LGPD sem rodeios

diego-blog-dez
Blog Aliado / Blog Aliado / Blog do Diego

LGPD sem rodeios

LGPD sem rodeios

Olá pessoal! Hoje vamos falar de LGPD (Lei Geral de Proteção de Dados), e eu quero ir para uma abordagem mais pragmática. Na maioria das vezes em que o mundo do Direito tenta intervir no mundo da Tecnologia, o que ocorre é uma colisão, muitas vezes com vítimas.

O Direito é uma ciência antiga, que muda de forma lenta (principalmente quando comparamos com a velocidade com que as coisas acontecem na área de tecnologia) e que, por definição, é atrasada. Digo que é atrasada porque o Direito se preocupa em regular as relações que já existem no mundo real. Já a tecnologia tem como principal objetivo criar novas relações, que, por serem novas, não têm regulação.

E aí que reside o problema de muitas fontes que falam de LGPD por aí. Elas são visões técnicas do mundo do Direito sobre a nova lei, mas as pessoas que criam tais conteúdos, muitas vezes, são especialistas em Direito, mas não em tecnologia. Os textos então falam de situações irreais (aliás, a Lei também o faz), e isso é esperado porque tantos os redatores da lei quanto os estudiosos do direito não têm domínio sob os aspectos técnicos que a Lei tenta regular.

Vou então aqui ir por uma outra abordagem. Vamos avaliar os mais centrais princípios da lei, extrair dali a vontade do legislador e, por fim, discutir sobre como seria possível tornar este desejo uma realidade. Vamos também falar aqui daqueles desejos que são inalcançáveis, mas que mesmo assim, o legislador fixou na lei, simplesmente porque ele não entende a impossibilidade técnica que impede tal desejo de virar realidade.

O princípio

A Lei 13.709/2018 é a solução brasileira para um problema que assombra legisladores por todo o globo. Basicamente temos aqui uma lei que pretende proteger os dados pessoais dos cidadãos. Entende-se com isto que esta proteção é devida pois o abuso no uso de tais dados fere direitos fundamentais de liberdade e privacidade que todos nós temos.
Eu poderia falar do RGPD (Regulamento Geral de Proteção de Dados) europeu como sendo, e realmente o é, a grande inspiração para a nossa LGPD, mas isto fugiria da estratégia pragmática que eu propus para este artigo, então vamos apenas dizer que a legislação europeia acaba por ser muito semelhante a nossa, porque usamos ela por base, e, portanto, podemos também utilizar os princípios que foram considerados na criação do RGPD para nos guiar na compreensão da LGPD.

Basicamente, a necessidade que impulsionou a criação da Lei foi: companhias detém dados de cidadãos, cada dia mais dados de mais pessoas, sem nenhum controle. Fazem o que bem entendem com eles e nós precisamos retornar o controle destas informações a quem realmente elas pertencem, ou seja, os cidadãos.
Parece razoável, mas, a verdade é que as empresas não esperavam por isso. Pelo menos seus sistemas não esperavam.

Grande impacto

Engenheiros constroem edifícios sabendo quantos andares eles vão ter, já falei disto em outros artigos, mas TI não funciona assim. Como tecnologias novas surgem todos os dias, parece que adicionamos um novo andar a cada semana, independente do plano inicial. Muitas vezes uma nova tecnologia surge e não sabemos nem como aplicá-la da melhor forma ainda, mas adicionamos a mesma ao nosso já vasto portfólio.

Isto ocorreu com a coleta de dados. Hoje os softwares coletam penta bytes de dados todos os dias, mesmo que ainda não se saiba o que será feito com eles. Seu smartphone é capaz de gerar um fluxo contínuo de informações sobre onde você está, que aplicativos você está usando, que páginas está acessando e, até mesmo, dados sobre sua saúde com frequência cardíaca, pressão arterial, atividade física, etc.

No mundo de hoje é perfeitamente possível que o seu celular saiba que você corre, por exemplo. Com posse desta informação, você pode ser categorizado em um segmento específico de corredores, que por sua vez, pode ser vendido para quem quer fazer marketing direcionado para este nicho, como uma fabricante de tênis de corrida por exemplo, mesmo que você nunca tenha dito que gostava de correr de forma explícita em nenhum lugar.

Obviamente, quando a tecnologia do GPS foi integrada ao celular, esta possibilidade não foi sequer cogitada, mas o mundo de hoje é assim: as tecnologias surgem e vamos encontrando finalidades nunca antes pensadas.

E é aí que vem com o grande impacto. São coisas não previstas, e no mundo da tecnologia, quando uma possibilidade não é prevista no desenho, há uma grande chance de que muito trabalho seja necessário para possibilitar aquele uso no futuro. Não é o caso do GPS para descobrir quem gosta de correr, mas é o caso de eliminar dados pessoais se for pedido pelo usuário, ou anonimizar grandes volumes de informações.

O problema maior

A LGPD é extensa e tem muitos aspectos, mas como disse no começo quero ser pragmático. Parte desta estratégia consiste em abordar o pior problema (o que mais consumirá recursos para ser sanado).
Este problema, sem dúvida, é a exclusão permanente de dados pessoais (o que implica na localização de todos os dados pessoais de alguém, que também é uma exigência da lei). Junto com ele, dividindo a liderança, temos o problema da anonimização dos dados para que estes possam ser utilizadas como base estatística.
Devolva os meus dados…
O que as pessoas sabem sobre você? O que elas pensam sobre você? Como elas lhe veem?

Estas perguntas sempre rondam nossas cabeças. Toda a nossa sociedade é baseada no conceito imagem da pessoa. Escolhemos nossas roupas, carros, joias, tatuagens, etc., como uma forma de exteriorizar algum traço do nosso ser do qual gostamos ou temos orgulho. Às vezes, também podemos apenas querer que os outros pensem que somos algo que não somos. Temos, controle sobre isto, não vamos entrar em questionamentos filosóficos de quanto realmente a roupa que você usa é escolha sua ou é imposta tanto pela sociedade quanto pelo mercado.
Mas, há coisas que você não põe no mundo exterior para todos verem. Há informações íntimas, que só dizem respeito a você. Como, por exemplo, não ter o nome do pai na certidão de nascimento, ou ser portador de alguma doença. Não precisa ser algo constrangedor, você deveria ter o direito de controlar quem sabe seu endereço ou seu número de telefone.

Pois bem, no nosso mundo de hoje, se você quiser comprar alguma coisa on-line você vai ter que informar algumas dezenas de dados. Nome, sexo, endereço, telefone, e-mail e CPF são o mínimo. Dependendo do que você for comprar muitos outros dados serão fornecidos, alguns de forma direta e outros de forma indireta. Sem contar que os próprios hábitos de consumo serão rastreáveis.

Estes dados estão em poder de um terceiro. Você pode ter fornecido os dados a eles de forma voluntária (como no exemplo da compra via internet) ou, pior ainda, estes dados podem ter sido “comprados” de uma outra empresa (esta sim com quem você se relacionou no passado). Isto não era proibido no princípio.

A premissa básica é simples. Se você forneceu seus dados, você tem o direito de recuperá-los e de exigir que aquele para quem você os forneceu os destrua. Isso é um pesadelo tecnológico. Toda a filosofia de coleta de dados das últimas décadas se resume simplesmente a isso: coleta. Não havia por que se preocupar em eliminar dados. Se houvesse alguma funcionalidade para isto ela seria muito mais ligada a um problema de gestão (como diminuir o consumo de dados) do que por uma exigência legal. E mais, provavelmente não existe forma simples de limpar os dados de apenas um indivíduo nos sistemas.

A Lei até faz ressalvas e impõem limites a este direito. Se há ainda exigências regulatórias ou fiscais que podem precisar destes dados, por exemplo, mesmo que o indivíduo solicite a exclusão ela não poderá ser feita. Mas, o escopo de uso dos dados reduzirá drasticamente. Novamente um pesadelo tecnológico. Pode ser que o banco de dados que guarda os dados do cliente pode ser o mesmo para CRM e para o software Fiscal, não há previsão para que o dado seja eliminado em apenas uma das perspectivas.

De outro lado, eu não quero perder meu histórico de vendas. Eu uso estas informações para criar campanhas de marketing mais assertivas, ou para direcionar a criação de novos produtos, etc. Ou seja, eu quero saber que vendi um tênis de corrida tamanho 42, branco, para um homem, de 43 anos, que mora em Indaiatuba, no começo de dezembro de 2019. Veja quantas informações importantes e valiosas. Eu posso esquecer que foi o João Alberto Silva que fez esta compra, seu CPF e seu e-mail, mas o resto ainda me é útil. Aqui entra o segundo problema que mencionamos, a tal da anonimização.

Os sistemas atuais simplesmente não foram desenhados para isto. Às vezes não dá para apagar o nome do cliente do banco de dados porque é a mesma fonte onde os dados fiscais estão e que eu tenho que continuar armazenando integralmente. Um pesadelo!

Como sair do buraco

As empresas estão extremamente preocupadas em como lidar com esta nova realidade. Algumas estão se adiantando, solicitando permissões abrangentes para toda a sua base de clientes, o que as permitirá atender a nova lei. Isto em geral, é um pedido do departamento jurídico e não da TI. Os advogados estão preocupadíssimos com a nova Lei e buscam uma forma de proteger a companhia.

Em um primeiro momento isto resolve, mas o que fazer com os usuários dormentes (aqueles que não entram no sistema há muito tempo, e que, portanto, não vão aceitar os novos termos de uso)? E aqueles que não responderam ao e-mail com o mesmo pedido? E quando algum usuário pedir a exclusão dos seus dados? Que botão mágico clicamos?

Pois é, tal botão não existe. E não vai existir por um tempo. A lei não é nova, não entrou em vigência do dia para noite. A verdade dolorida é que muitos simplesmente à ignoraram. Alguns talvez até apostem que pela dificuldade técnica na fiscalização, vale a pena o risco de não mudar nada. Mas, na minha visão, este é um jogo muito perigoso.
Empresas de segmentos regulados, como serviços públicos de telefonia, energia, etc., não podem correr nenhum risco. A lupa sobre elas é ainda mais forte. Mas, todas as empresas serão acompanhadas por pessoas com bem mais poder que o governo. Vazamentos de dados em grandes empresas estão se tornando cada vez mais comuns. Imagina ser alvo de um ataque e ter os dados dos seus clientes vazados? Imagine o dano para a imagem da companhia? Por fim, imagine agora que o governo ainda lhe imponha sanções altas pois, além do vazamento, é descoberto que você não estava cumprindo a lei? Mais danos à imagem da companhia e ao caixa.

A verdade é que não tem um atalho para sair desta situação. Todos os sistemas precisam ser revistos. Políticas de transferência de dados, backups, entrega de dados à terceiros, etc. Tudo precisa ser revisitado. Centenas de programas precisarão de alteração, quanto antes você aceitar isto e transmitir os riscos à diretoria melhor. Lembrando que, para o profissional de TI, gerentes, diretores e CIOs, existe ainda a previsão legal de punições no âmbito criminal com responsabilização pessoal destes.

Como parte do pragmatismo que eu propus para este artigo, foque em: como rastrear os dados de uma pessoa em todos os seus sistemas de dados e como apagá-los, se solicitado, e onde eles podem ser apagados e onde eles ainda precisarão ser mantidos. Criar procedimentos para extrair bases de dados anonimizados, ou mesmo, tornar dados históricos anônimos para permitir que o Business Inteligence ainda seja possível ao mesmo tempo em que a lei seja cumprida.

Os fabricantes dos softwares devem tornar claro para vocês como os dados são guardados e como eles podem ser eliminados com segurança. Também devem demonstrar as funcionalidades de rastreamento e auditoria do acesso aos dados pessoais. Comece a solicitar que os softwares tenham API’s para realizar a extração de dados pessoais, comandar a exclusão e anonimização dos mesmos, para assim poder ter facilidade em integrar seu parque de sistemas aos programas de CRM que, provavelmente, serão o canal por onde os pedidos de exclusão chegarão.

Por fim, reveja sua política de backups. Lá os dados quase não podem ser rastreados, mas muitas vezes são o principal alvo de hackers, afinal são todos os dados juntos em poucos arquivos, o mais fácil caminho para um vazamento. Você precisa mesmo manter backups antigos. Quão mais recente for o backup, maior a chance de o dado já estar excluído ou anonimizado no backup.

Este é só um apanhado daquilo que entendi ser o mais crítico. A lei tem uma série de outras exigências que precisam ser avaliadas e confrontadas com o seu cenário. Lembre-se que a MP 959/2020, mudou a entrada em vigor da LGPD para maio de 2021. Não se arrisque esperando uma nova prorrogação, tem muito trabalho a ser feito e ele não vai diminuir se você deixar para começar mais tarde.

 

SOBRE O AUTOR

Diego Yegros é formado em Tecnologia da Informação com especialização em Direito Tributário. Em seus 19 anos de experiência profissional atuou como Arquiteto em empresas multinacionais do segmento de TI, definindo a arquitetura, gerenciando e implementando inúmeros projetos de alta complexidade para SAP , SAP S/4 HANA e BIG DATA. Participa desde 2006 de todas as iniciativas tecnológicas envolvendo SAP e SAP S/4 HANA, com ênfase no desenho de soluções de aplicativos orientados para área fiscal e contábil. Desde 2013, integra e coopera com as equipes de tecnologia da SAP na solução fiscal TDF.

Leave your thought here

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *