Quais os impactos da LGPD para advogados e por que esses profissionais deveriam estar atentos a essa nova legislação? Como se preparar para adentrar ao mercado de privacidade & proteção de dados atual? Encontre as respostas para essas questões e conheça 9 conceitos-chaves que todo advogado precisa saber sobre a LGPD.
Por que você deveria se preocupar com isso?
“Dados são o novo petróleo”. O mantra das últimas décadas ganhou contornos de realidade no Brasil de 2020. A Lei Geral de Proteção de Dados Pessoais (LGPD), finalmente, entra em vigor consagrando dados pessoais a categoria de bem jurídico protegido e regulado pela nova legislação.
Fato é que a regulação brasileira para o tratamento de dados pessoais chegou relativamente tarde e com muitos percalços legislativos. Iniciativas para proteger dados pessoais ao redor do mundo têm sido pauta internacional desde meados de 2010.
De qualquer sorte, seja no cenário interno ou internacional, quem souber fazer uso adequado dos dados pessoais terá vantagem competitiva no mercado, além de mitigar riscos relacionados a multas, litígios judiciais e danos à sua marca.
Atualmente, grande parte de nossas atividades deixam “traços digitais” que poderão implicar na coleta de dados. Seja um click em um anúncio ou o preenchimento de um cadastro para uma compra online, todas essas atividades aparentemente insignificantes estão submetidas às previsões da LGPD. E não apenas isso. A coleta de dados pessoais realizada por meios físicos e manuais, no clássico papel, também enseja a incidência da LGPD.
A essa altura, você advogado já deve imaginar que várias das atividades que são realizadas em um escritório de advocacia ou mesmo aquelas que são praticadas no mercado por seus clientes já estão submetidas à regulação da LGPD.
É exatamente por isso que os advogados deveriam se preocupar: seja em papel, no computador, tablet ou celular, a LGPD se aplica para a vasta maioria das atividades envolvendo o tratamento de dados pessoais. Em resumo, a LGPD se aplica sempre que uma empresa, organização, escritório, etc, recebe, transfere ou armazena documentos, operações ou arquivos contendo dados de pessoas físicas.
Logo, não é necessário ser uma grande empresa de tecnologia para estar submetido à LGPD. Se você elabora contratos, gera folha de pagamento, lida com documentos de partes em processos, entre outros exemplos triviais, seu negócio ou atividade estará, sim, sujeito à incidência da LGPD.
Veja também
A Inteligência Artificial no Poder Judiciário Brasileiro: entendendo a nova “Justiça Digital”
O que está em jogo e por trás do jogo
O debate sobre a utilização adequada dos dados pessoais está relacionado com a construção jus-filosófica do direito à privacidade e proteção de dados ao redor do mundo. Esse debate foi substancialmente acelerado na última década devido a casos emblemáticos de violações como o Cambridge Analytica e seus efeitos sobre o Brexit.
Em 2018, o The New York Times e The Observer reportaram que a Cambridge Analytica utilizou dados pessoais de pelo menos 50 milhões de perfis no Facebook indevidamente com supostos fins eleitorais. Dados de milhões de pessoas foram atingidos em pelo menos 10 países, sem consentimento prévio, implicando em multa pela coleta e armazenamento indevido de dados pessoais.
O escândalo de proporções globais trouxe atenção para a necessidade de proteger dados pessoais e assegurar a privacidade na atual conjuntura. Em que pese a privacidade e a proteção de dados estejam relacionados aos “direitos de personalidade”, essas duas categorias não são sinônimas.
O direito à privacidade conta com larga positivação em instrumentos jurídicos de natureza nacional e internacional. Cite-se, por exemplo, o artigo 12 da Declaração Universal das Nações Unidas (DUDH/1948), o artigo 11 da Convenção Americana de Direitos Humanos (CADH/1969) e a própria Constituição Federal em seu artigo 5º, inciso X.
Entretanto, a privacidade não possui o mesmo escopo e alcance que o direito à proteção de dados, o qual tem abrangência maior, podendo incluir medidas para assegurar a igualdade e a não-discriminação do titular de dados.
O direito à proteção de dados pessoais está ligado ao surgimento da quarta revolução industrial e da sociedade da informação. A partir deste salto tecnológico, percebe-se a necessidade de proteger dados coletados por máquinas que implicariam em uma assimetria de poder entre grandes corporações, Estados e indivíduos considerados “vulneráveis”.
Em um importante julgamento ocorrido em maio de 2020, o Supremo Tribunal Federal entendeu que o direito à proteção de dados pessoais, ainda que não esteja positivado na Constituição Federal, constitui bem jurídico elevado à categoria de direito fundamental. A Corte consagrou o reconhecimento de um direito autônomo à proteção de dados pessoais, destacando a inexistência de “dados pessoais neutros” e alertando para os riscos das tecnologias de vigilância sobre particulares, bem como da erosão do regime democrático.
Assim, a grande questão consiste em compreender a assimetria de poder existente entre particulares em face das grandes corporações e do próprio Estado na coleta de dados pessoais, corroborando a necessidade de um debate ético e jurídico sobre o tema.
É evidente que quanto maior o escopo de dados pessoais coletados e utilizados para fins indevidos, maior será o risco de criarmos uma “sociedade de autômatos”: cidadãos e usuários altamente manipuláveis, induzidos ou incitados a comportamentos específicos e direcionados. O risco ainda mais premente é o de manipulação da opinião pública e, por conseguinte, do esfacelamento da própria democracia. Assim, para além da necessidade urgente de adequação à LGPD, são esses os principais riscos e variáveis que estão em jogo e por trás do jogo.
9 conceitos-chave para começar com a LGPD
Entendidas as premissas que guiam as transformações da privacidade e da proteção de dados, cabe dizer que as atividades que tratam dados pessoais devem passar pelo crivo da LGPD. Isso impõe a necessidade de que os advogados conheçam, ainda que minimamente, seus conceitos principais e as medidas para salvaguardar os direitos dos titulares. Neste ponto, é imprescindível entender os seguintes conceitos-chaves da LGPD:
Dado pessoal
Dado pessoal é todo dado que identifique ou possa identificar uma pessoa natural.
Nesta categoria estão abrangidos todos os dados que possam ser relacionados a uma pessoa dentro de um contexto específico, desde documentos, números e endereços, até a utilização de cookies dentro de um site na web.
Nem todo dado pessoal está sob o domínio e a incidência da LGPD. Conforme dispõe o artigo 4º da LGPD, existem exceções para as quais a lei não se aplicará, tais como dados utilizados com fins artísticos, acadêmicos, jornalísticos, etc.
Dado pessoal sensível
É imprescindível determinar se a empresa, organização, escritório, etc, realiza a coleta de dados pessoais sensíveis e de crianças ou adolescentes.
Os dados pessoais sensíveis são dados de especial destaque e proteção jurídica dentro da LGPD. Conforme dispõe seu artigo 5º, II, são dados relativos à “origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico”.
Note-se que esses dados possuem centralidade na norma, uma vez que podem ensejar a discriminação do seu titular.
Finalidade
É imprescindível entender com qual finalidade o tratamento dos dados é feito. A lei preceitua que as empresas, organizações, escritórios e outros agentes de tratamento devem minimizar a coleta de dados sempre que possível, coletando dados necessários, razoáveis e adequados às finalidades da atividade ou negócio.
Base legal
É necessário enquadrar sua coleta de dados pessoais em alguma base legal prevista pela LGPD. O consentimento não é necessário na maioria das situações. A LGPD trabalha com várias bases legais para realização da coleta de dados pessoais triviais. É importante que o advogado estude quais são as bases adequadas a sua atividade e aos negócios de seus clientes.
Atuação transparente
É importante atuar com transparência e accountability perante o titular, explicando, sempre que possível, o modo de processamento dos dados e medidas adotadas para a sua proteção.
Neste sentido, caso o agente de tratamento faça a utilização de aplicações de Inteligência Artificial, o titular terá direito de solicitar a revisão dessas “decisões” tomadas unicamente com base em tratamento automatizado.
Prazos
É necessário imputar prazos para o armazenamento e descarte dos dados pessoais segundo o contexto do negócio ou atividade. Esse tempo deverá levar em consideração as necessidades da empresa e as obrigações legais e regulatórias que serão desempenhadas futuramente pelo agente de tratamento, isto é, pela empresa, escritório, organização, etc.
Compartilhamento de dados
É necessário avaliar se há compartilhamento de dados, transferência internacional de dados ou operações entre joint-controllers. Para este caso, normas específicas da LGPD serão aplicadas exigindo medidas de salvaguarda e responsabilização.
Canais de comunicação
É imprescindível instituir canais de comunicação por meio dos quais o titular de dados poderá exercer seu direito ao acesso de dados, retificação ou exclusão. Assim, caso o titular deseje saber quais são os dados armazenados sobre ele, demandar a sua correção ou exclusão, deverá contar com canais específicos para tanto.
Encarregado de Dados Pessoais ou DPO
É necessário que as empresas, organizações ou serviços que se enquadrem como agentes de tratamento, ou seja, aqueles que coletam dados pessoais, nomeiem um “Encarregado de Dados Pessoais” ou “Data Protection Officer (DPO)”.
Este encarregado deverá ser responsável pelas operações de tratamento, além de realizar a interface com os titulares, bem como atender a Autoridade Nacional de Dados Pessoais (ANPD) sempre que necessário.
Preparando-se para o Mercado da Privacidade & Proteção de Dados
Primeiramente, o advogado ingressante neste mercado deverá compreender o modelo de negócios em adequação para melhor estabelecer o plano de implementação aplicável, as políticas e documentos necessários, conforme exigido pela LGPD e boas práticas internacionais.
Isto posto, é possível perceber como este profissional deverá ser interdisciplinar, reunindo conhecimentos e competências de vários ramos do saber que não apenas o Direito. É recomendável que este profissional conheça temáticas importantes como Direito e Inteligência Artificial, cybersecurity, estruturação de programas de compliance, gestão de riscos, entre outros.
Se você tem interesse em saber exemplos de como a Inteligência Artificial já vem sendo aplicada no Direito, baixe o e-book abaixo!
No que tange às competências, é imprescindível que este profissional exercite o pensamento sistêmico a fim de entender todo o contexto do negócio em questão e realizar o levantamento de dados ou “data mapping” de forma integrada e completa.
Assim, habilidades de comunicação e empatia são fundamentais para advogados neste novo cenário. Saber dialogar com diferentes atores de distintos repertórios, comunicando-se de forma clara e precisa, é um componente essencial neste processo. Trata-se de uma reinvenção da postura do advogado, que deve ser aproximado de seu interlocutor para que possa atuar com uma visão integrada.
Para tanto, seu papel não mais se restringe ao que é efetivamente previsto em normas jurídicas ou precedentes, mas, contribui para a orientação, mediação, alerta e direcionamento dos riscos no que tange ao universo dos dados pessoais.
Neste ponto, as atividades de implementação da LGPD e consultorias para o fornecimento de Programas de Compliance em Privacidade & Proteção de Dados têm despontado no mercado brasileiro atual. É importante mencionar que, a implementação da LGPD não é algo que se possa fazer “da noite para o dia”. Tampouco é uma atividade que termina em um determinado ponto ou momento.
A LGPD preceitua que as empresas, organizações, escritórios, etc, se adequem a fim de garantir os direitos dos titulares, elevados a categoria de direitos fundamentais. Por conseguinte, o monitoramento e a avaliação contínua das políticas e mecanismos de tratamento devem ser integrados à rotina de empresas e organizações. Trata-se de um serviço oferecido com acompanhamento constante e contínuo, consolidando as projeções deste mercado para o futuro.
Além disso, os casos de vazamento de dados, entre outros incidentes de segurança da informação, poderão aquecer o mercado de serviços jurídicos litigiosos dentro em breve.
Algumas ações contenciosas já têm sido vistas no Poder Judiciário, utilizando a LGPD como causa de pedir ou fundamento legal.
Adicionalmente, o oferecimento de vários tipos de metodologias para adequar negócios, já vem sendo observado no mercado de serviços jurídicos.
Com boas projeções para os próximos anos, advogados especializados em privacidade, cybersecurity e DPOs já estão em alta demanda, assim como os cursos, treinamentos e especializações.
De qualquer modo, ainda que você, advogado, escolha por não atuar neste mercado deverá estar atento à incidência da LGPD sobre as suas atividades profissionais. A grande maioria dos serviços jurídicos atua mediante a coleta e armazenamento de dados pessoais triviais e sensíveis, seja com fins contenciosos, extrajudiciais, comerciais ou de departamento pessoal.
Assim, a LGPD nos parece um futuro inescapável. Para além das questões de adequação, urge que profissionais do Direito atuem em prol da concretização dos direitos à privacidade e proteção de dados no Brasil atual.
