O calcanhar de Aquiles da Lei Geral de Proteção de Dados

A Lei Geral de Proteção de Dados (LGPD) — Lei nº 13.709, de 14 de agosto de 2018 — define claramente em seu artigo primeiro o objetivo de "proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural", seguido da definição de conceitos, requisitos e deveres que deveriam tornar simples e inequívoca ações necessárias para tornar realidade essas proteções. No entanto, outro conjunto de interpretações podem levar a práticas contrárias à conformidade (compliance). O objetivo deste artigo é descortinar aspectos deletérios à privacidade, raramente discutidos, causas e remédios para esse problema silencioso.

O pensamento sistêmico abre portas para compreensão dos componentes ou forças que atuam sobre a dinâmica organizacional, revelando como atores atuam em defesa da lei ou dos próprios interesses que podem fragilizar a privacidade dos titulares — pessoas naturais a quem se referem os dados pessoais que são objeto de coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão e extração. Há outros papéis de acordo com o artigo 5º da LGPD: o controlador — a quem competem as decisões referentes ao tratamento de dados pessoais, podendo na prática essas decisões não favorecerem o direito à privacidade; o operador, quem realiza o processamento de dados pessoais em nome do controlador, isto é, obedecendo determinações do controlador quem podem levar a incidentes de privacidade; a Autoridade Nacional de Proteção de Dados (ANPD) — órgão da Administração Pública responsável por zelar, implementar e fiscalizar o cumprimento da LGPD em todo território nacional; e, finalmente, o encarregado — pessoa indicada pelo controlador e operador como canal de comunicação entre o controlador, os titulares dos dados e ANPD (alínea VIII, artigo 5º, da LGPD).

Além dos controles internos, auditorias internas e externas com limitações evidentes para atuação imediata e corretiva sobre implementações equivocadas, como a que normalmente ocorre na leitura da alínea VIII do artigo 5º supracitada, transformando o encarregado em uma espécie de ombudsman perfeitamente enquadrado em atividades de ouvidoria. Essa interpretação, aliada à deficiência de recursos humanos, tem levado gestores a optar por alocar o encarregado em ouvidorias, ignorando completamente o inciso III do §2º, artigo 41, da LGPD, que atribui outra atividade ímpar e de expertise própria ao encarregado: "Orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais". Certamente tais orientações devem ocorrer no sentido do melhor cumprimento da lei e, ao serem externalizadas, formalizadas e documentadas, geram obrigações de adequação.

Nesses primeiros momentos de implementação da LGPD, é natural que a alta administração procure orientação da área de tecnologia por imaginar erroneamente que a privacidade é uma questão exclusiva de Tecnologia da Informação (TI), visto ser impossível existir privacidade sem que haja recursos tecnológicos que garantam a segurança da informação — controles de acesso, criptografia etc. —, porém é plenamente possível a ausência de privacidade em ambientes altamente seguros.  A interpretação de que o encarregado é um mero recebedor de solicitações tenderá a afastá-lo do processo decisório sobre sistemas de informação em manutenção ou desenvolvimento, perdendo-se, consequentemente, ações garantidoras da privacidade dos titulares por razão óbvia: a gestão da privacidade impõe à TI adaptações, custos, alongamento de prazos em projetos, enfim, um novo conjunto de demandas antes inexistentes. Também afasta dos gestores de TI a supremacia que se sempre tiveram na definição de seus sistemas, visto que o novo ator — encarregado — traz um conjunto de demandas às quais a TI deveria se curvar para o verdadeiro cumprimento da LGPD. Esse conflito de interesses é inicialmente resolvido varrendo-se o direito à privacidade para baixo do tapete, afastando-se do palco aquele que traz "problemas" de adequação à lei, enquanto uma pequena parcela de conformidade é apresentada aos stakeholders — sociedade, clientes —, como por exemplo avisos de privacidade nas páginas de internet, publicação de políticas e divulgação dos dados para contato do encarregado, como determina a LGPD.

Há relato de profissional da privacidade demitido após apontamentos exaustivos de reformulações nos sistemas organizacionais para a materialização da privacidade dos dados dos titulares. No setor público, onde há estabilidade de emprego, há caso de profissional altamente qualificado em privacidade afastado do processo de assessoramento em atividades de encarregado: implementação de um framework de privacidade, desenvolvimento de política de privacidade, avaliação de contratos, privacidade em recursos humanos, inventário de dados pessoais, avaliação de riscos à privacidade e consequente plano de mitigação, criação de controles preventivos, detectivos e redutivos etc. Esse conjunto de atividades práticas evidencia o papel bastante operacional e menos gerencial ou glamuroso do encarregado, tornando-o incompatível com a acumulação de atribuições de, por exemplo, "ouvidor-geral", diretor, "encarregado-geral" etc.

A capacidade do encarregado de exercer tão complexo conjunto de atividades vem de longa formação profissional multidisciplinar para atuação eficaz na defesa dos titulares. O enfraquecimento dessa capacidade de atuação constitui o calcanhar de Aquiles da Lei Geral de Proteção de Dados.

Preventivamente, é fundamental avaliar se o posicionamento hierárquico do encarregado efetivamente permite a externalização de orientações isentas. Nesse sentido, a alocação do encarregado em ouvidorias pode estar sendo respaldada por comparações imprecisas, como por exemplo ao citar-se o exemplo do Tribunal de Contas da União (TCU): se o "(TCU) tem seu encarregado na Ouvidoria logo é exemplo para toda administração". A ouvidoria do TCU, de natureza sui generis, é chamada de Secretaria de Ouvidoria e Segurança da Informação (Sesouv), tendo a atribuição de "coordenar a implementação e o funcionamento do Sistema de Gestão de Segurança da Informação (SGSI/TCU) e da Política Corporativa de Segurança da Informação (PCSI/TCU) (…)", além de "propor, implementar e acompanhar políticas e diretrizes relativas ao acesso, à proteção e segurança da informação produzida ou custodiada pelo TCU, bem como as relacionadas à interlocução do Tribunal com o cidadão". conforme descrito nos artigos 24 e 25 do Regimento Interno daquele tribunal. Assim, para verificação do quanto é eficaz o posicionamento do encarregado da LGPD na área de ouvidoria bastaria verificar quantas vezes o encarregado foi convidado a orientar sobre processos de privacidade a serem incorporados pelas áreas de segurança e Tecnologia da Informação.

O remédio para a construção de uma cultura proativa, agindo antes dos vazamentos de dados pessoais, passa pelo fortalecimento das atribuições do encarregado: 1) pelo empoderado do encarregado ao localizá-lo junto à alta administração, onde sua autoridade técnica não seria obliterada por autoridade hierárquica incomodada com o conjunto de adequações sugeridas; 2) pela apoio da ANPN na construção de cultura de privacidade possível somente após a propagação do entendimento do papel de encarregado para muito além de ponte de comunicação; 3) pela atuação rápida de corregedorias contra pressões e assédio moral a que o encarregado possa ser submetido; 4) pelo estímulo ao corpo funcional para utilização dos meios de denúncia; 5) pela atuação célere dos órgãos de controle, estabelecendo um canal de comunicação direto com os encarregados para suporte, acompanhamento e defesa de suas atividades.

Conclui-se que a cultura reativa na qual organizações agem após a materialização dos riscos, onde se vê Procons, Ministério Público e outras entidades atuando e autuando pós incidentes, só poderá ser convertida em cultura proativa e preventiva com fortalecimento do papel do encarregado, único de todos os atores citados com capacidade para se fazer presente no dia a dia e nas entranhas organizacionais para materialização do direito à privacidade dos titulares.