Bernardo Araujo
Pretende-se apresentar uma metodologia[1] resumida das etapas de uma análise de risco em programas de conformidade à LGPD (Lei nº 13.709/2018) que, sem descartarem uma visão holística, buscam objetivamente (i) avaliar riscos por meio de relatórios de impacto nos casos obrigatórios e de alto risco; (ii) orientar remediações; (iii) limitar a exposição em tratamentos sensíveis; (iv) otimizar os desenhos contratuais; (v) enquanto se organiza para eventuais requisições e depósitos; (vi) protegendo-se de ações decorrentes da aplicação direta da LGPD.
A abordagem baseia-se fortemente nos conceitos apresentados no GDPR e nas recomendações das autoridades europeias, contudo, com tempo e budget reduzidos, e considerando a atuação em território nacional, prioriza remediações e cumprimentos regulatórios da LGPD[2].
Em poucas palavras, adequar-se à LGPD envolve o desenvolvimento de projetos de revisão dos processos de captação das informações pessoais, ou melhor, a releitura da comunicação e da transparência com os indivíduos acerca das informações captadas e as razões para tal. Avalia-se a natureza do tratamento, a finalidade e a utilização das informações em contexto e em concreto, conduzindo testes de proporcionalidade, adequação e necessidade.
Em seguida, são traçados limites para os usos de dados intra-áreas, levando em conta o consentimento específico, a base legal que fundamenta o tratamento e as características dos bancos de dados e dos usos pretendidos. Para resumir as etapas, o passo a passo pode ser explicado em três fases: (i) mapeamento, treinamento e avaliação dos riscos; (ii) descrição das operações de processamento de dados e confecção de relatórios regulatórios e não regulatórios; (iii) redesenho da comunicação, dos contratos e do posicionamento em relação à privacidade e proteção de dados.
Na primeira etapa, busca-se o treinamento das equipes, o mapeamento de processos e bancos de dados. Conduz-se uma avaliação inicial com os objetivos gerais de entender o grau de exposição, a sensibilidade e os verdadeiros riscos a que a organização está submetida. Aqui, apresenta-se o status do risco associado a um possível tratamento indevido, recomendando-se iniciativas que possam limitar (i) a exposição, (ii) a responsabilidade e (iii) o risco reputacional.
Mostra-se proveitoso apresentar o panorama geral da economia data-driven, dos novos modelos de negócio e as potencialidades das tecnologias emergentes. Em situações ideais e em longo prazo, recomenda-se que os projetos de adequação sejam recebidos internamente como poderosas ferramentas de revisão, modernização dos sistemas, dos procedimentos internos, da inteligência organizacional, (re)posicionando a empresa frente às transformações da economia data-driven.
Escutar colaboradores, desenvolver propósito nas equipes, desierarquizar estruturas e “desfriccionar” processos[3] estão na ordem do dia para o C-Level[4].
Para o escopo proposto, os principais produtos de um assessment inicial agile são relatórios que apontam as fragilidades, ao mesmo tempo em que indicam ações para a sua remediação. Não adianta entender o nível de maturidade da empresa e tentar implementar transformações estruturais – que muito provavelmente envolvem sinergia com outras adequações sofisticadas, como os programas anticorrupção, ética, digitalização e inovação –, sem minimamente evitar sanções administrativas e estar preparado para as requisições e demandas decorrentes da aplicação direta da LGPD e, coletivamente dos demais entes supervisores, como o Ministério Público e as entidades de proteção do consumidor, além da enxurrada de ações individuais da combinação CDC <S2> LGPD. Neste ponto, menos compliance e mais contencioso regulatório.
Em princípio, análises de risco[5] são muito semelhantes e podem ser resumidos em seis etapas: (i) criar o contexto ou definir o escopo; (ii) identificar riscos; (iii) analisar; (iv) avaliar; (v) gerenciar; e (vi) monitorar. Essas etapas do gerenciamento de riscos podem ser implementadas de maneira muito diferente na prática, dependendo do escopo e do método usado. Métodos quantitativos, qualitativos ou mesmo formas misturadas podem ser usados para determinar as medidas para garantir um nível adequado de proteção; ou ao menos um risco aceitável.
Nesse contexto, é bom lembrar que as legislações de segurança de dados são baseadas em processos contextuais e tolerantes a danos, desde que os procedimentos para minimizar os riscos tenham sido implementados ex ante, além de orientados pelas melhores práticas de governança. As leis tendem a exigir processos razoáveis que diminuam a probabilidade de dano, mesmo que as ameaças sejam remotas.
Por isso, sob olhares conservadores, mas não alarmistas que entravam negócios, recomenda-se que as organizações se adequem a partir de análises realistas acerca do verdadeiro grau de exposição; ou seja, por meio de um projeto sincero que elenque rapidamente os tratamentos que merecerem especial atenção. Em tom opinativo, são eles: (i) os que envolvem dados pessoais sensíveis (art. 5º, II c/c art. 11, II) e (ii) aqueles cujos tratamentos estão fundamentados em apenas uma das bases legais de maior risco, as quais para o escopo das organizações de médio porte e poucos tratamentos sensíveis, consistem nos incisos I (consentimento) e IX (legítimo interesse) do art. 7º da LGPD.
Há especial atenção para os tratamentos fundamentados única ou primariamente no consentimento e no interesse legítimo do controlador, pois escorar-se no interesse legítimo traz consigo os riscos atrelados à indefinição dos critérios, enquanto basear-se no consentimento carrega uma série de obrigações decorrentes da gestão temporal do consentimento, além de uma considerável exposição aos direitos dos titulares.
É bom frisar que os assessments geralmente são segmentados em fases, as quais podem ser priorizadas a partir das particularidades de cada caso.
Como são ofertadas a organizações dos mais variados setores, com preocupações e urgências diferentes, devem naturalmente ser flexíveis. Por exemplo, tratamentos com dados sobre saúde, crianças e adolescentes, utilizações para profiling, monitoramento e modulação de pessoas, marketing direto e soluções tecnológicas inovadoras, além de outros usos sensíveis, demandam adequações muito mais complexas, normalmente exigindo as avaliações por PIA (privacy impact assessment) e confecção de relatórios como o LIA (legitimate interest assessment) e o DPIA (data protection impact assessment).
Acredita-se que, quando houver a indicação de tratamentos suscetíveis de implicar em um elevado risco para os direitos e liberdades dos titulares, além das hipóteses de tratamento de dados sensíveis e de crianças e adolescentes, já é prudente iniciar a estruturação do framework de um DPIA (Data Protection Impact Assessment), terminologia no GDPR, ou RIPD (Relatório de Impacto à Proteção de Dados) na LGPD. Além de ser uma obrigação regulatória, ele organiza e contribui com outras fases do projeto, permitindo uma segunda validação em etapas futuras, como em contratos de transferência de dados, acordos de uso de nuvem e contratos de processamento de dados, com imposições bem definidas aos sub-processadores.
Boas orientações estabelecem que um DPIA deve ser executado quando houver dois dos seguintes itens: (1) uso de tomada de decisão automatizada com efeito legal ou significativo; (2) avaliação da pontuação dos titulares dos dados, incluindo por exemplo avaliação do desempenho do trabalho, rankings, etc; (3) monitoramento sistemático; (4) processamento de dados sensíveis (que os empregadores terão); (5) processamento de dados em larga escala; (6) processamentos de dados de titulares vulneráveis (que pode incluir funcionários); (7) transferência internacional de dados; (8) envolver uso ou aplicação inovadora de soluções tecnológicas; (9) envolver processamento que impeça que um titular exerça algum direito.
A decisão sobre um determinado processamento ser, de fato, de “alto risco” deve ser determinada à luz das circunstâncias específicas em questão, levando em consideração a capacidade de mitigar um “alto risco”, por exemplo, em contextos em que a ausência dessa capacidade desencadearia o requisito de “consulta prévia” da autoridade.
Contudo, as organizações poderão “refutar” a presunção de que o processamento é de alto risco por meio de uma avaliação que leva em consideração o escopo, o contexto, a natureza e o objetivo do processamento específico, além da comprovação de que reduziu ao máximo possível a ocorrência de danos, tendo agido norteada pela precaução e diligência. Calcula-se o nível de risco real, ou seja, a “probabilidade” e a “gravidade” de haver qualquer dano, expondo para a organização a viabilidade de, em certos casos, valer a pena se expor ao risco em troca dos benefícios da aplicação.
Uma vez delimitada a quantidade de processamentos classificados como de risco, busca-se buscar mitigar as vulnerabilidades com os times, minimizando intervenções agudas nas estruturas, por meio da otimização de protocolos que envolvam dados não sensíveis, e a extensão da segurança e da confidencialidade acerca do tratamento dos dados sensíveis; não se esquecendo de documentar todas as medidas adotadas, kits de documentos finais que carinhosamente chamamos de “Data Protection First Aid Kit”.[6]
Além das tarefas desempenhadas nas fases iniciais, o resultado precisa envolver a confecção de documentos e políticas específicas a serem utilizados como modelos, condensadas em cláusulas contratuais, regras corporativas vinculativas, códigos de conduta, além de salvaguardas apropriadas para a transferência (internacional) de dados e para hipóteses de incidentes de vazamento.
Em cenário de iminência de entrada em vigor da LGPD, somos da opinião de que se deve seguir uma abordagem abrangente e ágil de privacidade e proteção de dados para garantir que as organizações não sejam inadvertidamente expostas a riscos indesejados a partir de agosto de 2020. Norteando-se pela perfeição sem se apegar demais a ela[7], devem ser adotadas medidas para garantir que todos os riscos relacionados à privacidade sejam minimizados para um nível aceitável. Propõem-se especial atenção também às tendências tecnológicas e regulatórias emergentes e seus impactos nos setores específicos.
Levando em conta que as etapas do projeto podem ser suprimidas ou adiadas a depender do grau de maturidade, e a ordem das intervenções alteradas em casos de urgência ou quando requisitado pela organização, acredita-se que, no particular de empresas com tratamentos majoritariamente de médio risco (ou sempre que possível ao decorrer de projetos mais complexos), deve-se priorizar serviços que conjuguem três das etapas em duas: uma metodologia ágil de privacidade e proteção de dados que prioriza os altos riscos, documentando exaustivamente as medidas adotadas.
A ideia é se antecipar à blitzkrieg da privacidade.
—————————————————————————————————————-
[1] Este texto é um resumo de estudo vindouro denominado “LGPD Flash: metodologia ágil para riscos em privacidade e proteção de dados”.
[2] A lei brasileira aparenta ser um instrumento essencialmente baseado em comando e controle, com face de modelo de regulação direta exercida por autoridade administrativa. Cf.: KELLER, Clara Iglesias. Regulação nacional dos serviços na internet: exceção, legitimidade e o papel do Estado. Rio de Janeiro: Lumen Juris, 2019. p. 238.
[3] Para entender a utilização de ciência comportamental a fim de melhorar estruturas organizacionais e levar colaboradores e consumidores a tomarem preferencialmente certas decisões pretendidas, é fundamental dominar os conceitos de “nudge” e “sludge”. Sobre o tema ver: SUNSTEIN, Cass. In“ Why Nudge? The Politics of Libertarian Paternalism” e “Libertarian[sic!] Paternalism”, e “Nudge, Not Sludge”, e “Sludge Audits”, e “Fifty Shades of Manipulation”, e ““Libertarian Paternalism is Not an Oxymoron”, e “A Behavioral Approach to Law and Economics.”
[4] HALPERN, David. Inside the Nudge Unit: how small changes can make a big difference. IBooks.
[5] Sobre análises de risco, conferir o White Paper do Center for Information Policy Leadership (CIPL) disponível em: https://iapp.org/media/pdf/resource_center/cipl_gdpr_risk_21_dec_2016.pdf .
[6] Em apertada síntese, tais “kits” consistiriam na documentação dos processos de avaliação de riscos, o cumprimento dos requisitos regulatórios, as recomendações adotadas, além do processo de construção das políticas de governança, passos que devem ser documentados para resguardo. Devem ser documentados – sob alta confidencialidade – os pareceres adotados, a extensão das opiniões legais, eventuais manifestações de DPOs e consultores. Somam-se à lista as medidas extras de segurança criadas e os esforços de minimização, anomização e pseudonimização empregados. Além destes, também devem ser anexados ao kit os contratos confeccionados com terceiros envolvidos nos tratamentos, eventuais provas de consentimento, alterações comunicacionais propostas, além dos resumos das razões utilizadas no sopesamento dos testes de legitimidade, adequação, necessidade, finalidade, proporcionalidade etc, realizados ao longo do projeto.
[7] RUBINSTEIN, Ira. Hartzog, Woodrow. Anonymization and Risk. 91 Washington Law Review 703 (2016); NYU School of Law, Public Law Research Paper No. 15-36. p. 5. Disponível em: https://ssrn.com/abstract=2646185.