E agora, DPO? A festa acabou, a luz apagou, o povo sumiu, a noite esfriou, e agora, José? E agora, você? Sim, você, DPO. Você que seguiu sua intuição; você que antecipou tendências; você que arriscou investir em cursos e certificações; você que entre 2018 e hoje deve ter virado algumas noites nos processos de adequação da sua empresa. Você que pode – e não são todos – estar com um sentimento de fim de festa com o término desses processos. Esse artigo é para você. Esse artigo é sobre o que está por vir.
Começo com um conselho: a hora é de respirar, se você ainda não teve a chance. Se já respirou e está naquela pausa que sucede uma longa expiração, está pronto para aproveitar meu recado.
Existe um mito de que o Brasil entrou atrasado no jogo da proteção de dados. É mito que decorreu da estratégia – necessária – de pressão em nossos legisladores para a aprovação da LGPD. Hoje, já com alguma perspectiva histórica, se nota que entramos na hora certa. Explico: países que se anteciparam provavelmente terão que atualizar suas legislações, uma vez que não tiveram a chance de se aproveitar das lições decorrentes das discussões que levaram ao GDPR. Lembro: na Europa pré-GDPR o que se tinha, como ouvi de Peter Hustnix[1], era uma espingarda que atirava ervilhas; referência ao fato de que a Diretiva de 95 previa multas baixas. Por sua vez, o Brasil começará com chumbo, provavelmente já nos próximos meses (a depender do trabalho da ANPD na norma de dosimetria que está preparando). Inspirou?
Nesse contexto, o desafio dos profissionais brasileiros que lidam com o tema é comparativamente maior. Além da adequação a toque de caixa, nosso jogo não permitirá treino com munição de festim. Mais; quando se depararam com munição real, os profissionais europeus já gozavam de estrutura de governança razoavelmente consolidada em suas empresas. No Brasil, na média, a questão de governança ainda deixa muito a desejar. A consequência é a falta de clareza quanto a atribuições, poderes e responsabilidades. Isso dificulta o uso eficiente dos recursos limitados destinados pela empresa, incentiva o conflito de interesses com as áreas que fazem uso de dados e, nos piores casos, deixa o DPO na ingrata posição de responder por riscos que não tem o poder de mitigar. Caberá a você, DPO, virar esse jogo enquanto as balas voam por sobre sua cabeça. Pausou?
Por falar em toque de caixa, quem disser que os registros de atividades de tratamento, os famosos ROPAs, não precisam de revisão, não tem trabalhado com o assunto na era pós-adequação. É um tema delicado, que envolve recursos valiosos (sendo tempo, o principal) e eventual discussão embaraçosa quanto a investimentos mau feitos no passado. Mas não há como fugir, na medida em que o impacto não é apenas regulatório (eventual fiscalização da ANPD), mas principalmente de natureza gerencial, quanto a novas iniciativas que envolvam o tratamento de dados já existentes. Expirou?
Se seus batimentos ainda estão sob controle, pode ser cedo para ficar confiante, há mais, ainda. As transferências internacionais que, por serem muito dependentes de regulação, ficaram para um segundo momento, dependem de olhar contratual atento. Já quanto a atuação no lado humano, o que se vê é carência naquilo que faz a diferença no dia-a-dia: manuais operacionais. No que se refere à parte preventiva em segurança da informação, há trabalho a fazer, especialmente diante da venda massiva de seguros contra incidentes de segurança que se tem testemunhado. E seus relatórios de impacto? Seguem os padrões internacionais? Estão agregados adequadamente, considerando um grupo de riscos? E para você, que ambiciona chegar ao pináculo da proteção de dados pessoais (que só pode ser atingido com boas fundações), não se pode deixar de cuidar do Privacy by Design. Inspirou de novo? Que bom! Sinal que está vivo.
Nada como se sentir vivo. Mas sugiro mais uma pausa. Com o ar retido no peito para se acalmar. Depois, expire, pois vem aí o que poderia ter sido dito já no segundo parágrafo. Você sabe que suas atribuições ultrapassarão os domínios da proteção de dados pessoais! Suspeito que sempre soube disso. Admita! Você já sabia! Do que talvez não tenha se dado conta ainda é que, não apenas do ponto de vista regulatório, mas também do ponto de vista prático, todas as outras incumbências que lhe dizem respeito estão chegando ao mesmo tempo, quase que como uma resposta à LGPD. Ou seria à transformação digital? Inspire. Última vez! Prometo. No artigo, pelo menos.
Inteligência Artificial em seus dois aspectos: (i) uso secundário de dados pessoais para fins de analytics (poucos cuidaram disso na fase de adequação); e (ii) data ethics (a comissão de juristas que discutirá a lei foi instituída ontem no Senado). Segurança da informação e a necessidade de efetiva preparação da sua empresa para aquilo que é praticamente inevitável (seu plano de resposta de incidentes é efetivo ou existe apenas no papel?; você já determinou o due diligence nos seus contratos de TI e cloud?). Soma-se a isso, blockchain, fraudes digitais, 5G e, um pouco mais à frente, o Metaverso. Expire!
E agora, DPO? Se você cansasse, se você morresse….Mas você não morre, você é duro, DPO! Você marcha, DPO! Para onde? Você sempre soube. Não sou portador de nenhuma boa nova. Você marcha para proteger sua empresa dos riscos e percalços internalizados pela nova e forte regulação digital. Nessa condição, você marcha para ser um dos principais fomentadores da existência digital da sua organização.
Respire!
Gustavo Artese, fundador do Artese Advogados e especialista em regulação digital.
[1] European Data Protection Supervisor (2004-2014)