A Esfinge desafiava os transeuntes da cidade de Tebas com o seguinte enigma: “que animal anda pela manhã sobre quatro patas, à tarde sobre duas e à noite sobre três?”
A resposta moderna para essa pergunta seria: a LGPD.
Por Paulo Vidigal
Hoje, após um bom número de apresentações e bate-papos sobre a LGPD, para os mais diversos públicos, já estou vacinado contra perguntas que sempre surgem ao final da exposição.
A lista mental é bastante extensa e certeira. Confiram alguns exemplos:Explico…
– Essa lei se aplica apenas a dados de pessoas físicas ou também de pessoas jurídicas? E no caso de microempreendedor individual? E EIRELI?
– Vem cá… e o governo? Também está submetido a esse negócio?
– E os birôs de informações nisso tudo, vão sobreviver como?
Entre essas e outras há também a indagação – super pertinente – que, repetida tantas vezes, inspirou esse breve artigo: que diabos faço com a minha base legada?
Ocorre que a LGPD esconde uma régua interessante e desafiadora, que não pode ser ignorada nos trabalhos de adequação. Muito se fala dos impactos multisetorial e multilateral da LGPD, mas por vezes se esquece do impacto multitemporal.
De fato, ao abordar a conformidade, há 3 momentos significativos que devem ser considerados: o passado, o presente e o futuro. Tendo em vista que os agentes de tratamento são verdadeiros organismos vivos, de nada adianta sacar uma fotografia do momento inicial de adequação e tratar com afinco aquela realidade, sem dedicar especial atenção a esses distintos marcos.
Dito isso, como fazemos? Como abordamos cada um desses momentos de maneira eficiente?
Em síntese, a experiência aponta para os seguintes remédios:
Passado (“o que faço com os dados que já reuni?”):
Antes de qualquer ação impulsiva (deletar a base de dados ou disparar e-mails a todos os clientes para renovar consentimento), temos de lembrar que há previsão legal específica, no artigo 63 da LGPD, que indica que a Autoridade Nacional estabelecerá normas sobre a adequação progressiva de bancos de dados constituídos até a data de entrada em vigor da lei, consideradas a complexidade das operações de tratamento e a natureza dos dados. Mas, além desse relativo conforto, há campo para tomarmos medidas contundentes, conforme detalharei mais a seguir.
Presente (“o que faço com as atividades cotidianas?”):
Um conselho, nesse momento, é fingir que a LGPD já está em vigor. Nada, portanto, deve ocorrer em contrariedade a essa lei. Contudo, não se podem ignorar as demais legislações vigentes (em especial aquelas setoriais, não tão conhecidas). Um equívoco clássico que se observa, nesse momento, é a utilização desmedida do legítimo interesse como base legal para tratamento (instituto que nasce com a LGPD e cuja aplicação depende da plena vigência da lei), ignorando-se a exigência do consentimento contida no Marco Civil da Internet, por exemplo.
Futuro (” que faço com as atividades que irão surgir daqui pra frente?”):
Para o futuro, considerando que o compliance consiste em tarefa atemporal, sem começo, meio ou fim, instrumentos valiosos são: o monitoramento eficiente e contínuo do Programa de Privacidade, instituído por meio de uma área de Privacy bem estabelecida; a ampla (porém equilibrada, para não burocratizar demais o business) aplicação de Relatórios de Impacto à Proteção de Dados, como forma de medir a temperatura de novos projetos e iniciativas em termos de privacidade, em linha com a estratégia de Privacy by Design; e – não menos importante – a criação de um plano abrangente de treinamentos e conscientização constante.
Base Legada
Feitas as considerações acima, voltemos os olhos ao ponto central proposto nessa reflexão: o que fazer com a base legada?
Com base em minha atuação profissional, até então identifiquei, basicamente, três estratégias em relação à base legada, as quais detalho a seguir:
Estratégia Wait and See:
Nessa estratégia, amparados na previsão do artigo 63 da LGPD, os agentes de tratamento simplesmente esperam para ver as orientações que a Autoridade Nacional dará quanto à adequação progressiva do passivo de dados. Assim, evitam-se quaisquer decisões; a base fica de stand by, na esperança de que a Autoridade Nacional seja sensível o suficiente para determinar um prazo e medidas factíveis para os devidos ajustes. O ponto positivo é que, por meio dessa abordagem, preserva-se a base formada (por vezes, a duras penas); o ponto negativo é a insegurança de se esperar por uma regulação, a qual não se sabe se virá ou, ainda, se será razoável, deixando passar o momento de adequação atualmente vivido, em que os ânimos já estão preparados para a realização de mudanças.
Estratégia Burn it All
Nessa estratégia, mais bruta, simplesmente o agente de tratamento abre mão dos dados que possui. Na Europa, ficou famoso o caso da empresa que administra cadeia de pubs, JD Wetherspoon, que optou por essa linha quando da entrada em vigor do GDPR, ao deletar toda sua base de e-mails de consumidores. Com essa medida, se é verdade que o risco é mitigado, por outro lado pode se ter uma perda significativa de receitas e oportunidades.
Estratégia de Adequação:
Entre os extremos acima, há uma estratégia – mais ponderada – de adequação da base legada. Em minha visão, essa abordagem funciona como um módulo ao projeto de adequação à LGPD e requer os seguintes passos:
1- Consent assessment: com base no assessment regular do projeto de adequação, separam-se os processos que têm como base legal o consentimento. Feito isso, passa-se a analisar a “qualidade” deste consentimento: se este foi obtido em linha com o que a LGPD determina e se foi devidamente registrado e documentado. A ideia aqui é mais ou menos aquela salientada no GDPR, que no Recital 171 determina não ser necessário coletar novo consentimento do titular se preenchidos os requisitos do GDPR.
2- Lawful basis testing: passado o pente-fino acima, é hora de testar se alguma das atividades justificadas em consentimento poderiam ser enquadradas em outras bases legais previstas pela LGPD. Tendo em vista que saímos de um paradigma de protagonismo do consentimento (com o Marco Civil da Internet, principalmente), não raro teremos casos em que poderemos tranquilamente aplicar bases como “execução de contrato” ou “interesse legítimo” (este requer ampla análise do contexto de tratamento, do comportamento e expectativas do titular e dos limites relacionados). Fazendo isso, por meio do reenquadramento, cessa a necessidade de adequação de consentimento.
3- Love me or leave me: por fim, os dados que resistirem aos dois procedimentos anteriores demandarão tomada de decisão do agente de tratamento: ou renova-se o consentimento ou descartam-se os dados. Em lógica de preservação de atividades, entendo que preferencialmente deveremos optar pela renovação do consentimento. Nesse ponto, devem-se analisar o relacionamento do agente de tratamento com o titular dos dados e a jornada deste, de modo a identificar a melhor janela de oportunidade para impactá-lo para fins de renovação, ocasionando o menor abalo possível na relação. Desse modo, evita-se a estratégia pobre de disparar centenas de e-mails e arriscar queimar a base. Isso porque – considerando o consentimento uma “ação afirmativa” – o silêncio do titular impede o tratamento. Então, o e-mail que vai para o lixo, pois inoportuno, em nada contribui para o resgate da base legada.
Conclusão
Como vimos acima, a LGPD abarca uma série de decisões que têm de ser tomadas face a esse novo contexto de ênfase em proteção de dados. Assim, o desafio moderno da Esfinge se coloca à mesa: “decifra-me ou devoro-te”. Não há margem para choro; o tempo urge. Será que estamos preparados?