Advogados devem cumprir obrigações de proteger dados, diz especialista

A Lei Geral de Proteção de Dados (Lei 13.709/2018) entrou em vigor em setembro de 2020. Advogados podem exercer duas funções com relação à proteção de dados: a de operador, que recebe as informações de um cliente de deve resguardá-las, e a controlador, que armazenando os dados pessoais, seja dos profissionais do escritório, seja dos representantes legais de que os contrata. Como as sanções para o descumprimento da norma passaram a ser aplicadas em agosto de 2021, a advocacia deve ficar atenta para o cumprimento de suas obrigações. É o que destaca Luiza Leite, advogada especialista em Direito Digital, com foco em proteção de dados e privacidade.

Quando foi promulgada, a LGPD deu quase dois anos para as companhias se adaptarem sem punições. Mesmo assim, muitas empresas deixaram a questão para a última hora e ainda não estão em conformidade com a lei. E o mesmo vale para órgãos públicos, afirma Luiza.

Professora nos cursos de pós-graduação da Fundação Getulio Vargas e pesquisadora de regulação de novas tecnologias na Universidade Federal do Rio de Janeiro, Luiza Leite entende que a Autoridade Nacional de Proteção de Dados irá aperfeiçoas a LGPD com sua regulamentação. A autarquia também poderá suprir a necessidade de criação de uma norma do tipo para a área penal, avalia.

Em entrevista à ConJur, a advogada sugeriu melhorias à LGPD, declarou que a área trabalhista é a que mais tem recebido pedidos de proteção de dados e ressaltou a importância de sistemas de inteligência artificial evitarem discriminações.

Leia a entrevista:

ConJur — Como a senhora avalia a LGPD?
Luiza Leite — É uma lei extremamente principiológica. Ela veio para colocar o Brasil dentro de uma posição comercial internacional. Houve todo o movimento da Europa. A que é a normativa europeia de proteção de dados, o General Data Protection Regulation (GDPR), tem como requisito para comercializar com a Europa e tratar qualquer dado pessoal de consumidor europeu que o país tenha uma normativa de proteção de dados ou a empresa esteja em conformidade com o GDPR. Isso forçou todos os países a se mobilizarem quanto a isso. E o Brasil também se mobilizou, respondendo a esse estímulo da Europa, e pensou na LGPD, que nada mais é do que um control + C e control + V do GDPR.

A LGPD traz todos os conceitos e não fecha várias caixinhas, deixa em aberto justamente para a Autoridade Nacional de Proteção de Dados (ANPD) trazer essa regulamentação. Por um lado, é bom, porque a lei se mantém viva e a regulamentação fica sempre atualizando o que é necessário. Por outro lado, é desafiador porque enquanto não temos esses parâmetros, fica complicado para as empresas atenderem a todos os requisitos.

ConJur — O que não entrou na LGPD, mas que deveria entrar?
Luiza Leite — Não ter distinção entre as instituições. A lei vale para todo mundo igualmente. Quando se analisa a lei, tem vários pontos que acabam sendo muito custosos para pequenas e médias empresas. A falta de uma previsão mais clara sobre esse aspecto acaba tornando o compliance com a lei custoso para esses tipos de instituição. A LGPD também não tem uma diferenciação para autônomos. A lei estabelece igual tratamento para pessoas físicas e para pessoas jurídicas que tratam dados, sem fazer distinção. Mas acredito que, quando a ANPD passar a regulamentar a LGPD, ela vá fixar algum tipo de parâmetro. Porque não faz sentido aplicar as regras da mesma forma, sendo que são modelos diferentes, são negócios diferentes quando se trata de uma pessoa jurídica, de uma pessoa física, de um microempreendedor individual, de uma empresa grande ou uma empresa pequena ou média.

ConJur — As pessoas têm consciência da importância de proteger seus dados?
Luiza Leite — O engajamento dos titulares de dados está crescendo. No Reclame Aqui, há muita gente buscando o exercício dos seus direitos como titular de dados. Muitas dessas pessoas estão querendo a exclusão dos seus dados, questionando o uso dos dados sem o devido consentimento. Isso traz à tona a importância das empresas e do poder público estarem em conformidade com a lei. Cada vez mais as pessoas estão tomando consciência da lei e se engajando nesse assunto.

ConJur — Em que estágio se encontra a ANPD?
Luiza Leite — A ANPD foi instituída no início do ano passado. Ela está num processo agora de regulamentação. Tem uma agenda regulatória que ela está cumprindo e agora está no processo de ouvir entidades. Houve todas as audiências públicas para levantar as questões de parametrização das sanções. Em agosto, as sanções administrativas, que são as multas, a suspensão do direito de tratar dados, as advertências, passam a valer. Só que ainda não existem todos os parâmetros de como as sanções serão aplicadas. A ANPD está no momento de pensar essa regulamentação. Há toda uma agenda até 2022 de pontos que a ANPD vai avaliar e regulamentar.

ConJur — Ótimo. E como que está a implementação da LGPD pelas empresas e instituições?
Luiza Leite — Um estudo feito pela E-commerce Brasil aponta que só 30% das empresas do Brasil estão em um processo de compliance mais avançado. Estamos vendo uma procura muito grande das empresas para começar o processo de conformidade, já que em agosto as sanções passam a valer. Então tem muitas empresas ainda completamente fora dos parâmetros que se esperavam com relação à proteção de dados e privacidade. E isso acaba repercutindo um pouco até na Justiça. Já existem mais de 600 processos judiciais envolvendo LGPD, e muitos deles tendo deferimento.

ConJur — O prazo para aplicar sanções da LGPD não foi curto?
Luiza Leite — A lei deu quase dois anos para as empresas entrarem em conformidade. Teve o projeto de lei, ele foi aprovado e depois teve toda uma discussão de quando a lei realmente iria entrar em vigor. Então foram quase dois anos para as empresas se adequarem. Em setembro do ano passado, quando a lei entrou em vigor, muitas empresas ainda não estavam adequadas. Houve então a postergação das multas para dar mais uma folga. Só que deixaram para a última hora, e muitas empresas ainda não tomaram nenhuma iniciativa em relação à LGPD.

ConJur — Qual é a importância do compliance com relação à proteção de dados?
Luiza Leite — O compliance é importante não só pelas sanções, mas também por uma questão totalmente estratégica e de mercado. Hoje há um efeito cascata muito grande. Muitas empresas e grandes players não contratam empresas menores que não estejam em conformidade. Então cobram esse posicionamento e o mínimo de adequação à LGPD, da mesma forma que processos de licitação já estão trazendo isso como um requisito. Quem estiver fora, quem não tiver se movimentado, não tiver entrado em adequação com a lei, vai começar a ficar à margem do mercado, porque isso está se tornando um requisito.

ConJur — Existe resistência das autoridades, em especial as da segurança pública e as do Judiciário, à ideia de que é preciso criar mecanismos legais para a proteção de dados?
Luiza Leite — Não. Na verdade, as autoridades estão até estimulando esse engajamento. O Tribunal de Justiça de São Paulo já tem a opção, em processos cíveis, de proteção de dados como assunto principal. O Procon já tem as opções de reclamação do consumidor voltadas para a questão dos direitos dos titulares. Há uma movimentação dos órgãos para receber esse tipo de demanda. E há também uma movimentação em questão de fiscalização. Os órgãos correlatos à ANPD, como Procon e Ministério Público, já estão indo para cima das empresas, cobrando posicionamento de privacidade e proteção de dados, de compliance com a LGPD. Da mesma forma, o Judiciário já está recebendo esse tipo de demanda.

Agora, o poder público também precisa estar em conformidade com a LGPD. Da mesma forma que se aplica à iniciativa privada, a lei também se aplica ao setor público. E muitos dos órgãos não têm ainda aplicado um programa de compliance com a lei. Então acaba que, por mais que estejam fiscalizando, os próprios órgãos às vezes têm só um data protection officer (encarregado dos dados) nomeado, não têm um programa estabelecido de proteção de dados.

ConJur — Em que área do Direito haverá mais discussões sobre proteção de dados?
Luiza Leite — De início, nós pensávamos que o contencioso de dados ia surgir muito em cima do Direito do Consumidor, porque há consumidores muito ativos no Brasil, se engajando, buscando seus direitos e tudo mais. E o que vimos foi que muitas dessas ações surgiram no âmbito trabalhista. Muitos dos trabalhadores saem das empresas e buscam depois acesso a informações ou querem a disponibilização de dados e até mesmo a exclusão de certas informações dentro das empresas, pleiteando com base na LGPD.

ConJur — Como o Judiciário pode conciliar o princípio da publicidade com a proteção de dados?
Luiza Leite — Esse é um ponto bem delicado. Quando há um dado que é tornado manifestamente público, as pessoas podem ter acesso àquilo, não precisam ter consentimento para tratar aquele dado. Então qualquer pessoa gerar alguma inteligência, ter acesso para poder tratar, coletar, armazenar, compartilhar. O grande conflito é: até que ponto esses dados que as pessoas têm acesso, que realmente tem que ser públicos por uma questão de cumprimento à lei, não estão sendo usados para fins econômicos? Não se pode gerar atividade econômica em cima dos dados. Não se pode pegar os dados, fazer um tratamento em cima deles e depois vender. Aí se estaria desvirtuando a finalidade deles. Mas o acesso, realmente, é preciso garantir a todo mundo. E tem pontos em que isso não será possível, como, por exemplo, o acesso a informações de crianças e adolescentes. Nesse caso, se mantém o segredo de justiça. Só que essa publicização dos dados realmente deve ser feita. Aí é preciso analisar até que ponto, depois que se tem acesso a esses dados, estão manipulando e utilizando os dados para fins econômicos. A partir daí é possível aplicar os princípios da LGPD e gerar um nível de fiscalização também em cima.

ConJur — A LGPD não trata de matéria penal. Há profissionais defendendo a criação de uma espécie de LGPD penal. Como avalia essa ideia?
Luiza Leite — No GDPR há essa previsão, que aborda toda a parte de penalização e como são as aplicações dessas soluções para quem descumpre os princípios da norma. Queriam que a LGPD também trouxesse esses parâmetros. Eu penso que é possível fazer toda essa parametrização no âmbito administrativo por meio da ANPD. Até faz mais sentido, porque uma vez que se engessa um procedimento dentro da lei, fica muito mais difícil manter a norma viva ao longo do tempo. Todo esse processo de penal, de qual será a parametrização das sanções e tudo mais será feito pela ANPD, e de forma até mais eficiente.

ConJur — Como a advocacia deve lidar com a proteção de dados?
Luiza Leite — Quanto à advocacia, há dois grandes pontos que é preciso destacar e entender. O primeiro é como o escritório de advocacia ou o autônomo tratam os dados. Se realmente tem todos os procedimentos de segurança da informação, se tem visibilidade de quais são os fluxos de dados dentro do escritório, quem tem acesso, quem não tem acesso a esses dados. É preciso tratar como se fosse uma instituição que está fazendo o papel de controlador e, por isso, tem toda uma responsabilidade em cima desses dados, não pode compartilhá-los os dados com terceiros se não tiver consentimento, se não tiver uma base legal que justifique. Em segundo lugar, há o papel do escritório na função de operador, no sentido de que, uma vez que é contratado por uma empresa, por exemplo, vai prestar um serviço e vai ter que ter, às vezes, acesso a dados para poder realmente atingir a finalidade do serviço contratado. Nesse cenário, quais são os mecanismos com os quais os advogados vão se blindar para não incorrer em algum incidente de segurança da informação? Então eles devem coletar o mínimo de informação possível de dado pessoal dentro de um procedimento em que estejam fornecendo alguma prestação de serviço, e não devem compartilhar esses dados com nenhuma pessoa do escritório. Então há esses procedimentos para não se incorrer em algum incidente, até porque a maior parte dos vazamentos de dados é ocasionada por pessoas. Toda essa parte procedimental e de segurança da informação é bem importante, tanto quanto se está na função de operador de dados, que recebe os dados, ou na função de controlador, armazenando os dados pessoais, seja dos advogados do escritório, seja dos representantes legais das empresas que contratam os advogados.

ConJur — Como a senhora avalia o uso da inteligência artificial no Direito?
Luiza Leite — Há várias formas de se utilizar a inteligência artificial. Isso conversa bastante com a parte de dados pessoais, em um ambiente completamente digitalizado é comum ter inteligência artificial nos mais diversos mecanismos, desde um smartphone até sistemas de jurimetria que são utilizados no dia a dia, como o Victor, do Supremo Tribunal Federal. Quando falamos de dados pessoais relacionados à inteligência artificial, o ponto é o quão se dá visibilidade a isso dentro dos sistemas. É recomendável a proteção de dados para a utilização de sistemas em que se gera inteligência artificial, para não se ter uma exposição desnecessária. Também é preciso ter cuidado também com dados pessoais sensíveis que são tratados. Então é necessário ter sempre o consentimento quando se vai utilizar esse tipo de aplicação.

ConJur — Sistemas de inteligência artificial usados pelo Estado podem discriminar pessoas e produzir injustiças. Como reduzir esses riscos? O Compas, dos EUA, já foi acusado de ter um viés racista. Como reduzir esses riscos?
Luiza Leite — O que é a inteligência artificial? Nada mais é do que os dados que se imputa em uma base e que são retroalimentados pelo sistema. A grande discussão, e aí entramos em uma parte ética, é como se constrói o código sem ter desvios que gerem discriminação. É preciso que a aplicação de inputs, de informações seja a mais neutra possível, justamente para evitar esse desvirtuamento. Teve o caso do Tay, ferramenta de inteligência artificial da Microsoft, que entrou no Twitter. As pessoas começaram a fazer vários comentários racistas, e aí o sistema se tornou racista por conta disso [e o projeto acabou suspenso]. Então é preciso ter premissas que não gerem esse tipo de inteligência desvirtuada. E aí entra toda uma discussão ética de como construir esse algoritmo.

ConJur — É possível chegar a um ponto em que alguns tipos de decisões judiciais possam ser proferidas por meio de sistemas de inteligência artificial?
Luiza Leite — Sim. A inteligência artificial veio como uma ferramenta para auxiliar e otimizar o dia a dia, não só do advogado, do pessoal de departamento jurídico, mas também do juiz, do Judiciário como um todo. A inteligência artificial pode trazer parâmetros. Por exemplo, pode, por meio da jurimetria, apontar quais são os percentuais de acerto em cima de certo ponto, quantas decisões foram tomadas de determinada forma. É mais uma ferramenta que vai auxiliar o juiz na tomada de decisão do que uma ferramenta que vai tomar a decisão por si só. Quando o juiz for fazer o seu juízo de valor, ele pode se valer de uma ferramenta de inteligência artificial para tomar uma melhor decisão. Isso torna até mais eficiente o processo de julgamento.