+55 21 3550-4400 contato@mottaefaria.com.br

Boas Práticas a e proteção de dados

Resumo – O presente texto pretende fazer uma breve análise das relações entre as boas práticas e a proteção de dados. O ponto central está em demonstrar que a Lei Nº 13.709/18 – Lei Geral de Proteção de Dados, LGPD funciona como indutor da efetiva aplicação das boas práticas pelos entes públicos e privados, pessoas naturais e jurídicas que se encontram sob seu alcance.
Palavras-chave – Boas práticas, proteção de dados, LGPD, ANPD, segurança da informação, compliance.

  1. INTRODUÇÃO

Proteção de dados e boas práticas são, na verdade, conceitos que se complementam. As boas práticas têm sua origem na expressão inglesa best practice – em tradução literal – a melhor prática. Resumidamente, pode-se dizer que tratam da forma mais correta de atuar dentro das melhores técnicas para a realização de uma tarefa ou de um conjunto de tarefas, na atividade fim de uma empresa e demais atividades correlatas ou acessórias. Vale ressaltar que, por sua vez, a expressão dentro das melhores técnicas e procedimentos é hoje tão abrangente que pressupõe, inclusive, a observação dos princípios éticos, sociais, ecológicos e de sustentabilidade.

O que começou com orientações pontuais ao corpo de funcionários e posteriormente aos fornecedores e outros players da cadeia de atividade em uma empresa ou uma indústria tem, hoje, um conjunto de ações que expandem, se complementam e se completam.

  1. INDUTORES DAS BOAS PRÁTICAS

É praticamente consenso que, entre nós, um dos mais fortes indutores de boas práticas é o marco legal da defesa dos consumidores, o Código de Defesa do Consumidor instituído pela Lei 8.078 de 11 de setembro de 1990.
Entretanto, outras iniciativas e leis também tiveram o condão de trazer orientação e impor condutas que resultaram diretamente na adoção das boas práticas por entes públicos e privados como é o caso da Lei nº 9.613/1998 da Prevenção à Lavagem de Dinheiro, do Portal da Transparência/2004 – Criado pela CGU, da Lei Complementar nº 131/2009 ou Lei da Transparência, da Lei nº12.527/2011 de Acesso a Informação Pública, regulamentada pelo Dec. nº 7.724/2012
Mais recentemente, o Marco Civil da Internet, a Lei nº 12.965/2014 que instituiu princípios, garantias, direitos e deveres para o uso da Internet no Brasil e veio ordenar, inclusive quanto à atuação do Estado, questões como o direito de acesso à rede, o seu uso adequado, a proteção da privacidade e do sigilo, a proteção aos registros, aos dados pessoais e a comunicação privada.

Porém, é só a partir da Lei nº 13.709/2018 – Lei Geral de Proteção de Dados pessoais – LGPD, parcialmente regulamentada pela Lei nº 13.853/2019, que cria a Autoridade Nacional de Proteção de Dados – ANPD, que se completa o ciclo legal que veio garantir a (possível) privacidade e sigilo sobre dados pessoais sensíveis ou não, com a imposição da coleta limitada ao interesse e fins a que se propõem, armazenamento e tratamento adequados e seguros, bem como a preservação do domínio dos titulares sobre os referidos dados, coletados, armazenados e tratados.
Se por um lado, o CDC impôs uma mudança radical nas relações entre os fornecedores de bens e serviços e os consumidores, muitas das novas práticas resultaram em uma maior e mais detalhada coleta e armazenamento de dados. Para o bem e para o mal, o consumidor passou a ser melhor e mais informado, porém, também, mais vulnerável ao assédio publicitário, de enquetes e ofertas (indesejadas) de produtos e serviços via telemarketing, mails e mensagens nas mídias sociais

Não demorou nada para que ficasse clara a escalada de valor que os dos dados pessoais sofreram, hoje legal ou ilegalmente, acirradamente disputados.

  1. BOAS (E NEM TÃO BOAS) PRÁTICAS

Coletados com um primeiro fim de informação única para lojas, empresas de serviços, bancos, etc., que buscavam melhor conhecer seus clientes para, assim, desenvolver novos produtos mais atraentes. Em pouco tempo os dados pessoais passaram a ter valor monetário e a serem, indevidamente, transacionados sem o conhecimento de seus titulares. Os exemplos de mailings vendidos foram inúmeros e as ações de repressão fizeram parte das notícias da mídia por longo tempo.
Novas leis surgiram tentando deter essa prática, culminando na promulgação do Marco Civil da Internet, que veio regular a utilização da internet e outras formas de comunicação eletrônica, e agora convive com a Lei de nº 13.709/18, conhecida pela sigla LGPD, inspirada na GDPR – General Data Protection Regulation da União Europeia, em vigor desde 28 de maio de 2018.

A LGPD pode ser considerada a mais recente e veemente indutora de boas práticas para as áreas pública e privada.

  1. LGPD, HOJE, AMANHÃ OU DEPOIS?

Primeiramente, o art. 65 do PL-4.060/2012 da Câmara dos Deputados que, aprovado gerou a Lei nº 13.709 de 14 de agosto de 2018, LGPD -fixava sua entrada em vigor, após decorridos 18 (dezoito) meses de sua publicação oficial, o que correspondia ao mês de fevereiro de 2020. Sancionada com veto à criação da Autoridade Nacional de Proteção de Dados – ANPD, a referida lei teve, entretanto, sua entrada em vigor prorrogada para agosto de 2020, com a nova redação de seu art.65 dada pela Lei nº 13.853/2019 que também recriou a ANPD.

A LGPD enfrenta, agora, a ameaça de ter o prazo do início de vigência postergado. Isto porque, no último dia 30 de outubro, foi apresentado pelo Deputado Carlos Bezerra (MDB/MT) o projeto de lei nº 5.762/2019 que propõe alteração do inciso II do art. 65 da Lei 13.709/2018 para prorrogar o prazo de entrada em vigor para 15 de agosto de 2022.

A justificação do projeto de lei toma por base as informações de estudo da Brasil IT Snapshot/Logicalis, que pesquisou junto a 143 empresas nacionais, dentre elas 71% de grande porte, qual o percentual das que estariam aptas a cumprir a lei em agosto de 2020. O resultado divulgado no Jornal Valor de 28/09/19 aponta que apenas 17% das empresas consultadas já teriam “iniciativas concretas ou já implementadas em relação à matéria” e ainda, que 24% do total só conheciam o tema por apresentações.

Consta também da justificação que a morosidade do Poder Público na instalação da ANPD também aponta na direção de que não haverá até agosto de 2020 tempo hábil para a regulamentação da matéria, ou para que as empresas possam se ajustar adequadamente aos princípios e diretrizes estabelecidos pela nova legislação.

Quanto aos argumentos utilizados para justificar a proposta do PL-5.762/2019 há que se considerar que a criação da ANPD ocorreu em maio de 2019 e se encontra em formação. Sua instalação depende em grande parte de vontade política do Governo Central, o que independe da prorrogação do prazo de entrada em vigor da LGPD.

A postergação por mais 24 meses além dos já previstos mais 10 (meses) para a entrada em vigor da LGPD soa como um voto de desconfiança da capacidade das empresas, empresários e sociedade brasileira como um todo, para se alinhar aos mecanismos de proteção de dados como ocorre em todo o mundo, em todas as nações que possuem uma sociedade que transita no mundo digital, utiliza a internet no seu dia a dia e frequenta as redes sociais. Pior, avalia que grandes empresas sairão do zero, em suas ações para a proteção de dados de seus clientes, fornecedores e colaboradores. Ignoram, ou fingem ignorar o desenvolvimento, entre nós, do compliance, segurança da informação e outras ferramentas utilizadas pelas empresas e sociedade.

Impor mais dois anos de vacatio, é manter empresas e cidadãos vulneráveis aos enormes riscos que assombram o mundo digital e da tecnologia, de que se tem notícia diariamente. As ameaças cibernéticas crescem a cada dia em um ritmo alarmante em que o malware, as ações de hackers com sequestro e roubo de dados se multiplicam e expõem a privacidade e a segurança de milhões de pessoas.

O Brasil tem hoje dois dispositivos digitais por habitante e é o 5º país no ranking de uso diário no mundo. Paralelamente, é um dos principais alvos de ataques cibernéticos. Segundo levantamento de empresa de segurança cibernética, sofreu 15 bilhões de tentativas de ataques de agosto a setembro de 2019 .

Continuando com os números, pesquisa da FGV apurou, ainda em 2018, um número maior de smartphones ativos entre nós, que de pessoas e a previsão era então, de que até o início de 2019 o Brasil já teria alcançado a marca de dois dispositivos portáteis por cidadão, considerados smartphones, computadores e tablets.

5.CONCLUSÃO

As discussões sobre um Lei de Proteção de Dados Pessoais entre nós são anteriores remontam ao final da década de 2000. Não é nova a necessidade desta proteção e existe capacidade tecnológica para atende-la, basicamente, também desde então.

Muito já foi discutido e questionado sobre as necessidades de adaptação e alterações, desde as mais básicas até as mais elaboradas, que uma empresa terá que enfrentar para alcançar conformidade com a LGPD. Políticas e regras de boas práticas e de governança que estabeleçam condições de organização, com normas de segurança, padrões técnicos, ações educativas e de treinamento, que além de estabelecer medidas preventivas também adotem outras para mitigação de riscos, serão essenciais.

Regras de boas práticas e de governança, que inclusive terão publicação obrigatória e deverão ser periodicamente atualizadas, aperfeiçoamento ou elaboração de Compliance, implementação de política e atualização ou criação de regulamentos de segurança da informação também são recomendados.

Do treinamento para a adoção e implementação de novas rotinas e processos, passando pelas atualizações de sistemas e de tecnologia até a mudança cultural a ser promovida de cima para baixo, é primordial que o movimento se inicie com convicção, presença e total participação do núcleo de comando da empresa.

Triste e infelizmente, a proposta do Legislativo de prorrogação de prazo para a entrada em vigor da LGPD parece querer confirmar a distorção de conhecido provérbio, dando-lhe nova redação: deixemos para amanhã o que devemos fazer hoje!

Dezembro de 2019
Gloria Faria e Henrique Motta