O desafio da ANPD: proteger os direitos da sociedade enquanto orienta as organizações no cumprimento da LGPD

1
50

Seis meses depois da entrada em vigor da LGPD, e os incidentes de violação gravíssimos que ocorreram nos primeiros meses desse ano, é com muita preocupação que ouço de profissionais em posição de decisão dentro das organizações a mesma pergunta, tão comum no nosso país: será que essa lei vai colar? Preciso me preocupar com ela?

É embaraçoso e constrangedor estar em uma situação em que meu interlocutor espera uma resposta profissional para uma pergunta para qual não existe outra resposta: é claro que vai colar! É claro que você deve se preocupar com ela

Procuro analisar esta situação sob a perspectiva dos motivos pelos quais ainda restam dúvidas em nosso país sobre a importância dessa lei para os negócios e para as pessoas quando, na verdade, considerando a visão idealista, nem precisaria ter uma lei que regulasse o respeito das organizações aos dados pessoais e o dever de os proteger, principalmente quando são tratados para a criação de valor para os dois lados, no caso de fornecedores e clientes.

O uso ético e a garantia de proteção são uma obrigação moral de quem trata dados pessoais. Afinal, se informação (ou dados) é considerada o novo petróleo, os donos legítimos desse "petróleo", os titulares dos dados pessoais, deveriam ser tratados com respeito por construção.  Aliás esse é um alicerce importante dos conceitos de privacidade by design (privacidade por desenho) que surgiu a partir de um relatório produzido pelo "Information and Privacy Comissioner de Ontario, Canada; "Dutch Data Protection Authority" e o "Netherlands Organisation for Applied Scientific Research", em 1995.

Em outras oportunidades, já discuti a questão do grave problema que representa o desvio de finalidade ou a falta de proteção no uso de dados pessoais ou dados pessoais sensíveis que têm levado para a sociedade desde o inconveniente (que pode ser bem grande) assédio comercial, até fraudes graves com prejuízos financeiros e morais. O pior deles é o roubo de identidade. Vejo com muita preocupação quanto à relação direta entre o uso indevido ou a violação (roubo) de dados com esses incidentes. Entendo que a lei existe, menos para reforçar a questão ética – que é obviamente o seu papel também – mas, para punir aqueles que por negligência, opção ou intenção, não protegem os dados pessoais de titulares dos quais são controladores ou operadores e têm, sim, direta ou indiretamente, responsabilidade quando crimes desta natureza são cometidos contra estes. Da mesma forma, fico perplexo quando vejo organizações manifestarem preocupação de que titulares de dados pessoais possam estar fraudando ao exigir seus direitos, e isso é lícito em muitas situações, mas não darem a mesma atenção quando criminosos fraudam usando suas marcas, seus domínios de e-mail e dados dos titulares por elas controlados ou operados para enganá-los.

Corremos sério risco de a LGPD não cumprir o seu papel, simplesmente porque empresários e executivos não entendem essa relação entre privacidade e proteção de dados com crime e fraude. É compreensível que não seja tão óbvia e existe a necessidade de um processo educativo. Contudo, enquanto a responsabilidade não for evidenciada e exigida, a educação vai ter um papel secundário. Tem sido assim no mundo onde existem leis que tratam desse assunto e terá que ser assim também em nosso país.

Esse é o desafio da ANPD. Não basta educar, orientar as organizações no cumprimento da lei e não basta normatizar e interpretar seus artigos. É necessário chamar as organizações à responsabilidade tendo em vista os danos causados à sociedade e a própria economia, quando dados pessoais são tratados de forma inadequada. É importante que a sociedade saiba que quando é vítima de uma fraude, quem são os potenciais causadores disso e estes sejam chamados à mesa para mostrar o que fazem para proteger os dados pessoais que tratam. Se alguém usa os dados para fraudar é porque os dados foram obtidos em algum lugar e houve falha de segurança. Não é só quem distribui esses dados que precisam ser investigados, mas também como esses dados foram obtidos e de onde. E isso é responsabilidade da organização que eventualmente controla esses dados.

A LGPD fala pelo menos de alguns pontos que se complementam: atividades de tratamento que sejam legítimas com bases legais, finalidades, que observem os princípios de minimização de dados, os quais precisam ser protegidos e, caso aconteçam incidentes, estes precisam ser identificados, reportados e riscos minimizados. Bastam esses pontos serem observados para muitas coisas ruins serem evitadas. Exige esforço e algum investimento das organizações, mas o resultado é mais do que compensador.  Mas, enquanto não ficar claro que isso é uma obrigação e a responsabilidade pelas consequências não for evidenciada e punida, iremos continuar a ouvir a constrangedora pergunta que mencionei no início que é a senha para não se fazer nada:  será que essa lei vai colar?

A ANPD tem uma população para proteger e organizações para orientar. Com equilíbrio e sabedoria. Mas que seja rápida

Enio Klein, influenciador e especialista em tecnologia, vendas, experiência do cliente e ambientes colaborativos com foco na melhoria do desempenho das empresas a partir do trabalho em equipe e colaboração. CEO da Doxa Advisers e Professor de Pós-Graduação na Business School SP.

1 COMENTÁRIO

Deixe seu comentário