André Zonaro Giacchetta*
Daniela Seadi Kessler**
Com a entrada em vigor da Lei n.º 13.709/2018 (LGPD), tornou-se necessária a adoção imediata, pelos agentes de tratamento de dados, de medidas que visem ao cumprimento das novas normas legais.
O sistema de gestão de compliance de dados ganhou relevância nesse cenário, na medida em que objetiva estabelecer o conjunto de mecanismos – políticas, controles internos e procedimentos – que possibilitam assegurar, de forma eficaz, a conformidade dos agentes de tratamento com a lei, especialmente em situações que envolvam riscos potenciais. Trata-se de fator-chave para a conformação com a lei e para o atendimento ao princípio legal da responsabilização e prestação de contas – accountability -, que estabelece a necessidade de implementação de medidas eficazes que atendam ao cumprimento das normas protetivas de dados pessoais.
Ocorre que, já passado o primeiro ano de vigência da LGPD, e mesmo com o empenho dos melhores esforços para a conformidade com a legislação, os agentes de tratamento de dados têm se deparado com situações práticas desafiadoras e de incerta solução no que diz respeito ao tratamento dos dados pessoais.
Exemplo disso é a ausência de diretrizes sobre as medidas a serem tomadas em relação aos “dados legados”, isto é, os dados que já faziam parte da base de dados de determinado agente antes da entrada em vigor da LGPD. Isso porque, antes da LGPD, não havia previsão legal da necessidade de enquadramento do tratamento de dados pessoais em uma base legal válida. A Lei 12.965/2014 – Marco Civil da Internet –, no entanto, previa a necessidade do consentimento expresso dos usuários sobre coleta, uso, armazenamento e tratamento de seus dados pessoais por provedores de aplicação de internet, destacado das demais cláusulas contratuais, inclusive para o eventual compartilhamento desses dados com terceiros.
Portanto, neste momento, em que ainda não há um posicionamento da Autoridade competente sobre a questão – conforme o artigo 63 da LGPD -, cabe aos agentes de tratamento certificarem-se da qualidade e integridade do ato de autorização (pois não estamos tratando, aqui, do conceito específico de consentimento, como base legal, nos termos do artigo 7º, inciso I, da LGPD), para coleta e tratamento desses dados, e seu enquadramento em uma base legal válida.
Além disso, a observância aos princípios da lei – como, por exemplo, da minimização, mantendo nos bancos de dados apenas aqueles dados estritamente necessários às finalidades do seu tratamento – deve acompanhar todo o percurso do tratamento desses dados, já que sobre eles recai a incidência da lei.
Além das incertezas relativas aos dados legados, situações que envolvem dados compartilhados por outros agentes de tratamento também têm sido motivo de inquietação, já que se torna especialmente desafiador assegurar-se de que o agente originário tem legitimidade para a coleta e o compartilhamento desses dados – o cenário se agrava quando se trata de dados legados. Ainda que existam medidas de mitigação de risco de eventual responsabilização, como pela via contratual, mediante a elaboração de cláusulas que assegurem o cumprimento da lei pelo agente originário, não há plena segurança sobre a futura interpretação no caso de esses dados serem alvo de incidentes de segurança.
Por fim, em se tratando de incidente de segurança, tem chegado a conhecimento público, com certa frequência, a sua ocorrência, especialmente relacionado a ataques cibernéticos do tipo ransomware.
O aumento da ocorrência desses eventos e a forma adequada ao seu enfrentamento têm gerado desafios aos agentes de tratamento. Além de se verificar maior exposição das empresas vítimas desses ataques, necessitando que os agentes tenham de lidar com eventuais prejuízos à sua reputação, questões práticas como o atendimento ao período de dois dias para a sua comunicação, conforme recomendado pela ANPD – já que ainda pendente de regulamentação –, tem se mostrado exíguo, mesmo para uma avaliação preliminar acerca do evento ocorrido.
A avaliação de riscos, existência de plano de resposta, implementação de medidas de segurança, somadas às dificuldades naturais advindas da confrontação com este tipo de situação e o curto espaço de tempo, são fatores de complexa gestão pelos agentes de tratamento, porém, que não podem ser deixados de lado.
É indiscutível o avanço já alcançado em matéria de proteção de dados pessoais no país e os desmedidos esforços das Autoridades para a melhor condução da questão, bem como dos agentes de tratamento para o adequado cumprimento da lei. Todavia, considerando os desafios aqui abordados, aos quais se somam outros mais, certo é que ainda há um longo caminho a ser percorrido, que dependerá da cooperação e do debate de todos os envolvidos. Além disso, é importante que os envolvidos estejam atentos e constantemente atualizados a respeito de cada novo avanço no âmbito do regime da proteção de dados pessoais, especialmente quando respeitantes aos entendimentos e às regulamentações da LGPD.
* André Zonaro Giacchetta é sócio de Pinheiro Neto Advogados. Atua em litígios e consultivo relacionados ao mercado de tecnologia, com reconhecida expertise em temas de privacidade, proteção de dados e responsabilidade civil de plataformas de internet; atuação perante o STF em recursos com repercussão geral e audiências públicas de temas relevantes sobre tecnologia e relacionados; assim como perante órgãos reguladores e Ministério Público. Em mais de 20 anos de atuação, possui experiência acumulada com grandes empresas internacionais e também nacionais de tecnologia, possibilitando uma visão multidisciplinar e ampla do segmento.
** Daniela Seadi Kessler é advogada e mestre em Direito pela UFRGS. Pós-graduada (L.L.M) em Direito dos Negócios pela UNISINOS. Professora convidada para ministrar aulas em cursos livres e cursos de Direito em universidades nacionais. Palestrante em eventos nacionais e internacionais. Coautora do livro Direito à Portabilidade na Lei Geral de Proteção de Dados.
