O Risco Como Resposta Para a Governança de Dados [1]

risco protecao de dados

1. Introdução

A Lei Geral de Proteção de Dados (LGPD) [2], Lei n° 13.709, de 14 de agosto de 2018, é um marco na regulação da proteção de dados pessoais, pois centraliza e coordena princípios, direitos e obrigações específicas ao tratamento de dados pessoais.  

A fim de garantir os direitos fundamentais à liberdade, intimidade e privacidade, bem como dar vazão aos preceitos de todo o sistema de proteção de dados, a LGPD valoriza e atribui grau de elevada carga axiológica na proteção de dados das pessoas naturais ao desenvolvimento econômico e tecnológico, notadamente, de pessoas jurídicas.

Neste sentido, um de seus principais fundamentos, dentre outros, é a autodeterminação informativa, que confere ao titular de dados pessoais o controle sobre as informações que lhe digam respeito.

Para cumprir com este fundamento a Lei elenca, no seu Capítulo III (arts 17 a 22) uma série de direitos dos titulares, entendidos como as pessoas naturais identificadas ou identificáveis pelas informações, como a possibilidade de acesso aos dados pessoais mantidos pelas empresas, a portabilidade de seus dados para outra empresa e a exclusão. 

Diante de todo este contexto, resta questionar e pensar em maneiras práticas de revisão e adequação de muitas das rotinas operacionais das empresas para que cumpram os preceitos da LGPD.

2. Exercício dos Direitos Previstos na LGPD e a Dicotomia Titulares x Empresas

Os direitos dos titulares de dados, elencados na LGPD são: confirmação, acesso, correção, revogação do consentimento, anonimização, oposição e eliminação, portabilidade, informação sobre compartilhamento, informação sobre o não consentimento, reclamação, e explicação. O exercício desses direitos é antes de tudo o exercício de um direito do titular e por isso tem de ser satisfeita o mais rápido possível. 

Não obstante, para além de estabelecer direitos aos titulares dos dados pessoais, a Lei também impõe deveres às empresas, que devem criar mecanismos para atender às solicitações realizadas, bem como estabelecer rotinas para a exclusão de dados mediante revogação do consentimento do titular ou de dados que não servem mais à finalidade para a qual foram originalmente coletados (ciclo de vida). 

Justamente por isso, o processo de atendimento se tornou um grande desafio para as empresas. Com o direito à portabilidade, por exemplo, o titular pode transportar os seus dados de uma empresa para outra, mas pouco se sabe sobre qual a melhor forma de proceder com a transferência, quais dados são portáveis ou se a transferência deve ocorrer entre as empresas diretamente. Considerando todas as dificuldades de interoperabilidade, é difícil vislumbrar de pronto como concretizar o referido direito, mas as empresas já estão tendo de achar meios para atendê-lo, dado que, os direitos dos titulares, previstos na LGPD, já estão em vigor. 

Este caso mostra como a Lei deixa inúmeros questionamentos sobre como deve ocorrer o processamento das requisições dos titulares, deixando sob responsabilidade da Autoridade Nacional de Proteção de Dados (ANPD) sua regulamentação. 

Aliás, neste sentido, no dia 28 de janeiro deste ano, Dia Internacional da Proteção de Dados, foi publicada, no Diário Oficial da União, a Portaria n° 11, que trouxe a agenda regulatória da ANPD, para o biênio 2021-2022. Contudo, segundo a ordem de classificação de prioridades estabelecida para os Projetos de Regulamentação, que serão objeto de tratamento ou estudo pela ANPD, a regulamentação dos direitos dos titulares, está prevista apenas na Fase 3, ou seja, no 1° semestre de 2022.

Desta forma, tendo em vista que até o presente momento, não houve a devida regulamentação pela ANPD e dada a sensibilidade da questão, não perdendo de vista que tais direitos já estão vigentes e que podem ser requeridos a qualquer momento, é preciso buscar princípios que possam nortear a resposta às requisições. A regulação do risco associado ao tratamento de dados é uma possível resposta aos entraves de atendimento aos Direitos dos Titulares. 

3. LGPD como regulação do risco

Diante de um mundo cada vez mais informacional e marcado pelas constantes evoluções tecnológicas e pelo tratamento massivo de dados, a regulação da proteção de dados pessoais se torna um desafio. Uma norma que estabeleça preceitos com base nos problemas e nas tecnologias atuais está fadada à obsolescência, assim como uma norma que seja muito ampla, em uma tentativa de abarcar uma realidade futura, também o está.

Assim, a saída encontrada pela legislação europeia – General Data Protection Regulation (GDPR) – e pela brasileira de proteção de dados foi adotar um modelo de regulação baseado na prevenção e mitigação de danos coletivos, ou em outras palavras, uma regulação do risco do tratamento de dados para os titulares. Antes de definir medidas, salvaguardas e mecanismos de mitigação de riscos, contudo, é necessário identificar quais são os riscos que geram impacto potencial sobre o titular dos dados pessoais.

Nesse contexto, no guia “Gerenciamento de Projetos para Profissionais de Desenvolvimento” [3], a organização PM4NGOs conceitua o risco como:

O efeito potencial da incerteza sobre os objetivos do projeto. Ao considerar a definição do risco, existem duas ideias principais que precisam ser mais exploradas: Probabilidade – o risco pode ser visto como relativo à probabilidade de eventos futuros incertos (se comparados com problemas que lidam com os eventos atuais que devem ser tratados imediatamente). Impacto – o risco tem o potencial de afetar o projeto.

CCGD, 2020, p. 107

A partir disso, é possível usar uma matriz de risco como instrumento de apoio para medir os níveis de risco de privacidade, sendo que para cada risco identificado define-se a probabilidade de ocorrência do evento de risco e o possível impacto caso o risco ocorra, possibilitando a avaliação do nível potencial de risco para cada evento, conforme definição do Comitê Central de de Governança de Dados [4]:

Considerando estas definições, a LGPD, por exemplo, traz a necessidade de as empresas elaborarem um Relatório de Impacto de Proteção de Dados (RIPD), definido no artigo 5º, XVII como a “documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco”. Nesse sentido, Zanatta [5] afirma que:

No modelo tipológico da regulação do risco, a proteção de dados pessoais “risquificada” passa a ter os seguintes elementos: (i) instrumentos de tutela coletiva e participação de entidades civis no diálogo preventivo com autoridades independentes de proteção de dados pessoais, (ii) obrigações e instrumentos de regulação ex ante atribuídas aos controladores para identificação de riscos a direitos e liberdades fundamentais, (iii) disseminação de metodologias de “gestão de risco” e calibragem entre riscos gerados pelo tratamento e uso de dados pessoais e imunidades jurídicas construídas pela discussão ética sobre os limites do progresso técnico.

Zanatta, 2017, p. 183

Aliás, os riscos de que trata a lei no âmbito do RIPD fazem referência à norma ISO/IEC 29.134/2017 que define bases para a segurança de dados e avaliação de impacto à privacidade (CCGD, 2020, p. 12). Por sua vez, o CCGD elenca 14 tipos de riscos a serem observados e seus escopos, o que já pavimenta caminhos para a “risquificação” da LGPD. 

Indo um pouco além, a Lei europeia de proteção de dados (GDPR), menciona a palavra “risco” 74 vezes ao longo do texto e fala na “identificação dos riscos relacionados com o tratamento”, na sua “avaliação em termos de origem, natureza, probabilidade e gravidade”, e na “identificação das melhores práticas para atenuação dos riscos” que poderão ser obtidas por (i) códigos de conduta aprovados, (ii) certificações aprovadas, e (iii) orientações fornecidas pelo encarregado pela proteção de dados pessoais [6].

Tal preceito da GDPR evidencia o caráter co-regulatório da legislação de proteção de dados, uma vez que relega também para os entes regulados o papel de criar mecanismos de proteção e boas práticas. Essa ideia leva a constatar que se a Lei prescreve regras de tratamento baseadas na lógica do risco e se esse modelo implica no trabalho conjunto entre agente regulador e regulado, as empresas também poderiam adotar a mentalidade de mitigação de riscos ao tomar medidas de compliance.

4. A “Risquificação” e o Atendimento às Requisições de Exercício dos Direitos dos Titulares

Essa regulação do risco se mostra especialmente útil e relevante para extrair uma lógica de compliance que ajuda a enfrentar os entraves do atendimento aos direitos dos titulares. 

Isso porque, sumarizando as diretrizes trazidas pela CCGD e PMD Pro, é possível depreender que a gestão de riscos se fundamenta nos seguintes pilares:

  1. Prevenção, que no âmbito da governança de dados se apresenta como a minimização dos dados, limitação temporal de uso e atenção à finalidade, respeitando a autonomia informacional dos indivíduos;
  2. Ponderamento e conciliação de diferentes valores, como o risco para o titular versus o funcionamento do modelo de negócio da empresa;
  3. Avaliação, com a mensuração objetiva das possíveis consequências do tratamento de dados, da probabilidade de ocorrência de um incidente e volume e sensibilidade dos dados em questão;
  4. Transparência e accountability, pois não basta zelar pelos dados que são tratados e sopesar os valores envolvidos, é preciso ter condições de provar que os riscos foram avaliados e foram tomadas medidas de segurança que levam em conta os direitos dos titulares face às condições da empresa.

Para ilustrar o ponto acima, é possível pensar no artigo 19, que prevê que o controlador deve responder a uma solicitação de acesso dos dados pessoais de forma simplificada imediatamente e de forma completa em 15 dias. As dificuldades concretas de atendimento deste preceito da Lei ficam evidentes não só porque os conceitos de “forma simplificada/completa” e “imediatamente” ainda são incertos, mas porque as empresas não possuem todos os dados pessoais estruturados de tal forma que possibilite o atendimento das solicitações dentro do prazo previsto em lei. 

Nesse sentido, seria possível analisar de que forma a empresa poderia demonstrar boa-fé ao tentar atender às requisições dos titulares adotando medidas que mitiguem os riscos envolvidos na operação. Mesmo que não seja possível passar por todo o processo em 15 dias, caberia então invocar o artigo 18, parágrafo 4º, inciso II da LGPD, e enviar um aviso para o titular logo depois da requisição informando que a empresa recebeu a solicitação e precisa de tempo hábil para procurar os dados nos seus sistemas e arquivos físicos.

Considerando também que pelo artigo 18, parágrafo 1º o titular pode peticionar contra o controlador em relação aos seus dados perante a Autoridade Nacional, é importante que o controlador documente de uma forma segura todas as solicitações como meio de prova para caso tenha de responder à ANPD. Este seria um exemplo de prática que considera a transparência e accountability do seu processo de atendimento a requisições para mitigar os riscos inerentes a ele.

5. Conclusão

O atendimento aos direitos dos titulares previstos na LGPD, além de uma obrigação legal, diz respeito também à adequação a novos padrões de mercado e a um verdadeiro desafio para as empresas e para todo o sistema de proteção de dados, que se vê em uma dicotomia entre a proteção de direitos fundamentais e entraves de ordem prática. 

Nesse sentido, depara-se com uma Lei que está vigente e impõe regras para o tratamento de dados, mas que por outro lado tem pontos obscuros ainda não endereçados pela própria Autoridade Nacional. Diante da falta de respostas, vendado, o mercado tem tomado medidas na tentativa de estar em compliance com a LGPD, mas que podem muitas vezes agravar o quadro. Tem-se observado, por exemplo, a coleta de biometria como prova do consentimento livre e informado do titular. Ao fazer isso, a empresa busca combater um problema (a prova do consentimento) trazendo outro problema (a coleta de um dado sensível que pode ser considerada até excessiva neste caso), o que  representa um risco muito grande.

Por isso, na busca por nortes interpretativos e de boas práticas, a avaliação de riscos pode auxiliar na formulação de processos de atendimento às requisições de exercício dos direitos dos titulares. Isso porque, apesar de a avaliação não apresentar respostas, ela consegue objetivamente mostrar caminhos que provavelmente trarão menos problemas para a empresa, e consegue ajudar na prevenção, conciliação de valores, mensuração das consequências dos seus atos e accountability.

7. Notas

[1] Autoras: 1) Júlia Leal, graduanda em Direito pela FDRP/USP, apaixonada por proteção de dados e estagiária na área; 2) Marília Ostini, advogada de proteção de dados, LLM em Direito Civil pela FDRP/USP e associada fundadora do Instituto Avançado de Proteção de Dados.

[2] BRASIL. Lei n. 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados (LGPD). Brasília, Diário Oficial da União, 14 de agosto de 2018. Disponível em: <http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm>. Acesso em: 01 de fevereiro de 2021.

[3] PM4NGOs. Um Guia Para o PMD Pro: Gerenciamento de Projetos Para Profissionais de Desenvolvimento. 2012. Disponível em: <https://www.pm4ngos.org/project-dpro/>.

[4] COMITÊ CENTRAL DE GOVERNANÇA DE DADOS – CCGD. Guia de Boas Práticas LGPD.Abril  2020.  Disponível  em:  <https://www.gov.br/governodigital/pt-br/governanca-de-dados/guia-de-boas-praticas-lei-geral-de-protecao-de-dados-lgpd  >.  Acesso  em:  01 de fevereiro de 2020.

[5] ZANATTA, Rafael A. F. Proteção de Dados Pessoais como regulação de risco: uma nova moldura teórica? Anais Rede 2017 I Encontro da Rede de Governança da Internet, nov. 2017 Disponível em: <http://www.redegovernanca.net.br/public/conferences/1/anais/Anais_REDE_2017-1.pdf>. Acesso em: 01 de fevereiro de 2021.

[6] ZANATTA. Op cit.

+ posts

Artigos relacionados

Dever de Notificação dos Incidentes de Segurança com Dados Pessoais – Parte 1

Neste artigo, você compreenderá o que são incidentes de segurança à proteção de dados e como se efetivam as notificações dos incidentes de segurança. Assim, você verá os principais aspectos do dever de notificação dos incidentes de segurança com dados pessoais. Além disso, serão analisados os principais dispositivos do ISO 29.134/2017.

Respostas