Advogada explica os principais desafios para implementação
da nova lei no país e aponta algumas lacunas da legislação; Patricia Peck é uma
das autoridades confirmadas para debater segurança digital no Cyber Security
Summit Brasil 2020
Enquanto a Lei Geral de Proteção de
Dados Pessoais (LGPD) não entra em vigor, muitos são os paralelos traçados com
o Regulamento Europeu (GDPR), o qual está valendo desde maio de 2018. Um dos
principais pontos discutidos é quanto ao processo de adequação das instituições
à nova lei brasileira.
Para a
advogada Patricia Peck - referência em direito digital e uma das autoridades
confirmadas para debater segurança digital no próximo Cyber Security Summit Brasil 2020 -, a primeira diferença, e também o que tem dificultado a
implementação das regras no sistema brasileiro, é a ausência de uma cultura de
cibersegurança. No entanto, é nesse primeiro ponto que a LGPD ganha sua
importância, de acordo com a advogada por contribuir para disseminar mais as
melhores práticas de proteção em todas as esferas sociais e setores produtivos,
da pequena empresa ao setor público.
“Para
o Brasil continuar a manter relações comerciais com outros países – e até mesmo
internamente – deve-se garantir um padrão mínimo de segurança digital. Dessa
forma, a nova lei ajuda a criar e fortalecer uma cultura de cibersegurança no
país, tanto para as empresas quanto para os cidadãos comuns”, assegura.
A nova
lei brasileira exige que medidas de proteção façam parte do processo de
tratamento de dados desde a sua concepção (by design) até/durante a sua a sua
consecução (by default). Por outro lado, uma instituição pode ter seu
tratamento de dados considerado irregular caso “deixar de observar a legislação
ou quando não fornecer a segurança que o titular dele pode esperar”, conforme
pontua o artigo 44 da LGPD, dessa forma, também sendo passível de
punições.
Já o
segundo desafio avaliado pela especialista em direito digital, é justamente a
ausência de uma autoridade estabelecida e atuante, como no exemplo do GDPR.
“Seria essencial poder contar com a Autoridade nesse momento, para orientar as
instituições, respondendo consultas públicas e até realizando campanhas
educativas, tão necessárias para se evitar problemas de desinformação sobre um
tema que é novo e complexo”, alerta Peck.
A
advogada explica que, no caso brasileiro, a ANPD (Autoridade Nacional de
Proteção de Dados) foi estabelecida nesse sentido, no entanto, o órgão foi
criado em caráter provisório e de maneira vinculada ao Poder Executivo, sem
total autonomia, apenas de modo técnico e decisório.
Já a
norma europeia estabeleceu o Comitê Europeu para Proteção de Dados, que é
responsável por assegurar a aplicação coerente da GDPR e que já estava atuando
colaborando com as instituições antes da entrada em vigor do regulamento,
apoiando inclusive na confecção de códigos de conduta, em certificações,
elaboração de cláusulas-padrão, entre outros.
Dados
sensíveis e outras questões
A
respeito da norma brasileira, a advogada defende que algumas regras precisam de
mais esclarecimentos. Há muitos pontos que foram deixados para regulamentação
pela Autoridade ou que se encontram muito genéricos, como situações
relacionadas à padrões de segurança, anonimização, tratamento de dados
sensíveis, exigências sobre relatórios de impacto, transferência internacional,
prazo razoável. “Isso acaba gerando insegurança jurídica, visto que pode haver
receio em se adotar determinada inovação tecnológica por medo de não estar em
conformidade com proteção de dados pessoais”, diz.
Um
exemplo são as aplicações que envolvem biometria e reconhecimento facial e
acabam tratando dados pessoais sensíveis. Por certo, são utilizadas em
tecnologias que permitem facilidades e conveniências nos mais diferentes
serviços, mas precisam seguir uma série de melhores práticas técnicas e
jurídicas para que seu uso seja ético e legal e esteja em conformidade com as
novas regras de proteção de dados pessoais. Ainda mais quando se pode associar
ao uso com inteligência artificial e alcançar um nível de conhecimento muito
maior sobre pessoas e suas experiências nos espaços públicos e privados, na sua
relação com a cidade e até com as marcas.
"Por
isso, que logo de início, é um tipo de avanço que para ser sustentável precisa:
de educação (para que todos saibam como funciona, riscos, direitos e deveres,
limites e responsabilidades), transparência (tanto do algoritmo como das
finalidades de tratamento dos dados pessoais, cibersegurança (para proteção dos
dados pessoais), respeito à privacidade (consentimento ou aplicação das
hipóteses de exceção de consentimento)", explica a advogada.
Além
disso, a lei torna viável a transferência de dados para países ou órgãos
internacionais que proporcionem grau de proteção de dados pessoais adequados ao
previsto no regulamento interno, mas é breve quanto a esse procedimento e aos
critérios utilizados para avaliação, segundo a especialista.
Apesar
dessas e outras imprecisões encontradas na nova Lei, que ainda nem entrou em
vigor e já possui várias propostas de atualização, a LGPD estabelece que
planejamento e ações de segurança são obrigatórios e devem acompanhar todo e
qualquer procedimento envolvendo tratamento de dados.
“A
ANPD ainda trará as medidas mínimas de segurança digital que as instituições
devem oferecer como mínimo necessário. Logo, o detalhamento mais técnico ficou
para um segundo momento, a legislação não desceu nos pormenores para falar de
padrões como criptografia, controle de acesso, cofre de senhas, fator de
autenticação. De um lado, isso permite que cada instituição se adeque conforme
seu perfil, porte, setor de atuação. Mas por outro lado, acaba trazendo um
certo grau de discricionariedade e subjetividade que pode gerar questionamento
sobre o quanto se estava ou não cumprindo com os requisitos mínimos de garantir
medidas de controle e proteção dos dados pessoais. E se isso não ocorrer, o
agente de tratamento está sujeito à multa”, completa.
Patricia Peck Pinheiro - advogada
especialista em Direito Digital, Propriedade Intelectual, Proteção de Dados e
Cibersegurança. Graduada e Doutorada pela Universidade de São Paulo, PhD em
Direito Internacional. Pesquisadora convidada do Instituto Max Planck de
Hamburgo e Munique, e da Universidade de Columbia nos EUA. Professora convidada
da Universidade de Coimbra em Portugal e da Universidade Central do Chile.
Professora convidada de Ciber Segurança da Escola de Inteligência do Exército
Brasileiro. Advogada Mais Admirada em Propriedade Intelectual por 13 anos
consecutivos de 2007 a 2019. Recebeu o prêmio Compliance Digital pelo LEC em
2018, Security Leaders em 2012 e 2015, a Nata dos Profissionais de Segurança da
Informação em 2006 e 2008, o prêmio Excelência Acadêmica – Melhor Docente da
Faculdade FIT Impacta em 2009 e 2010. Condecorada com 5 medalhas militares,
sendo a Medalha da Ordem do Mérito Ministério Público Militar em 2019, Ordem do
Mérito da Justiça Militar em 2017, Medalha Ordem do Mérito Militar pelo
Exército em 2012, a Medalha Tamandaré pela Marinha em 2011, a Medalha do
Pacificador pelo Exército em 2009. Árbitra do Conselho Arbitral do Estado de
São Paulo – CAESP, Vice-Presidente Jurídica da Associação Brasileira dos
Profissionais e Empresas de Segurança da Informação – ASEGI e membro do
Conselho de Ética da ABED. Professora e coordenadora da pós-graduação em Gestão
da Inovação e Direito Digital da FIA. Autora/co-autora de 25 livros de Direito
Digital. Sócia do escritório PG Advogados, da empresa de educação Peck Sleiman
Edu e Presidente do Instituto iStart de Ética Digital. Programadora desde os 13
anos, autodidata em Basic, Cobol, C++, Html. Certificada em Privacy e Data
Protection EXIN Foundation GDPR e LGPD.
Nenhum comentário:
Postar um comentário