internet, cyber, network

A proteção de dados pessoais além do contrato

Por Pedro Amaral Salles e José Neves Pinheiro

Não bastassem os desafios naturais a qualquer legislação nova, o início de vigência da Lei Geral de Proteção de dados no Brasil (LGPD) tem se dado em um ambiente repleto de incertezas e crises adicionais trazidas pela pandemia da Covid-19. Como é próprio do ser humano, buscamos padrões e scripts que nos ajudem a ter um fio condutor que, de alguma forma nos oriente em um ambiente desconhecido. Muitos têm “tropicalizado” conceitos da General Data Protection Regulation (GDPR) europeia em busca desse fio condutor – o que é uma boa, porém perigosa aposta. Como sabemos, as dificuldades daqui do Brasil não são as mesmas do velho mundo e as dúvidas sobre a autoridade nacional (como de fato será constituída e a extensão de suas ações), por exemplo, nos mostram o quão distante estamos nesse exercício de direito comparado.

O constante enfrentamento empírico e prático do tema tem mostrado alguns caminhos interessantes. Sem a pretensão de uma abordagem técnica e teórica, o que se tem algumas linhas abaixo é o compartilhamento de algumas dúvidas, angústias, desafios (enfrentados, vencidos e perdidos) e acima de tudo, experiências. Uma dessas experiências tem sido a construção de redação contratual que acomode direitos e obrigações das partes. Munidos de incertezas, nós advogados temos erguido verdadeiras muralhas contratuais cujos insumos (cláusulas com multas, obrigações, responsabilidades, etc.) parecem muitas vezes não dialogar com a LGPD e, principalmente, com a realidade. O fato é que o tema ainda é novo e ainda é pequeno o grupo de advogados que consegue manejar os conceitos sem grandes tropeços.

Diversos contratos tratam como operador de dados pessoais quem não acessa, opera e nem armazena um dado pessoal. As multas cumulativas, muitas vezes superiores às já altas penalidades da LGPD, sempre partem de bases altas – afinal, o receio que a LGPD causa é enorme. Nem todos se atentam, porém, ao fato de que o operador é e deve ser em verdade uma extensão do controlador e sob sua regulamentação (e da LGPD) tratará os dados pessoais – quando os tratar. Antes de ficar discutindo possível valor da multa por descumprimento de obrigação, faz-se mister entender o conceito de “dado pessoal”, de “tratamento de dados”, assim como de “quem”, “como” o faz e “por que” faz, quais suas capacidades técnicas e operacionais em fazê-lo (e se o equilíbrio jurídico-econômico da relação entre as partes permite obrigações tão extensas a uma delas), qual a regulamentação prévia instruída pelo controlador ao operador de dados para que depois se pense em penalidades. A ânsia arisca de proteção clausulada muitas vezes tem transformado as obrigações e responsabilidades em proteção de dados a cláusulas contratuais vazias, como se fossem um boilerplate temático.

Essa dificuldade que enfrentamos, um pouco pela novidade legislativa e outro tanto pelo notório desconhecimento do ferramental tecnológico e seu funcionamento, não se restringe, contudo, aos operadores do direito. A LGPD obriga todos os entes da cadeia a um exercício de adentrar ao processo produtivo e entender criteriosamente se e quando é necessário haver armazenamento de dados pessoais ao longo da cadeia produtiva. Há diversas companhias com cadastros intermináveis e inúteis que jamais utilizarão um dado pessoal sensível em diversos setores de sua cadeia produtiva, porém o solicitam e armazenam sem que tenha havido um questionamento do porquê. Houvesse um critério de avaliação da real necessidade manutenção de dados pessoais acessíveis (o que a existência da LGPD estabeleceu), chegar-se-ia à conclusão que em muitas etapas do processo produtivo é possível evitar a exposição de um titular e da própria empresa a um risco desnecessário. Seria igualmente possível afastar uma culpa in vigilando a partir de processos e utilização de dados pessoais somente quando efetivamente necessário.

Nesse sentido, mesmo aqueles processos produtivos que necessitam do dado pessoal em sistema, nem sempre é preciso que esse dado fique exposto e acessível a todos. Pode-se retirar do dado aquilo que o torna dado pessoal (a capacidade de identificar um titular). Técnicas de mascaramento de dados podem auxiliar no tratamento, afinal, para alguns processos, não faz diferença se está a se falar de “Xpto123” ou do “José Pinheiro”. Muitas vezes, pretende-se armazenar um lead, mas não há finalidade econômica de exploração imediata naquela etapa do processo produtivo – um dos claros focos da lei. Um exemplo disso é a utilização de dados para análises de inteligência de negócios, voltadas para a busca de padrões comportamentais em que o nome, e-mail ou telefone do titular de cada dado são indiferentes, mas importam os gostos e comportamentos de uma coletividade – uma faixa etária pode prover uma análise de consumo importantíssima. Ou seja, ferramentas de gestão têm que ser melhor exploradas, seja pela revisão de processos e real necessidade de acesso a tais dados, seja pelos recursos tecnológicos de criptografia de dados, anonimização ou pseudo-anonimização (reversível).

As empresas de tecnologia, até pelos riscos sistêmicos próprios que a LGPD lhes apresentou, têm feito excelentes avanços na criação e desenvolvimento de recursos tecnológicos que mitiguem riscos de exposição dos dados pessoais. Caberá também aos titulares dos processos produtivos e aos jurídicos, não somente ansiosamente caçarem recursos tecnológicos para adaptação à nova regra – o que deve sim ser feito, mas também entenderem melhor os riscos e desafios da utilização de dados pessoais, sob pena da LGPD se tornar um clausulado bilateral e pouco eficaz no que toca à sua execução.

Pedro Amaral Salles e José Neves Pinheiro são advogados do SFCB Advogados