Enquanto a Lei Geral de Proteção de
Dados Pessoais (LGPD) não entra em vigor, muitos são os paralelos traçados com
o Regulamento Europeu (GDPR), o qual está valendo desde maio de 2018. Um dos
principais pontos discutidos é quanto ao processo de adequação das instituições
à nova lei brasileira.
Para a advogada Patricia Peck -
referência em direito digital e uma das autoridades confirmadas para debater
segurança digital no próximo Cyber Security Summit Brasil 2020 -,
a primeira diferença, e também o que tem dificultado a implementação das regras
no sistema brasileiro, é a ausência de uma cultura de cibersegurança. No
entanto, é nesse primeiro ponto que a LGPD ganha sua importância, de acordo com
a advogada por contribuir para disseminar mais as melhores práticas de proteção
em todas as esferas sociais e setores produtivos, da pequena empresa ao setor
público.
“Para o Brasil continuar a manter
relações comerciais com outros países – e até mesmo internamente – deve-se
garantir um padrão mínimo de segurança digital. Dessa forma, a nova lei ajuda a
criar e fortalecer uma cultura de cibersegurança no país, tanto para as
empresas quanto para os cidadãos comuns”, assegura.
A nova lei brasileira exige que medidas
de proteção façam parte do processo de tratamento de dados desde a sua
concepção (by design) até/durante a sua a sua consecução (by default). Por
outro lado, uma instituição pode ter seu tratamento de dados considerado
irregular caso “deixar de observar a legislação ou quando não fornecer a
segurança que o titular dele pode esperar”, conforme pontua o artigo 44 da
LGPD, dessa forma, também sendo passível de punições.
Já o segundo desafio avaliado pela
especialista em direito digital, é justamente a ausência de uma autoridade
estabelecida e atuante, como no exemplo do GDPR. “Seria essencial poder contar
com a Autoridade nesse momento, para orientar as instituições, respondendo
consultas públicas e até realizando campanhas educativas, tão necessárias para
se evitar problemas de desinformação sobre um tema que é novo e complexo”,
alerta Peck.
A advogada explica que, no caso
brasileiro, a ANPD (Autoridade Nacional de Proteção de Dados) foi estabelecida
nesse sentido, no entanto, o órgão foi criado em caráter provisório e de
maneira vinculada ao Poder Executivo, sem total autonomia, apenas de modo
técnico e decisório.
Já a norma europeia estabeleceu o
Comitê Europeu para Proteção de Dados, que é responsável por assegurar a
aplicação coerente da GDPR e que já estava atuando colaborando com as
instituições antes da entrada em vigor do regulamento, apoiando inclusive na
confecção de códigos de conduta, em certificações, elaboração de
cláusulas-padrão, entre outros.
Dados sensíveis e outras questões
A respeito da norma brasileira, a
advogada defende que algumas regras precisam de mais esclarecimentos. Há muitos
pontos que foram deixados para regulamentação pela Autoridade ou que se
encontram muito genéricos, como situações relacionadas à padrões de segurança,
anonimização, tratamento de dados sensíveis, exigências sobre relatórios de
impacto, transferência internacional, prazo razoável. “Isso acaba gerando
insegurança jurídica, visto que pode haver receio em se adotar determinada
inovação tecnológica por medo de não estar em conformidade com proteção de
dados pessoais”, diz.
Um exemplo são as aplicações que
envolvem biometria e reconhecimento facial e acabam tratando dados pessoais
sensíveis. Por certo, são utilizadas em tecnologias que permitem facilidades e
conveniências nos mais diferentes serviços, mas precisam seguir uma série de
melhores práticas técnicas e jurídicas para que seu uso seja ético e legal e
esteja em conformidade com as novas regras de proteção de dados pessoais. Ainda
mais quando se pode associar ao uso com inteligência artificial e alcançar um
nível de conhecimento muito maior sobre pessoas e suas experiências nos espaços
públicos e privados, na sua relação com a cidade e até com as marcas.
"Por isso, que logo de início, é
um tipo de avanço que para ser sustentável precisa: de educação (para que todos
saibam como funciona, riscos, direitos e deveres, limites e responsabilidades),
transparência (tanto do algoritmo como das finalidades de tratamento dos dados
pessoais, cibersegurança (para proteção dos dados pessoais), respeito à
privacidade (consentimento ou aplicação das hipóteses de exceção de
consentimento)", explica a advogada.
Além disso, a lei torna viável a
transferência de dados para países ou órgãos internacionais que proporcionem
grau de proteção de dados pessoais adequados ao previsto no regulamento
interno, mas é breve quanto a esse procedimento e aos critérios utilizados para
avaliação, segundo a especialista.
Apesar dessas e outras imprecisões
encontradas na nova Lei, que ainda nem entrou em vigor e já possui várias
propostas de atualização, a LGPD estabelece que planejamento e ações de
segurança são obrigatórios e devem acompanhar todo e qualquer procedimento
envolvendo tratamento de dados.
“A ANPD ainda trará as medidas mínimas
de segurança digital que as instituições devem oferecer como mínimo necessário.
Logo, o detalhamento mais técnico ficou para um segundo momento, a legislação
não desceu nos pormenores para falar de padrões como criptografia, controle de
acesso, cofre de senhas, fator de autenticação. De um lado, isso permite que
cada instituição se adeque conforme seu perfil, porte, setor de atuação. Mas
por outro lado, acaba trazendo um certo grau de discricionariedade e
subjetividade que pode gerar questionamento sobre o quanto se estava ou não
cumprindo com os requisitos mínimos de garantir medidas de controle e proteção
dos dados pessoais. E se isso não ocorrer, o agente de tratamento está sujeito
à multa”, completa.
Patricia Peck Pinheiro: advogada
especialista em Direito Digital, Propriedade Intelectual, Proteção de Dados e
Cibersegurança. Graduada e Doutorada pela Universidade de São Paulo, PhD em
Direito Internacional. Pesquisadora convidada do Instituto Max Planck de
Hamburgo e Munique, e da Universidade de Columbia nos EUA. Professora convidada
da Universidade de Coimbra em Portugal e da Universidade Central do Chile.
Professora convidada de Ciber Segurança da Escola de Inteligência do Exército
Brasileiro.
Nenhum comentário:
Postar um comentário