Consultor Jurídico

Opinião

Um alerta necessário sobre a Lei Geral de Proteção de Dados

Por 

Passado pouco mais de um ano da efetiva vigência da Lei Geral de Proteção de Dados (LGPD) [1], empresas ainda relutam em se adequar. A estimativa é de que aproximadamente quatro em cada dez empresas estejam totalmente adequadas à lei [2]. O problema começa quando se tem um pouco mais de vivência na área e percebe que, de fato, essas estimativas só são reais entre empresas consolidadas no mercado, enquanto a realidade para a grande maioria é bem mais gravosa do que a apresentada nas pesquisas.

Se uma porcentagem significativa de empresas não adequadas à lei não fosse motivo suficiente para preocupação, ainda precisamos lidar com a má-fé de profissionais que se dizem especialistas na lei, sem, ao menos, terem o mínimo de conhecimento técnico para atuação. E aqui cabe o primeiro alerta.

Não é incomum conduzir uma auditoria ou uma visita técnica a uma empresa que se diz adequada à lei e encontrar lacunas gigantescas na adequação, desde ações simples, como utilização de softwares originais e firewalls, a ações bem mais gravosas e com potencial de incidentes da informação, como livre acesso aos servidores e ausência de controles mínimos de acesso físico.

A falta de informação ou mesmo a negligência das empresas em relação à lei e de como ela deve ser implementada, dá margem para atuação de "especialistas em checklist" ou "implementadores express", com promessas absurdas de adequação à lei com apenas alguns documentos prontos e editáveis ou adequações em 24 horas, nada mais próximo do absurdo. Não há nada de errado em se utilizar planilhas prontas e checklists específicos para facilitar o trabalho, eu mesmo faço uso de algumas, mas são ferramentas que devem apenas auxiliar os profissionais e não serem responsáveis pela totalidade da adequação.

É necessário dizer o óbvio muitas vezes e fazer uso de clichês, mas o barato costuma sair caro, especialmente quando estamos lidando com o direito de terceiros. Aceitar, com o perdão da palavra, uma adequação medíocre, fazendo uso de meia dúzia de documentos prontos ou acreditando que em 24 horas, ou qualquer outro prazo irreal, a empresa estará plenamente adequada, é quase um atestado de conivência no caso de um vazamento ou incidente da informação.

Ter uma política de privacidade, uma política de cookies e criar um relatório de impacto à proteção dedados (RIPD) ou outros documentos que possuem modelos prontos na internet, representa apenas uma parcela da adequação, apenas a parcela visível do projeto.

Ressalvadas as diferenças práticas de implementação dos requisitos legais, a adequação não se limita ao campo legal ou, por outro lado, ao campo puramente tecnológico, é um conjunto de atuações e esforços na tecnologia/segurança da informação, jurídico, compliance, projetos e outras áreas que podem ser necessárias, conforme complexidade da empresa e sua relação com os dados pessoais.

O alerta não se limita às empresas que buscam os serviços de profissionais e especialistas para adequação à lei, mas também aos próprios profissionais da LGPD. Conhecer o texto da lei nos seus mínimos detalhes e desconhecer o básico ou o essencial da parte técnica é uma negligência profissional. Não se espera que um profissional de TI tenha conhecimentos avançados na legislação, do mesmo modo que não se espera que um advogado saiba gerenciar servidores ou realizar pentests, mas se espera, sim, que ambos saibam o mínimo sobre as áreas correlatas à adequação, espera-se que o profissional de TI/SI tenha estudado a lei e que o advogado conheça minimamente sobre segurança da informação.

Quando lidamos com a privacidade de terceiros, fazer um trabalho apenas para se mostrar adequado, sem de fato estar, é irresponsável e traz ainda mais riscos, tanto para a empresa quanto para o titular dos dados pessoais.

É necessário, especialmente com a iminência de fiscalização da ANPD em janeiro de 2022 [3], que exista uma preocupação legítima das empresas em realizar um trabalho sério e de selecionar profissionais efetivamente capacitados para adequação à lei, garantindo não apenas que não receberão multas, mas também que mantenham e cultivem a confiança dos clientes e consumidores, mostrando controle de seu negócio e diligência com os dados sob sua guarda.


[1] Planalto. Lei nº 13.709/2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Acessado em 04 de novembro de 2021.

[2] Exame. Dias, Maria Clara. "Após quase um ano, somente 3 em cada 10 PMEs estão adequadas à LGPD". Publicado em: 05/08/2021 às 12h24. Acessado em 04 de novembro de 2021.




Topo da página

 é juiz arbitral, vice-presidente do Instituto Constantinus de Mediação e Arbitragem, diretor de Compliance Digital da VMA Advocacia, membro dos comitês de cyber security e de privacidade, proteção de dados e compliance da Associação Nacional dos Advogados do Direito Digital (Anadd), membro da Associação Nacional dos Profissionais de Proteção de Dados (ANPPD) e da Internet Society (Isoc) e especialista em Direito Digital e Compliance.

Revista Consultor Jurídico, 6 de novembro de 2021, 13h12

Comentários de leitores

1 comentário

Reflexão sobre as técnicas de anonimização e pseudonomização

Daniel Versoza Alves (Advogado Associado a Escritório - Internet e Tecnologia)

Inicialmente, parabenizo o autor pela importante opinião circulada a respeito das falhas recorrentes em planos de adequação à LGPD. É importante que não apenas os agentes econômicos, como também os advogados estejam cientes da necessária interface e entre a gestão de TI e o Direito. Sem isso, os esforços e recursos de tempo e dinheiro dispendidos poderão se limitar a uma adequação meramente formal à Lei.
No entanto, senti falta em seu texto de uma menção às indispensáveis técnicas de anonimização e pseudonomização de dados. Ainda que as medidas de segurança de TI mencionadas sejam fundamentais, vejo que a efetiva proteção de dados não ocorre senão com as técnicas de desidentificação de dados pessoais.
Assim, estendo ao autor a seguinte questão: não são as técnicas de desidentificação tão ou mais importantes que as medidas de segurança de TI quando falamos em adequação à LGPD e efetiva proteção de dados?

Comentários encerrados em 14/11/2021.
A seção de comentários de cada texto é encerrada 7 dias após a data da sua publicação.