim interferir na vida tanto de um indivíduo, como de toda uma sociedade.
Por essa perspectiva, a lei brasileira nasce moderna e alinhada com o cenário global, mas o cidadão, não apenas o brasileiro, está longe de se apropriar de seus desígnios. A compreensão dos direitos assegurados aos titulares no trato de seus dados pessoais ou, quiçá, os elementos que serviriam a identificar determinado dado como tal são questões ainda distantes da compreensão geral, de modo que a aceitação até mesmo da necessidade da proteção se depara com barreiras desde ideológicas, geracionais até culturais.
Nesse cenário, muitas empresas partem para uma jornada na busca da conformidade vislumbrando que tal representa a elaboração de um conjunto de documentos. Mas não é. Um processo de adequação à LGPD demanda realinhamentos procedimentais, técnicos e até mercadológicos, razão pela qual é indispensável a compreensão do alcance jurídico da norma e de suas consequências junto a todos os envolvidos.
O artigo 1º da LGPD, de pronto, comunica que o objetivo da lei – a finalidade – é a proteção dos direitos fundamentais e do livre desenvolvimento da personalidade, o que torna as disposições relacionadas com o tratamento de dados pessoais o meio para se atingir o fim. Não se quer afirmar aqui que todo direito fundamental será protegido pela LGPD, mas sim que todo direito nesta reconhecido tem por finalidade proteger os direitos fundamentais de que trata. Analisar a norma por essa lente facilita a compreensão da amplitude de seu escopo, mormente para o segmento empresarial.
Com efeito, as legislações ponderadas para fins de definição de estratégia de negócio costumam tocar determinado ponto da organização, tais como: tributos, relações de trabalho, regulação setorial, concorrência, marcas e patentes, titularidade de obra artística ou intelectual, relações de consumo, modelo societário, para citar apenas alguns. Para cada segmento legal, é possível observar um feixe de bens, direitos ou pessoas tutelado. Mas a LGPD é mais abrangente: transita por todas as áreas da organização, desde que tratem dados pessoais, não se limitando aos dados alocados em recursos digitais, alcançando também arquivos físicos, além de espécies e/ou categorias praticamente infinitas. Basta que o dado tratado identifique ou torne identificável uma pessoa.
Pela perspectiva dos colaboradores, é comum a ausência de compreensão sobre a razão de uma legislação para a proteção de dados pessoais. E se não conhecem, não concebem a necessidade do controle. Para os que guardam algum conhecimento relacionado à matéria, há dúvidas sobre a efetividade das medidas que visam o controle do uso, diante do volume de dados expostos voluntariamente pelos titulares e já tratados indistintamente por segmentos inúmeros. Além das dúvidas quanto a efetividade, também a necessidade de controle passa ao largo da percepção geral, dada a crença de que as facilidades incorporadas no dia-a-dia das pessoas resultam exatamente do processamento desses dados e, portanto, eventual controle representaria retrocesso no uso de serviços tecnológicos, por exemplo.
Do lado das organizações, especialmente de segmentos empresariais mais dependentes da tecnologia da informação, tais como, plataformas digitais, comércio eletrônico, marketing, inteligência artificial, dentre outros, há uma tendência de resistência à ideia de direito à proteção de dados pessoais, ao fundamento de que tal poderia impor barreiras à inovação tecnológica e, por sua vez, ao melhor desenvolvimento de negócios vinculados à tecnologia². Em setores menos dependentes de processamento de dados pessoais ou que não lidam diretamente com consumidores, parcela significante das empresas sequer vislumbra aderência da lei às suas atividades, diante da equivocada percepção de que, na ausência de consumidores, a obrigação só se aplica aos colaboradores atuais ou então a um universo restrito de hipóteses, as quais, no mais das vezes, deixam de ponderar sistemas legados, relações contratuais e trabalhistas extintas, dados físicos, coletas de imagens, sons e dados biométricos, dentre outras fontes de dados pessoais.
Em verdade, contudo, não há uma única empresa que esteja alheia às disposições relacionadas à proteção de dados. A lei foi feita por pessoas, para proteger exclusivamente pessoas físicas e, por sua vez, a materialização de seus desígnios demanda, em todas as suas fases, o envolvimento de pessoas. Desta maneira, em maior ou menor grau, todas as empresas lidam com pessoas, as quais assumem a condição de titular, independentemente da posição em que alocadas no contexto organizacional. Disso decorre que, antes de realinhamentos procedimentais, técnicos e até mercadológicos, é indispensável a compreensão do alcance jurídico da norma e de suas possíveis consequências junto a todos os envolvidos.
Considerando o trabalho humano indissociável da construção de um plano de adequação, o desacerto na percepção do conceito “dados pessoais” e, por seu turno, da própria norma, acaba por acarretar vieses na definição de procedimentos e políticas, interferindo na conformação da organização em todos os aspectos, a exemplo da concepção de novos produtos ou serviços, relação com colaboradores, clientes, fornecedores e consumidores, regras internas e políticas, instrumentos contratuais e, inclusive, no atendimento das demandas jurídicas e regulatórias relacionadas ao assunto.
É dizer, portanto, que a jornada que envolve o atendimento às regras estabelecidas na LGPD, em qualquer espécie de empresa, pressupõe a interferência humana, desde a avaliação inicial do contexto de tratamento de dados pessoais da companhia, passando pela construção do programa de privacidade existente até final implementação e acompanhamento constante da conformidade, não se olvidando da resposta ao incidente de segurança, que também, em alguma fase, ainda que o processo possa ser substancialmente automatizado, certamente demandará ação da pessoa natural.
Será uma pessoa, senão várias, que programará um algoritmo, definirá os dados que serão coletados e como serão tratados, acessará esses dados, autorizará a remessa para terceiros, definirá os meios ou atenderá aos reclamos do titular. Independentemente do momento em que estabeleça as regras, gerencie o quanto definido no plano de adequação ou atue diretamente nos processos de tratamento, essa pessoa natural – sócio, administrador, parceiro comercial, colaborador, contratado -, só o fará em estrito atendimento dos direitos e deveres inerentes à tal ação, se entender, minimamente, o que é, para que serve e como assegurar a proteção de dados pessoais.
Na medida em que as decisões partirão de pessoas, a não compreensão da norma e de seu alcance por estas acabará por lançar à sorte a exata mensuração dos riscos a que exposta à companhia.
Embora sejam vários os mecanismos para alcance da conformidade com a LGPD e mitigação de riscos de incidentes de segurança, a potencial eficácia de cada qual estará em boa medida à mercê, portanto, da devida conscientização e treinamento dos colaboradores, dado que envolvidos em todas os desdobramentos da matéria.
Num cenário de desinformação, é possível que todo o investimento realizado em um plano de adequação, na contratação de consultorias especializadas, aquisição de ferramentas tecnológicas, desenvolvimento de políticas de privacidade e aporte de tempo de vários profissionais qualificados, por mais elevado e bem executado que seja, vergue à rotina daqueles que operacionalizam a companhia, que seguirá à deriva, rumo às perdas que um tratamento inadequado do dado pessoal pode acarretar.
¹ GREENLEAF, Graham. Countries with Data Privacy Laws – By Year 1973-2019 (May 10, 2019). Disponível em SSRN: https://papers.ssrn.com/sol3/papers.cfm?abstract_id=3386510
² BARBOSA, Marina. Lei de Proteção de Dados, um obstáculo para as startups. 14/10/2018. Disponível em: https://www.folhape.com.br/ECONOMIA/2373-LEI-PROTECAO-DADOS-OBSTACULO-PARA-STARTUPS/84339/
