fbpx

A LGPD e a interseção entre o Direito e a Informática

Dra. Cinthia Obladen de Almendra Freitas

22-abril-2019

Esfera no Teclado

Há quase 15 anos venho me dedicando ao estudo do Direito e há 34 anos me dedico ao estudo da Informática, tenho formação originária na Engenharia Civil e sou Doutora em Informática Aplicada. Desde que iniciei na área de Direito, em 2005, sempre estudei muito. Dedico-me a fazer a ponte entre o Direito e a Informática e vice-versa. E, recentemente, com o sancionamento da Lei Geral de Proteção de Dados Pessoais – Lei No. 13.709 de 14 de agosto de 2018, tenho visto muita coisa acontecer.

Nunca o Direito e a Informática ficaram tão face-to-face. Muitos dizem que agora os engravatados e os nerds terão que conviver. Há quem aposte em uma disputa de oportunidades. Há quem diga que tudo isto acabará em pizza, afinal estamos no Brasil e não somos a União Europeia e sua GDPR – General Data Protection Regulation (aprovada em 27 de abril de 2016 e aplicável desde 25 de maio de 2016).

Tenho uma posição mais pacífica e menos inflamada. Acredito que tal posição se deve ao fato de já ter visto muita coisa nestes 34 anos de vida acadêmica e profissional.

Muito se há escrito sobre a LGPD por profissionais da área jurídica. Mas cabe também um posicionamento de quem vive os dois lados da moeda: a área tecnológica e a área jurídica. A privacidade, as violações de direitos pelas empresas que fabulosamente tratam dados e formam Big Data e Data Lake, conhecem perfis, atuam ofertando o que é “melhor” para os seus clientes, discriminam e conhecem o comportamento de cada usuário; tem sido objeto de pesquisa com alunos de Graduação, Mestrado e Doutorado. Acredito que conheço um pouco os problemas e posso, devido à minha formação, propor soluções não somente teóricas, mas práticas.

A área jurídica está despertando para a área de Informática, visto que já se comenta que a profissão do advogado será muito modificada pela Inteligência Artificial, Aprendizagem de Máquina, Aprendizagem Profunda, Computação Ubíqua, Computação Pervasiva, Sociedade de Algoritmos, Sociedade Transparente, Sociedade de Controle e muitos outros temas. Afinal de contas Sociedade de Informação já é há muito conhecida e estudada. Devo lembrar aos desavisados que Inteligência Artificial é área antiga da Ciência da Computação, visto que data da década de 40, isto mesmo de 1940. E privacidade, é assunto discutido desde 1890. Portanto, não devem ser vendidos como novidades. O que mudou? Mudou que atualmente temos poder de processamento e capacidade de armazenamento muito maiores e mais baratos. Simples, assim.

Ouso, portanto, apresentar algumas competências relacionadas à LGPD que necessitarão da área da Informática e permitirão a interseção entre o Direito e a Informática:

1)     Levantamento e diagnóstico da empresa: todo profissional da área de desenvolvimento de sistemas computacionais tem formação para realizar as etapas de análise e planejamento de software, portanto, é o profissional indicado para realizar o levantamento e diagnóstico técnico-computacional da empresa. O profissional da área de Informática conhece tecnicamente as etapas do tratamento de dados e, portanto, conhece as operações diretamente ou indiretamente ligadas a cada forma, algoritmo e operação. Levantar e diagnosticar as operações de tratamento de dados realizadas na empresa é atividade inerente aos profissionais da área de Informática. Nesta etapa os profissionais da área do Direito deverão atuar em conjunto com profissionais da área de Informática;

2)     Mapeamento de dados: as categorias de dados definidas na LGPD não dão conta da multiplicidade de dados existentes em uma empresa. Além disto, a categorização em dados pessoais, não pessoais e sensíveis pode ser completamente diferente se forem observados parâmetros tais como: fonte, formato, estrutura, forma, origem, tipo, entre outros. Essas categorizações estão ligadas não somente ao entender jurídico dos dados, mas ao tratamento de dados, ou seja, especificamente às operações realizadas com dados pela empresa, incluindo-se não somente dados em formato digital, mas armazenados em papel, fichas, fichários, cartões, entre outros. Os profissionais da área de Informática são os mais indicados para realizar esta etapa, não deixando de lado a interseção com profissionais da área do Direito;

3)     Avaliação dos princípios da LGPD: esta etapa envolve compreender as operações propriamente realizadas com dados pelas empresas. Entender que um bureau de dados pode fornecer um conjunto de dados para processamento em um modelo MLaaS não é algo trivial para á área jurídica. Muito menos compreender as condições de auditabilidade em nuvem computacional ou as formas de garantia de integridade em estruturas baseadas em plataforma Blockchain. É nesta fase que os profissionais da Informática poderão explicitar se a empresa está ou não em conformidade com os princípios da LGPD, apoiando os profissionais da área do Direito;

4)     Aprovação de mecanismos de consentimento: A LGPD apresenta fortemente o consentimento do titular dos dados (incluindo-se aí os pais ou responsáveis se o usuário for criança ou adolescente). É aqui que o profissional de Informática tem condições de, não somente apontar as possíveis soluções com base no que vem sendo denominado de Privacy by Design, mas também implementar, testar e validar as referidas soluções, apontando vantagens e desvantagens a depender da área de atuação da empresa, sem esquecer das bases legais. Eis aqui novamente o trabalho conjunto dos profissionais da área do Direito e da Informática;

5)     Criação e revisão das políticas de privacidade e termos de uso: Estes não são os únicos instrumentos, mas são os mais conhecidos, discutidos e polêmicos, visto serem estes documentos complexos, longos, de difícil apreensão, com termos técnicos complicados  e preparados com base no uso de técnicas de neuromarketing para envolver e influenciar os usuários. Os profissionais das áreas de Informática e Direito deverão revisar tais documentos conjuntamente, cada qual observando ora os aspectos tecnológicos ora os aspectos legais, do tratamento dos dados e das operações realizadas com os dados. Há de ser um trabalho colaborativo;

6)     Atuação como controlador, operador ou encarregado de dados: O controlador e o operador de dados documentarão as operações realizadas pelos diferentes técnicas e algoritmos de tratamento de dados. Além disto, eles deverão revisar e atualizar constantemente os procedimentos adotados pela empresa em cada tipo de operação realizada com dados. O operador e o controlador trabalharão em consonância, tendo sempre em mente o preconizado na LGPD e em futuros documentos, normas, entre outros que poderão ser propostos pela Autoridade Nacional de Proteção de Dados. Caberá ao operador e ao controlador realizarem o planejamento para situações emergenciais (por exemplo, vazamento de dados). São os profissionais da área da Informática que conhecem sobre Segurança da Informação. São estes profissionais que poderão indicar os procedimentos tecnológicos para geração das evidências das operações propriamente realizadas com os dados pela empresa. Quanto ao encarregado de dados (DPO), já existem muitos advogados se candidatando à função, mas será o profissional da área de Informática que dará suporte ao advogado;

7)     Elaboração de plano de impacto à proteção de dados: Elaborar relatórios que contenham a descrição dos procedimentos de tratamento de dados e seus riscos, tanto jurídicos quanto tecnológicos, bem como a descrição dos mecanismos e medidas de prevenção e salvaguarda em situações de risco aos dados pessoais e sensíveis. Novamente os profissionais da Informática e do Direito terão que compreender os riscos às liberdades e aos direitos fundamentais dos titulares dos dados, de modo a compor um trabalho em equipe, sob o risco de “puxar a sardinha” somente para um dos lados;

8)     Segurança da informação, vazamento de dados e impactos tecnológicos: a LGPD vem criar uma “Cultura de dados” para a área de Segurança da Informação realmente entrar em ação e não somente “apagar incêndios” quando um vazamento de dados acontece, mas atuar preventivamente por meio de planos e registro das evidências. Somente um profissional da área de Informática pode detectar um vazamento, entender que falha foi explorada, como o vazamento aconteceu, quais as evidências internas e externas e, ainda, apontar os danos e melhorar os planos de prevenção e as medidas de Segurança da Informação. Aqui os profissionais da área do Direito e da Informática trabalharão em equipe, apontando os procedimentos legais e tecnológicos que compete a cada profissional.

Lembre-se: bom senso nunca é demais! E eu sempre digo aos meus alunos, tanto do Direito quanto da Informática: 1) nunca ultrapassem os seus conhecimentos; 2) não assumam o que não sabem; 3) não se vendam como novidade sem ser; 4) não incluam, nos seus portfólios, atividades, tarefas ou prestação de serviços para os quais não estejam qualificados, preparados e que não tenham confiança e certeza que podem realizar; 5) ajam eticamente; 6) trabalhem com profissionais de outras áreas, pois ninguém sabe tudo. Boa LGPD para todxs!

Lembrete 1: Se você desconhece muitos termos utilizados neste artigo, prepara-se a LGPD vem ai!

Lembrete 2: Se você desconhece o dado que ilustra este artigo, não se assuste, ele é real! Talvez seu olhar não esteja preparado para sua complexidade. Ou simplicidade?

Log In

create an account