LGPD: origem e questionamentos, por Sérgio Junqueira*
Conhecer os desejos dos clientes para aprimorar sua experiência de compra e garantir sua fidelização virou questão de sobrevivência. Neste novo mundo, os dados pessoais passaram a ser extraídos como um recurso natural, pois, ao serem analisados através do uso de inteligência artificial (AI), permitem que as empresas sejam mais assertivas em suas ofertas, ampliando os ganhos futuros.
À medida em que a importância da gestão de dados cresce, aumentam também os riscos de rompimento das barreiras éticas para sua obtenção. Tornou-se, portanto, prioridade abordar questões sobre quem os controla, quem são os beneficiários e, acima de tudo, quem é responsável por proteger a privacidade e as informações pessoais. Diversos países lançaram mão de novas legislações neste sentido, como é o caso do Brasil, com a recém-aprovada Lei Geral de Proteção de Dados (LGPD).
A LGPD é baseada na legislação europeia, e tem como objetivo de aumentar a privacidade de dados pessoais e o poder das entidades reguladoras para fiscalizar organizações. Por dado pessoal, a lei entende como toda e qualquer informação, que permita identificar diretamente uma pessoa, ou se cruzada com outros dados, permita sua identificação. O tratamento e uso destes dados devem seguir dez princípios que envolvem desde a transparência na coleta e finalidade de uso à segurança e prestação de contas.
Uma das principais questões é finalidade. A coleta do dado deve ter um propósito legítimo, específico, como, por exemplo, a concessão de crédito. Ao mesmo tempo, é preciso ter em mente que não se deve exigir mais dados do que o necessário para o cumprimento daquela finalidade (adequação e utilização). A lei envolve também a prevenção, não discriminação e responsabilização. Ainda há a necessidade de garantir o livre acesso do titular dos dados, caso ele queira saber o que foi feito com as informações que concedeu.
A lei abrange a necessidade de segurança e tratamento dos dados e exige das empresas as melhores práticas. No entanto, a regulamentação, que entrará em vigor a partir de 2020, deve ainda ser complementada pela criação da Autoridade Nacional de Proteção aos Dados. A autarquia estava prevista no texto original, mas foi vetada pelo ex-presidente Temer e sua aprovação depende de votação de uma Medida Provisória no Congresso.
Outro questionamento é que, mesmo com a autarquia em pleno funcionamento, a definição de melhores práticas é subjetiva. Por conta da evolução da tecnologia, torna-se difícil ao legislador elencar quais medidas as empresas serão obrigadas a adotar. Legislar em cima de algo tão mutável, é é um processo contínuo. Na prática, a lei exigirá que as empresas zelem pela segurança dos dados, mas a cada nova medida de proteção que as instituições adotam, alguém está trabalhando para quebrar a barreira e outras precisam serem elaboradas.
Como garantir então que as instituições estão de acordo com as melhores práticas? A autoridade que vai regulamentar saberá quais são? Ao mesmo tempo que a legislação não tem condições para especificar quais as medidas de segurança exigidas, há uma série de sanções previstas. Como aplicar uma multa bilionária em uma empresa atacada por um hacker que poderia invadir os sistemas mais seguros?
Não há dúvidas sobre a importância da LGPD, pois, no mundo atual, dados são o novo petróleo. Exigir o mínimo de transparência e responsabilidade das empresas, como a divulgação de um plano de contingência, a definição de plano de segurança, a capacitação dos colaboradores já é um movimento positivo. Entretanto, a subjetividade é o grande calcanhar de Aquiles.
* Sérgio Junqueira é diretor de Operações de Software da Sinqia.