terça-feira, 26 de janeiro de 2021

MIGALHAS DE PESO

Publicidade

O risco da fragmentação da análise de risco em projetos de adequação e conformidade à LGPD

A lei Geral de Proteção de Dados trata de avaliação de riscos e medidas de mitigação. Segmentar a adequação pode ter o efeito contrário e aumentar o risco de danos aos titulares de dados, reputacionais, patrimoniais e sanções administrativas.

quinta-feira, 3 de setembro de 2020

t

A Lei Geral de Proteção de Dados é inexorável. Tão certo quanto a morte ou pagamento de impostos, ela virá. De início, não a pleno, em face das reiteradas prorrogações do início da vigência bem como da atípica natureza jurídica transitória e consciência geral não posta de que um período propedêutico ou sabático é necessário para o adequado enforcement do sistema legal de proteção de dados no Brasil.

Não importa se os prazos e procedimentos que sucedem a aprovação da Lei de Conversão da Medida Provisória nº 959/2020 vão ser utilizados por completo ou não, a LGPD virá. Não pela força do querer de quem quer que seja, mas sim para evitar que o Brasil fique à margem do crescente, rentável e disruptivo novo modelo de negócio estruturado em dados pessoais pelo fato tratar indiscriminadamente o indivíduo por trás destes não como um titular de direitos, mas como um híbrido de insumo/consumo nos termos da lição de Zuboff.

Há quem ainda insista em acreditar que a LGPD se constitui como mais um óbice à atividade empresarial demonizando-a, todavia, ainda que o fosse, não haverá como se eximir de cumpri-la sob pena de marginalizar-se novel cenário econômico planetário já referido acima, e expor-se a risco que certamente comprometerá as receitas e até mesmo a continuidade dos negócios em virtude de danos patrimoniais e reputacionais decorrentes da coisificação dos dados pessoais.

Em verdade a práticas fora do Brasil, especialmente na Europa, mostram que a adequação incrementa o valuation da empresa na medida em que: aumenta a fidelização nos negócios B2C; fortalece e desenvolve os negócios B2B; melhoram as políticas de governança como um todo; reduz custos a médio e longo prazo; aumenta a eficácia das políticas de marketing e vendas; melhora a sintonia e dinâmica entre as áreas de negócio; e melhora significativamente o nível de compliance e prevenção a fraudes pelo aumento do grau de segurança da operação de modo global.

Os agentes de tratamento entendedores de que a adequação à LGPD vai "subir a régua" do padrão de qualidade corporativo e que vai filtrar o mercado, estão se apressando para fazer o dever de casa e ficar complied, e não vão pagar para ver se iniciativas como a do Deputado Federal Eduardo Bismarck, que aventou vigência da LGPD para 2022, vão vingar, ou ainda se a torcida contra o enforcement legal vai conseguir mudar o destino do cenário econômico mundial.

Buscando a adequação, muitos desses agentes de tratamento têm se deparado com soluções mirabolantes ou miraculosas que prometem adequação ao estilo lineup de startups ou algo ainda mais perigoso: a apresentação de solução de adequação encerrada em plataformas tecnológicas, análise de risco jurídico ou governança organizacional de modo estanque.

Meu coração se enche de compaixão por aqueles que estão embarcando nesse Titanic ao tempo em que tenta se encher de misericórdia por quem está vendendo isso sem informar de modo claro e transparente que o agente de tratamento continuará sob perigo real e imediato de violar normas de proteção de dados pessoais e assim sujeitar-se a danos vários. 

Explico: aqueles que estão abraçando tais propostas de mitigação de riscos via solução OU técnica/tecnológica OU jurídica OU organizacional, estão aportando recursos e tempo na crença de que estão se adequando e reduzindo os riscos aos quais estão expostos, sem saber que podem estar, em verdade, se expondo a serem inadvertidamente tratorizados pela ANPD, SENACON, Ministérios Públicos Estaduais, titulares de dados conscientes de seus direitos ou inconscientes, mas manipulados por advogado de "porta de data center".

Inocentemente ludibriados por belas apresentações, ferramentas automatizadas de emissão de relatórios, análise de risco técnico etc.; ou por profundas digressões doutrinárias sobre a análise jurígena da privacidade e proteção de dados e suas consequências no cenário de Quarta Revolução Industrial; ou ainda por modernas técnicas de gestão de fluxos de processos e manualização de procedimentos, estão na verdade aumentando à exposição ao risco. Do mesmo modo, aqueles que estão comprando análise e mitigação de risco sob aparato tecnológico somente a título de adequação plena também estão se expondo a riscos que não conseguem projetar.

Um caso ou outro equivale a ir para guerra armado de bodoque e chapéu de jornal.

Ora, na perspectiva da operação empresarial dos agentes de tratamento e do fazer do Encarregado de Tratamento de Dados, a LGPD trata de risco e das técnicas para, segundo o roadmap da norma ISO 27001 e demais normas da família ISO 27000, sua análise, avaliação e tratamento da ameaça (mitigação) com a definição do apetite de risco correspondente para que o agente de tratamento possa se preparar para o provável impacto projetado.

A LGPD é norma Risk Based. Nesse sentido, no contexto das políticas de proteção de dados e segurança da informação não existe risco parcial, fracionado. Análise de risco é binária: ou existe ou não existe. Sua gradação é que permite a mitigação pela técnica adequada. Todavia, vender a solução concentrando-a em uma só abordagem implica em aumentar o risco ou sobrepor mais uma camada de risco, pois mais vulnerável ainda é aquele que crê não o ser. Lição antiga, de lastro bíblico: Quem pensa que está de pé, vigie para que não caia.

Muito precisa a lição de Marcílio Braz Junior, que em seu curso de implementação de LGPD, afirma categoricamente que não há avaliação parcial de risco sob pena de mitigação parcial do mesmo. Em sua metodologia, explica graficamente que o complexo de análise de risco no âmbito de proteção de dados pessoais não pode ser fatiado. O gráfico abaixo, gentilmente cedido pelo próprio Marcílio Braz Junior, auxilia na compreensão. Vejamos: 

t

A simplicidade da didática não comprometeu seu conteúdo e genialidade na medida que elucidou visualmente o conteúdo do artigo 46 da LGPD cujo comando impõe aos agentes de tratamento o dever de adotar medidas de segurança técnicas e administrativas aptas a proteger os dados pessoais, logo se infere que as medidas são obrigatórias e necessariamente cumulativas, e não uma faculdade adota-las, ou, implementa-las isoladamente ao sabor da conveniência da ignorância do agente de tratamento ou da esperteza de quem vende a solução fragmentada como se tudo estivesse contemplado. É dever destacar que medidas administrativas englobam, tanto medidas jurídicas, quanto de governança organizacional.

Adiante, o próprio artigo 47 da LGPD corrobora o entendimento acima, na medida em que exige que o agente de tratamento garanta a segurança da informação prevista na lei. Crendo que o legislador não se referiu a "segurança da informação" de modo inadvertido, não há como se furtar da compreensão e domínio das normas da família ISO 27000 que tratam exatamente de normas técnicas de segurança da informação e de tecnologia da informação que são muito bem equacionadas e disponibilizadas via aplicações tecnológicas, o que, per si põe por terra o modelo de mitigação de risco jurídico somente.

De teor mais instrumental, os artigos 46 e 47 da LGPD acima referidos, são corolários das normas elencadas no artigo 6º, especialmente os princípios do livre acesso, da qualidade dos dados, da transparência, da segurança, da prevenção, da responsabilização e da prestação de contas.

Doutra banda, as plataformas tecnológicas de Data Discovery, Data Loss Prevention, Gap Analisis, Identity Management, DSAR, DBN, etc. estão longe de garantir a gestão de risco jurídico na medida em que não desenvolvem a cultura de proteção dados, não têm compreensão das variáveis humanas não contempladas nos parâmetros lógicos da arquitetura de software, e não compreendem conceitos jurídicos principiológicos e sua plasticidade essencial à necessidade de constante adaptação decorrente do elevado nível de obsolescência das tecnologias.

Além disso, o sistema, por mais autômato que seja precisa de recurso humano competente para operá-lo e que esteja apto a enfrentar no dia-a-dia todas as vicissitudes do risco inerente à operação de tratamento. Por melhor que seja a aplicação de TI para a mitigação desta parte do risco, as medidas de governança são essenciais.      

A fragmentação da análise de risco e de sua mitigação nas operações de tratamento, aumenta a probabilidade do impacto na medida em que faz crer que a adoção isolada de medidas que devem ser, necessariamente, aplicadas em conjunto, proporcionarão a segurança almejada quando, em verdade, expõem o agente de tratamento que por acreditar estar complied, segue tratando dados de modo inadequado atraindo para si as nefastas consequências da não conformidade.

Logo, fragmentar a análise de risco e sua mitigação equivale a aumentar o risco, pelo que, fiquem alertas e fujam das soluções mágicas que prometem adequação e segurança a partir da observância parcial da legislação, da técnica e das melhores práticas.

_________

*Breno Jessen Bezerra é advogado da Jessen Bezerra Advocacia.

t

Atualizado em: 4/9/2020 09:28

AUTORES MIGALHAS

Busque pelo nome ou parte do nome do autor para encontrar publicações no Portal Migalhas.

Busca

Publicidade