O Dia da Proteção de Dados foi criado pelo Conselho da Europa em 2006. É comemorado no dia 28 de janeiro, quando foram abertas as assinaturas da Convenção n° 108/1981 do Conselho da Europa sobre a proteção das pessoas em relação ao tratamento automatizado de dados. Encerrando a iniciativa global da Semana da Proteção de Dados Pessoais, a data é comemorada para incentivar e fomentar a cultura de proteção de dados pelo mundo.

Trata-se de uma ótima oportunidade para discutir pontos importantes sobre o assunto e para identificar as principais questões que deverão ser enfrentadas pelas empresas em 2022. A começar pelos negócios, muitas empresas já estão em uma nova fase em relação ao tema. Passaram pela etapa inicial de implementação da legislação, em especial da Lei Geral de Proteção de Dados Pessoais (LGPD), e agora precisam manter um sistema de gestão de privacidade e proteção de dados que seja consistente e capaz de atender às exigências da lei.

O que o Dia da Proteção de Dados nos lembra é que a tarefa pode ficar mais simples se a cultura de privacidade for de fato implementada. O tema é vivo. Mais que políticas e objetivos bem definidos, a adoção de atividades diárias em prol da privacidade é imprescindível.

Na fase atual, o privacy by design fica ainda mais relevante. Além de revisar e atualizar as matrizes de risco e os registros das operações de dados pessoais (record of processing activities), ou mesmo buscar maior nível de detalhe nos contratos, espera-se que a proteção de dados pessoais seja uma marca de cada iniciativa. Decisões sobre a finalidade da utilização dos dados pessoais, a identificação de quais dados são necessários, maneiras de alcançar a máxima transparência com o titular dos dados e formas de estabelecer altos níveis de segurança são bons exemplos. Para isso, os profissionais de privacidade precisam ser envolvidos desde o início de cada ação.

A função do Encarregado de Proteção de Dados Pessoais, ou Data Protection Officer (DPO), tende a ser cada vez mais consolidada. Parâmetros sobre como estruturar o exercício da função ficam mais claros a cada dia.

As sanções aplicadas na Europa nos últimos meses podem ter importantes reflexos no Brasil. Além dos casos de não nomeação do profissional,[1] as sanções têm confirmado a importância de que o encarregado seja envolvido de forma suficiente no assunto. Também recomendam que não haja o acúmulo de funções ou situações de falta de estrutura administrativa e autonomia. Potenciais conflitos de interesse também devem ser evitados.

Por exemplo, em dezembro, a autoridade belga de proteção de fados (APD), reconheceu o conflito de interesses e aplicou multa de 75 mil euros a uma instituição financeira porque o DPO nomeado era também head do departamento para o qual o DPO deveria reportar suas atividades. Em outro caso, a autoridade de Luxemburgo (CNPD) aplicou multa de 15 mil euros em razão do não envolvimento do DPO em todos os assuntos relacionados a dados pessoais, da falta de autonomia dele no exercício da função e do fato de o profissional não ter recebido o treinamento adequado para desempenhar suas atividades.

O ano também tende a trazer uma Autoridade Nacional de Proteção de Dados (ANPD) cada vez mais atuante. A ANPD deve emitir novos guias orientativos com nuances de sua interpretação sobre a LGPD, na linha do que foi feito com o Guia Orientativo sobre Agentes de Tratamento e Encarregado e a publicação Segurança da Informação para Agentes de Tratamento de Pequeno Porte.

Além disso, em mais uma postura pedagógica elogiável, a Autoridade iniciou em janeiro de 2022 seu primeiro ciclo de monitoramento, com a análise da conformidade das empresas e dos riscos regulatórios e a adoção de práticas para coibir irregularidades e fomentar a cultura de proteção de dados.

Ganha especial destaque o fato de que 2022 é também um ano eleitoral. Passa a ser muito relevante entender a proteção de dados pessoais nesse contexto, considerando que o processo político-eleitoral envolve a circulação de um grande volume de dados pessoais e será o primeiro no país após a vigência da LGPD, que deve ser integralmente cumprida.

É fundamental entender os principais pontos a serem considerados por todos os principais agentes desse processo (candidatos, candidatas, partidos políticos etc.). Para ajudar nessa tarefa, a ANPD e o TSE lançaram em conjunto o guia orientativo sobre a Aplicação da Lei Geral de Proteção de Dados Pessoais (LGPD) por Agentes de Tratamento no Contexto Eleitoral. Entre outros pontos, a publicação explora o cenário, as principais bases legais que respaldam as operações e diretrizes de responsabilização para canais de exercício dos direitos dos titulares e de prevenção e segurança.

O compliance com a LGPD no contexto eleitoral passa pela definição do papel do agente de tratamento (se controlador, operador ou cocontrolador). Partidos políticos e grupos que realizam as campanhas político-partidárias são estruturados das mais diversas formas, e os papéis dos agentes devem ser precisamente definidos para se saber o que deve ou não ser cumprido.

Também é importante atentar para o uso dos dados pessoais nas campanhas políticas se esses dados tiverem sido coletados antes para outras finalidades (por exemplo, dados presentes em petições coletivas – abaixo-assinado - sobre um determinado tema). Nesses casos, impõe-se o cuidado com o risco de desvio de finalidade. Os dados podem ser usados apenas em situações nas quais os propósitos guardam relação próxima com os motivos da coleta ou quando há consentimento do titular para fins de campanha.

Outra questão sensível é a realização de profiling por partidos políticos, candidatos ou candidatas. É quando os eleitores são classificados em diferentes grupos ou setores, por meio do uso de algoritmos que identificam relações entre diferentes comportamentos e características dos titulares de dados pessoais. Isso permite direcionar a publicidade política muito melhor.

A situação não é vedada, mas é relevante que o agente de tratamento adote medidas de salvaguarda e cumprimento da legislação. Entre elas, é importante que revise suas políticas para que a situação fique muito clara para os titulares, atente para a correção dos dados utilizados, não colete dados além dos necessários e não os mantenha por mais tempo que o necessário para tal finalidade.

A experiência estrangeira também traz balizas interessantes em relação ao tema. Destacam-se, por exemplo, as orientações da autoridade de proteção de dados do Reino Unido (ICO)  e a recente Opinião 2/2022 do European Data Protection Supervisor (autoridade independente de proteção de dados da União Europeia) sobre o tema.

Outro tema cada vez mais relevante e diretamente associado ao propósito do Dia de Proteção de Dados é o incidente de privacidade. A depender do perfil, ele é mais conhecido como vazamento de dados, mas representa qualquer situação, de baixa ou alta relevância, em que a confidencialidade, integridade ou disponibilidade dos dados pessoais ficam comprometidas.

Com o crescimento no número de situações no último ano, é altamente relevante que as empresas adotem medidas preventivas, não só em matéria de segurança da informação, mas também em relação à governança, contando com um plano de resposta e remediação a incidentes que seja capaz de mitigar os riscos e conter os danos.

Papéis bem definidos na identificação e resposta, exercícios simulados, prestadores de serviço pré-contratados para a gestão da crise e uma correta avaliação da gravidade do incidente com base em critérios confiáveis são algumas das medidas cada vez mais adotadas.

 

Tema afeta todas as novas tecnologias

 

O Dia da Proteção de Dados também nos lembra de uma das características mais relevantes do tema: sua transversalidade em relação a todas as novas tecnologias e práticas. É o caso, por exemplo, do uso crescente de mecanismos que se valem de inteligência artificial e que têm os dados pessoais como matéria-prima. Se for feito o tratamento de dados pessoais, a LGPD precisará ser respeitada, sobretudo com a definição da finalidade precisa da operação, a utilização apenas dos dados necessários para a finalidade e o entendimento da justificativa legal que respalda o uso da ferramenta.

A elaboração de Relatórios de Impacto à Proteção de Dados Pessoais específicos, com riscos e salvaguardas adotadas, pode ser muito útil, demonstrando a preocupação e a diligência da empresa em relação ao tema. Além disso, é importante que os processos de decisão automatizada que se valham de dados pessoais tenham mecanismos de revisão da decisão, já que ela é um direito do titular dos dados pessoais envolvidos, conforme art. 20 da LGPD.

Há também o risco de práticas discriminatórias abusivas ou ilegais decorrentes do tratamento automatizado de dados pessoais, o que é vedado pelo art. 6°, IX, LGPD. Isso exige a definição de frameworks para tais mecanismos, bem como a supervisão não só dos dados coletados ou informados às ferramentas como de todo o processamento. A recente norma ISO IEC 24.027:2021 traz importantes parâmetros para mitigar o risco de resultados enviesados.

Comemoremos a cultura de proteção de dados pessoais da melhor forma: relembrando sua importância e compreendendo seu momento para os negócios.

 

[1] Disponível em: https://www.aepd.es/es/documento/ps-00231-2021.pdf. Acesso em: 24/01/2022;