Por Luciano Benetti Timm, mestre e doutor em Direito pela UFRGS; LLM em Direito Econômico Internacional, Warwick; pós-doutor em Análise Econômica do Direito pela Universidade da Califórnia/Berkeley e professor da FGV SP, e Matheus Noronha Stuari, sócio do CMT Advogados na área de Proteção de Dados
Recentemente, o diretor-presidente da Autoridade Nacional de Proteção de Dados (ANPD), Waldemar Gonçalves, declarou que “a dosimetria vai aumentar a visibilidade da ANPD” e que “muitos que não sabem o que são essas letras passarão a entendê-las”. Desde então, há uma noção clara no mercado de que as sanções estão mais próximas do que nunca.
É bastante conhecida a ideia de que o descumprimento da LGPD pode causar prejuízos às organizações, os quais vão muito além de sanções administrativas pela Autoridade – danos reputacionais e problemas com parceiros de negócio são exemplos claros disso –, no entanto, também é evidente o fato de que as sanções administrativas compõem uma preocupação comum de todas as organizações que buscam se adequar à LGPD.
Diante desse cenário, aquilo que parecia distante, quase uma abstração, passou a permear o imaginário de líderes e responsáveis nas organizações, e a principal pergunta que não cala – ao menos nos últimos dias – é: e se a Autoridade me acionar? Em seguida, as perguntas se acumulam: como me preparar? O que devo considerar?
Por óbvio, não é a intenção deste texto trazer um manual completo, cada organização possui uma realidade, eventualmente, cada caso perante a Autoridade possuirá suas especificidades, assim, as respostas a essas e outras perguntas poderá mudar de acordo com o contexto. Contudo, é possível, por meio deste breve texto, trazer alguns direcionamentos importantes, fundamentados na experiência prática dos autores até o momento.
De início, é importante diferenciar dois diferentes estágios de maturidade em termos de Proteção de Dados e, em especial, adequação à LGPD. Se uma organização ainda não possui Programa de Privacidade implementado, está em desenvolvimento ou algo do tipo, sua tratativa, por óbvio, será diferente de organizações que já possuem uma estrutura apta a lidar com o tema. Assim, é preciso diferenciar os direcionamentos para cada cenário.
Caso ainda não haja, na organização, uma estrutura mínima, apta a lidar com temas de Proteção de Dados, a primeira sugestão não pode ser outra a não ser: comece!
Por mais óbvio que pareça, o caminho não pode ser outro, no entanto, é possível, especificamente com relação a tratativas perante a Autoridade, seguir um caminho de priorização. Assim, caso a prioridade seja lidar com temas que tenham mais atenção da Autoridade, o caminho mais indicado seria cuidar de temas que são mais prováveis em termos de questionamento.
Nesse sentido, tratativas relacionadas a direitos dos titulares, incidentes de segurança, compartilhamento de dados com terceiros (e a gestão desse compartilhamento) e transparência, parecem ter maior relevância nesse momento.
Agora, se a organização já possui determinado nível de maturidade, já construiu um Programa de Privacidade robusto, tem tratado temas de Proteção de Dados no dia a dia, mas, ainda assim, há aquela expectativa de como será, na prática, eventual contato e tratativa com a Autoridade, talvez seja importante levar alguns aspectos em consideração.
Inicialmente, é claro que os tópicos acima, referentes a direitos dos titulares, incidentes de segurança, compartilhamentos de dados pessoais e transparência, devem ser levados em consideração, uma vez que são os temas mais comuns nos casos perante autoridades de Proteção de Dados em geral, não só a brasileira. Assim, é importante que um Programa de Privacidade, considerado como maduro, possua, de fato, aptidão para tratar desses temas com eficiência.
Sem a intenção de tratar de todos os aspectos relacionados aos temas (o que seria inviável dentro do formato aqui proposto), alguns pontos podem ser úteis ao tratar desses temas.
Sob a perspectiva de direitos dos titulares, vale considerar não só eventual tratativa repressiva e perante a Autoridade, mas, além disso, é relevante considerar o quanto iniciativas preventivas com relação ao tema podem significar diminuição ou mesmo eliminação de casos na Autoridade.
Com relação a incidentes, tão importante quanto a ação repressiva e perante a Autoridade – em termos de comunicação e avaliação do incidente, bem como de medidas de mitigação ou eliminação de riscos aos titulares –, é a ação preventiva e as medidas adotadas para evitar incidentes de segurança. Ou seja, não importará só o que foi feito para lidar com o incidente após sua ocorrência, mas o que se fazia para evitá-la.
Com relação a compartilhamento de dados pessoais, para além das análises documentais, parece relevante que medidas efetivamente práticas sejam adotadas, ou seja, decisões precisam ser tomadas com base nas análises. Parece óbvio, mas, na prática, muitas organizações acabam parando apenas na fase do “assessment” de determinado parceiro, nunca adotando providências com base no que se avaliou.
Referente à transparência, pensando na parte de responsabilidade inserida dentro do conceito de “accountability”, parece relevante que a organização considere o quanto está se esforçando para que, de fato, as medidas e funcionalidades criadas para cumprimento desse dever e desse princípio estejam sendo usadas pelos titulares de dados. O esforço da organização em fazer chegar ao titular a possibilidade de ter seu direito satisfeito parece bastante importante.
Diante de tudo o que foi mencionado, há um aspecto geral sobre tudo o que envolve o relacionamento e mesmo a tratativa de demandas perante a Autoridade, algo que envolve todas as sugestões acima – trata-se da prestação de contas.
Muito se fala em ter um Programa de Privacidade funcional, maduro, eficiente, mas, nada disso adiantará se, no momento em que for necessário, a organização não tiver a capacidade de gerar as evidências necessárias de tal maturidade, eficiência e funcionalidade.
Se é possível deixar uma mensagem geral sobre esse tema, seria: não basta que seu Programa de Privacidade garanta o cumprimento da legislação, é preciso que seu Programa de Privacidade seja capaz de demonstrar que cumpre a legislação.
Esse é um ponto conhecido por muitos, o princípio da prestação de contas é claro quanto a isso, no entanto, na prática, há uma negligência presente nas práticas de organizações quanto a esse aspecto. Parece existir um sentimento de que, tendo um Programa estruturado, “na hora do vamos ver” as evidências serão geradas.
É um erro pensar assim.
Estar preparado não significa apenas cumprir com a lei, mas estar apto a demonstrar tal cumprimento, e demonstrar de maneira efetiva, prática, com base em decisões que impactam a realidade do tratamento de dados pessoais, não apenas sob ponto de vista documental.
O caminho para uma boa atuação perante a Autoridade, portanto, passa pela boa atuação preventiva e interna com relação à prestação de contas. Não se trata só disso, mas não se alcança sem isso.