"Se você não pode medir, não pode gerir.". A citação é uma das mais famosas que foram atribuídas a Peter Drucker, americano tido como o pai da administração moderna. Segundo o próprio Drucker, o conceito é antigo, remontando às práticas de gestão da Ordem dos Jesuítas.
Pois que um dos princípios mais importantes da moderna proteção de dados pessoais pode, ao se apoiar nos ensinamentos de Drucker, ganhar seu próprio axioma: "Se você não conhece e não registra, não pode proteger".
Tenho conversado muito com DPOs nesse período recente, que tenho apelidado de "pós-adequação". Com a ausência de regulamentação e o fim do primeiro estágio de adequação, é natural que eles estejam em busca de norte e de seus próprios axiomas. Com o benefício da retrospectiva, são quase intuitivas as duas principais preocupações de 9 dentre cada 10 DPOs: (i) "Recebi um programa de adequação empacotado dos meus consultores. Como o traduzo para minha realidade?" e (ii) "Como me asseguro que o ROPA da minha organização cumpra o seu papel?". Voltaremos para (i) em nossos próximos artigos. Hoje é dia de cuidar do ROPA sujo.
A esse respeito, a primeira pergunta que o DPO deve se fazer é muito simples: qual o propósito que minha organização deseja atingir com seu "Records Of Processing Activities-ROPA"?
Se o propósito é tão simplesmente cumprir a obrigação regulatória, o conselho é se ater à soma da exigência de registro das hipóteses de legítimo interesse, indicada no artigo 37 da LGPD, com o disposto nos artigos 30 (1) e 30 (2) do GDPR; (1) ou (2), conforme sua condição de agente de tratamento. A combinação sugerida equivale a razoável expectativa mínima quanto aos ROPAs e se traduz na seguinte "laundry list" (para o controlador):
(a) indicação do controlador; (b) finalidades do tratamento; (c) descrição das categorias de dados e de titulares; (d) hipóteses de legítimo interesse; (e) critérios de retenção; (f) medidas de segurança cibernética aplicáveis.
Nossa sugestão se justifica por não vermos motivos para que a ANPD se afaste muito dessa estrutura quando vier a regular o tema. Importante notar que não há previsão de regulação quanto aos ROPAs nas agendas regulatórias emitidas por nossa autoridade. A menos que a ANPD opte pela publicação de Guia Orientativo, em matéria de ROPAs, o horizonte próximo não parece prever ganho de clareza.
Mas seu propósito é fazer ainda menos? Seja porque não dispõe de recursos ou porque sua percepção de risco (ausência de regulação somada à natureza de suas operações) assim o demanda? Atenha-se, por ora, ao artigo 37 da LGPD.
Ou, ao contrário, você tem que fazer ainda mais? Talvez o setor em que atua se notabilize por fazer uso intenso de dados pessoais e, como se não bastasse, sua empresa investe em atividades de maior risco como, por exemplo, a inteligência artificial. Portanto, quer conhecer mais, para proteger mais, porque utiliza mais. O que você deve adicionar à "laundry list" GDPR + LI? Para 9 dentre 10 DPOs, minha resposta é "NADA!".
Em sua grande maioria os ROPAs estão sujos. Não é hora de um complemento à "laundry list", mas sim de se assegurar que a "laundry list" inicial não contenha manchas. Salvo exceções afeitas a particularidades da empresa, a hora é de garantir que seu ROPA se inspire em uma camiseta branca imaculada que você acabou de trazer da lavanderia.
Para ser mais preciso, a sujeira, para um repositório de informações, é mais comumente conhecida como ruído. E para um uso adequado de dados, a limpeza, ou seja, a ausência de ruído, é essencial. Dados ruidosos são aqueles que trazem grande quantidade de informações adicionais sem sentido. Também constitui ruído quaisquer dados que um sistema de usuário não possa entender e interpretar corretamente. Em suma, só se conhece e registra, para proteger, com ROPAs livres de ruído (limpos).
A partir de nossa experiência com ROPAs recebidos dos clientes, há casos claros de ruído, assim como outros em que informações essenciais não estão registradas. Destacamos alguns desses:
atividades meio descritas como atividades fim (e.g. tratamentos feitos pela área de analytics que também estão registrados como atividades fim por outra área);
registro de mais de uma finalidade para uma mesma operação de tratamento, sem a devida indicação das categorias de dados associada a cada uma delas;
descrições genéricas de finalidades;
registro de atividades relacionadas (por exemplo, tratamentos em sequência) sem que se faça menção à existência da relação;
ausência de registro de uso secundário (essencial para data lakes e analytics); e
tratamentos aglutinados (mais de um tratamento descrito como uma única atividade).
Já há suficiente "perspectiva histórica" para todos concordarem que a confecção dos ROPAs foi feita em regime de urgência e com poucos recursos. Os motivos foram vários. A mão-de-obra, de modo geral, aprendia enquanto trabalhava. Os DPOs ainda não estavam consolidados em seus cargos. A organização, como um todo, também estava fazendo aquilo pela primeira vez. Orçamentos baixos, etc… Natural a existência de "gaps".
A solução para esses problemas não requer, necessariamente, o emprego de recursos importantes. Tanto de tempo, quanto de retorno aos "data owners" para consulta. E os ganhos para o seu programa de adequação no longo prazo tendem a ser significativos. Seja do ponto de vista estritamente regulatório (gestão de riscos), seja no que respeita à utilização do ROPA como efetiva ferramenta de conhecimento para os próximos passos na jornada do DPO (e.g. gestão da inteligência artificial.)
Com o benefício do tempo para trabalhar de forma mais cuidadosa, o ROPA retoma sua condição de instrumento raiz para uma boa governança de dados pessoais. É dele que todos os demais controles (e.g. privacy by design, uso secundário, analytics) e iniciativas nascem. Olhar o ROPA de forma estanque, como uma mera obrigação regulatória, implica em desatenção ao seu papel como DPO e, até mesmo, em desvalorização dos times de governança de dados.
Discutir esses pontos estrategicamente é fundamental. Melhor do que ter que lavar roupa suja em situações nas quais os registros não são suficientes e tenham que ser revisados a toque de caixa.
Gustavo Artese, sócio de Artese Advogados e presidente do Fórum Equidata.
