NIC.br

Ir para o conteúdo
13 AGO 2018

Aplicação equilibrada da Lei Geral de Proteção de Dados preocupa PMEs


Blog Porta 23 - 10/08/2018 - [gif]


Autor: Cristina de Luca
Assunto: IX Seminário de Proteção à Privacidade e aos Dados Pessoais

Esta semana, o Comitê Gestor da Internet (CGI.br) realizou o IX Seminário de Proteção à Privacidade e aos Dados Pessoais, e como não poderia deixar de ser, os desafios para a aplicação da futura Lei Geral de Proteção de dados (LGPD) deram o tom dos debates.

Foi consenso entre os participantes que a entrada em vigor da LGDP (ainda aguardando sanção presidencial) não esgota todo o esforço feito nos últimos 10 anos para alinhar o Brasil com a experiência de outros países na definição de marcos legais que balizem o uso de dados na economia digital.

"Vamos ter que continuar mobilizados e discutindo, porque uma série de questões ainda estão em aberto e precisamos garantir que sejam aplicadas da maneira mais adequada", comentou Henrique Faulhaber, representante do setor empresarial no conselho do CGI.br.

Entre os exemplos de adequação a posteriori (já com a lei em vigor), citados por Faulhaber, está o estabelecimento de critérios que evitem que os esforços de conformidade à lei por parte de pequenas e médias empresas não acabem se transformando em um aumento perverso do chamado "custo Brasil".

A opinião pessoal da Faulhaber é a de que os regulamentos e a metodologia aplicada pela autoridade reguladora, especialmente em relação à dosimetria das penas, devem considerar sempre os maiores riscos à privacidade e à proteção de dados.

"Certamente, quem processa um maior volume de dados e tem em seu modelo de negócio uma orientação para monetização desses dados, deverá ter uma maior atenção da autoridade reguladora", argumentou.

No entanto, ao contrário do que se poderia esperar, não são as gigantes da economia digital, como Facebook, Google e Microsoft, nem as grandes operadoras, como a Telefonica, que têm demonstrado resistência à sanção da lei sem vetos. Quem mais demonstra preocupação com a aplicação da nova lei, conforme aprovada pelo Congresso, são as associações de empresas de tecnologia da informação com grande número de pequenas empresas entre seus filiados.

O que as PMEs temem?
Recentemente, a Associação Brasileira de Empresas de Software (Abes) retirou seu nome da lista de apoiadores do Manifesto em prol da Lei Geral de Dados Pessoais por considerar excessivos os poderes atribuídos à Autoridade Nacional de Proteção de Dados (ANPD). Preocupa à entidade o fato da ANPD poder determinar a suspensão de atividades de tratamento e uso de dados que não estiverem em conformidade com o texto legal.

Nessa sexta-feira, a Federação das Associações das Empresas Brasileiras de Tecnologia da Informação (Assespro Nacional) também se manifestou contrária ao clamor da coalização que materializou o amplo apoio à aprovação da LGPD no Congresso por sua sanção integral, sem vetos. A Assespro propõe vetos à autoridade e ao seu papel fiscalizador e também aos capítulos da LGPD que tratam da fiscalização em si e das sanções administrativas. Seus associados temem interpretações extremamente radicais, especialmente no que concerne à dosagem na aplicação das multas.

Apesar de comungar de algumas preocupações da Abes e da Assespro em relação aos critérios de fiscalização e à dosimetria das penas, a Associação Brasileira dos Agentes Digitais (Abradi) continua defendendo a sanção integral da LGTD e o uso dos 18 meses da vacância da lei (o período eme que ela já existe mas ainda não é aplicada) para as adequações necessárias.

"Vemos com bastante alívio a chegada deste momento, em que teremos a nossa própria lei de proteção de dados, pelo fato de trazer maior segurança jurídica para o mercado", afirmou Marcelo Souza, presidente da Abradi, em um dos painéis do seminário do CGI.br.

Mas…É preciso trabalhar em relação a alguns pontos preocupantes. O maior deles é com o fato de que o alto custo de adequação das pequenas agências digitais às regras legais chegue a comprometer as condições de competição e a própria existência dessas agências.

Outra grande preocupação é com a interpretação de alguns pontos genéricos, como a obtenção de "consentimento específico" para o compartilhamento de dados. DMPs, por exemplo, têm milhares de empresas do ecossistema compartilhando dados. Se "específico" significar que o DMP será obrigado obter consentimento para trocar dados com cada uma delas, isso pode inviabilizar negócios, segundo Marcelo Souza.

A associação está atenta também à interpretação do artigo 20, sobretudo no que diz respeito ao fornecimento de informações claras e adequadas aos proprietários dos dados a respeito dos critérios e dos procedimentos utilizados para decisões automatizadas (ou seja, a aplicação dos algoritmos e dos modelos de recomendação e de segmentação de clientes). "Acho que é justo o consumidor saber que tipo de informações pessoais foram usadas para definir ou inferir um comportamento", comenta Marcelo, mas a revelação do funcionamento dos algoritmos pode esbarrar em outros direitos, como o de propriedade intelectual, tornando sua aplicação mais delicada. E aí vale lembrar que o próprio artigo faz a ressalva de que segredos comerciais e industriais devem ser considerados na aplicação deste dispositivo.

A possibilidade de realização de auditoria em algoritmos é algo que também gerou muita resistência (muita mesmo) entre os associados da Assespro.

Exagero
Porém, na opinião de representantes de grandes empresas, e de membros da sociedade civil, a leitura do texto legal que muitas dessas entidades vem fazendo é equivocada e não coaduna, inclusive, com práticas de proteção de dados já aplicadas em países com legislações em vigor há mais tempo.

Ajudar as pequenas empresas a se adequarem à lei, e a compreenderem melhor os artigos 53 e 54 da LGPD (que explicitam os processos de dosimetria, a metodologia para constituição das multas e deixam claro que as multas são gradativas), serão dois grandes desafios, imediatos.

Nos bastidores, comenta-se que as pequena empresas de TI ficaram muito impressionadas com o discurso que está sendo vendido pelo Ministério da Ciência, Tecnologia, Inovação e Comunicação (MCTIC) de que a ANPD terá "superpoderes".

Quais seriam eles?

"Há um ponto na lei com o qual não é possível transigir: a perspectiva de auditorias em banco de dados sem autorização judicial. Nenhum governo deveria ter algum poder de fazer auditorias em bancos de dados. Não é saudável dar uma autorização dessa", exemplifica Thiago Camargo, titular da Secretaria de Políticas Digitais (Sepod, antiga Sepin, ligada ao MCTIC).

Em outros países, no entanto, esse poder de auditoria concedido às autoridades de proteção de dados tem sido essencial para investigações recentes, como o caso envolvendo a Cambridge Analytica.

Na opinião de Bruno Gencarallei, Diretor Geral de Justiça e Consumidores da União Europeia, o receio do secretário só se justifica se a autoridade reguladora não for efetivamente independente. Segundo ele, a ANPD deve ter o poder efetivo de fiscalizar e auditar sistemas, porque as punições devem estar baseadas em evidências.

Corregulaçãoo
Segundo estudiosos do assunto, ao defender o veto aos artigos que criam a Autoridade Nacional de Proteção de Dados (por entender que é necessário que ela seja um órgão regulador "em vez ter as funções de regulação, controle, inspeção e punição simultaneamente"), a Assespro desconsidera um princípio basilar que vem sendo aplicado às legislação de proteção de dados em diversos países, incluindo o GPDR (Regulamento Geral de Proteção de Dados da União Europeia): o da corregulação.

Por esse princípio, cada setor deve colaborar e procurar ajudar o regulador a tangibilizar e definir critérios de avaliação de riscos e as sanções cabíveis.

"É preciso que cada setor identifique os riscos envolvidos em sua atividade, proponha soluções para mitigá-los e implemente essas soluções", comentou Bruno Bioni, pesquisador e integrante da Rede Latino-Americana de Estudos sobre Vigilância, Tecnologia e Sociedade (Lavits), durante o seminário do CGI.br.

"A esperança do que pode-se vir a ter com a LGPD é conseguir mudar a racionalidade regulatória e pensar cada vez mais em ações de colaboração entre o regulador e os atores regulados, para gerar uma demanda econômica, um ecossistema das chamadas Privacy-enhancing technologies", disse Bioni. "A ideia é que não tenhamos só as organizações que processam e controlam os dados desenvolvendo Privacy by Design, mas que tenhamos um ecossistema completo com certificadoras e códigos de boas condutas que balizem a atuação do regulador", completa.

Ou seja, bastante trabalho. Por isso um período de vacância tão longo, de uma ano e meio.

"A aplicação da lei depende desse um engajamento construtivo entre reguladores e regulados", afirmou Bojana Bellamy, do Centre for Information Policy Leadership. "Da mesma forma, é muito importante que a autoridade de proteção dialogue e coopere com outros agentes reguladores existente no país", completou.

"A gente ouviu muito o discurso de que a corregulação seria a ideia de uma lei sem autoridade reguladora, só de um conselho multisetorial. Não. Acho que é preciso deixar claro que essa ideia de racionalidade regulatória colaborativa ou corregulação é hiper dependente de uma autoridade que vai ter poderes sancionatórios e uma estrutura administrativa em termos de independência funcional e, até, financeira", explica Bioni.

Por quê?

"Porque são justamente essas pessoas com expertise que serão capazes de ter essas conversas regulatórias com os atores regulados. E só um órgão independente vai ter capacidade de olhar para os códigos de conduta e dizer se eles estão bem formulados o suficiente para que possa usá-los para calibrar as multas que serão aplicadas", continua Bioni.

"Quando se fala na aplicação da lei, a autoridade pode assegurar um conjunto de soluções mais amplo. Não se trata apenas de uma máquina de multas, ao contrário, ela deve engajar os diferentes setores", argumentou Bruno Gencarelli.

Portanto, com a entrada em vigor da LGPD estamos falando bem mais do que só a ideia de sair punindo infratores. Estamos falando da ideia de estimular bons comportamentos. E premiar comportamentos desejáveis. E para isso a existência de uma autoridade independente é muito importante.

Como será a composição dessa autoridade _ e como ela exercerá o papel a ela atribuído pela legislação _ é algo que ainda cabe ao Poder Executivo definir, independente da possibilidade de veto do Presidente Temer.