Fonte: Paulo Vidigal via Linkedin
A Esfinge desafiava os transeuntes da cidade de Tebas com o seguinte enigma: “que animal anda pela manhã sobre quatro patas, à tarde sobre duas e à noite sobre três?”
A resposta moderna para essa pergunta seria: a LGPD.
Explico…
Hoje, após um bom número de apresentações e bate-papos sobre a LGPD, para os mais diversos públicos, já estou vacinado contra perguntas que sempre surgem ao final da exposição. A lista mental é bastante extensa e certeira. Confiram alguns exemplos:
– Essa lei se aplica apenas a dados de pessoas físicas ou também de pessoas jurídicas? E no caso de microempreendedor individual? E EIRELI?
– Vem cá… e o governo? Também está submetido a esse negócio?
– E o Serasa nisso tudo, vai sobreviver como?
Entre essas e outras há também a indagação – super pertinente – que, repetida tantas vezes, inspirou esse breve artigo: que diabos faço com a minha base legada?
Ocorre que a LGPD esconde uma régua interessante e desafiadora, que não pode ser ignorada nos trabalhos de adequação. Muito se fala dos impactos multisetorial e multilateral da LGPD, mas por vezes se esquece do impacto multitemporal.
De fato, ao abordar a conformidade, há 3 momentos significativos que devem ser considerados: o passado, o presente e o futuro. Tendo em vista que os agentes de tratamento são verdadeiros organismos vivos, de nada adianta sacar uma fotografia do momento inicial de adequação e tratar com afinco aquela realidade, sem dedicar especial atenção a esses distintos marcos.
Dito isso, como fazemos? Como abordamos cada um desses momentos de maneira eficiente?
Em síntese, a experiência aponta para os seguintes remédios:
Passado (“o que faço com os dados que já reuni?”):
Antes de qualquer ação impulsiva (deletar a base de dados ou disparar e-mails a todos os clientes para renovar consentimento), temos de lembrar que há previsão legal específica, no artigo 63 da LGPD, que indica que a Autoridade Nacional estabelecerá normas sobre a adequação progressiva de bancos de dados constituídos até a data de entrada em vigor da lei, consideradas a complexidade das operações de tratamento e a natureza dos dados. Mas, além desse relativo conforto, há campo para tomarmos medidas contundentes, conforme detalharei mais a seguir.
Presente (“o que faço com as atividades cotidianas?”):
Um conselho, nesse momento, é fingir que a LGPD já está em vigor. Nada, portanto, deve ocorrer em contrariedade a essa lei. Contudo, não se podem ignorar as demais legislações vigentes (em especial aquelas setoriais, não tão conhecidas). Um equívoco clássico que se observa, nesse momento, é a utilização desmedida do legítimo interesse como base legal para tratamento (instituto que nasce com a LGPD e cuja aplicação depende da plena vigência da lei), ignorando-se a exigência do consentimento contida no Marco Civil da Internet, por exemplo.
Futuro (” que faço com as atividades que irão surgir daqui pra frente?”):
Para o futuro, considerando que o compliance consiste em tarefa atemporal, sem começo, meio ou fim, instrumentos valiosos são: o monitoramento eficiente e contínuo do Programa de Privacidade, instituído por meio de uma área de Privacy bem estabelecida; a ampla (porém equilibrada, para não burocratizar demais o business) aplicação de Relatórios de Impacto à Proteção de Dados, como forma de medir a temperatura de novos projetos e iniciativas em termos de privacidade, em linha com a estratégia de Privacy by Design; e – não menos importante – a criação de um plano abrangente de treinamentos e conscientização constante.
Base Legada
Feitas as considerações acima, voltemos os olhos ao ponto central proposto nessa reflexão: o que fazer com a base legada?
Com base em minha atuação profissional, até então identifiquei, basicamente, três estratégias em relação à base legada, as quais detalho a seguir:
Estratégia Wait and See:
Nessa estratégia, amparados na previsão do artigo 63 da LGPD, os agentes de tratamento simplesmente esperam para ver as orientações que a Autoridade Nacional dará quanto à adequação progressiva do passivo de dados. Assim, evitam-se quaisquer decisões; a base fica de stand by, na esperança de que a Autoridade Nacional seja sensível o suficiente para determinar um prazo e medidas factíveis para os devidos ajustes. O ponto positivo é que, por meio dessa abordagem, preserva-se a base formada (por vezes, a duras penas); o ponto negativo é a insegurança de se esperar por uma regulação, a qual não se sabe se virá ou, ainda, se será razoável, deixando passar o momento de adequação atualmente vivido, em que os ânimos já estão preparados para a realização de mudanças.
Estratégia Burn it All:
Nessa estratégia, mais bruta, simplesmente o agente de tratamento abre mão dos dados que possui. Na Europa, ficou famoso o caso da empresa que administra cadeia de pubs, JD Wetherspoon, que optou por essa linha quando da entrada em vigor do GDPR, ao deletar toda sua base de e-mails de consumidores. Com essa medida, se é verdade que o risco é mitigado, por outro lado pode se ter uma perda significativa de receitas e oportunidades.
