O investimento das empresas em Programas de Compliance Regulatório vem demonstrando grande preocupação no que tange ao legítimo interesse desses processos, especialmente sobre o uso de dados pessoais em analytics, tal como é o caso, por exemplo, do tratamento de dados pessoais por partidos políticos.
Todos sabemos que a campanha política é baseada em dados e em técnicas de marketing para modelar e “vender” os candidatos aos respectivos eleitores-alvo, no entanto, a quantidade de dados pessoais disponíveis, a sofisticação das ferramentas utilizadas para sua análise e a capacidade de, com isso, influenciar os eleitores, representam um cenário novo e desafiador para o estado democrático de direito.
Sobre este tema, relembro o escândalo do Cambridge Analytica, um incidente que abalou não só a empresa em si, mas todo o setor no qual ela se insere, pois, afinal, a revelação de que as práticas pouco ortodoxas da empresa poderiam ter influenciado campanhas eleitorais, como a que elegeu Donald Trump, sacudiram as manchetes de jornais pelo mundo todo, virando até tema para um documentário produzido pela Netflix.
Percebam que dados e análises são uma fonte de “poder e vantagem competitiva” no mundo dos negócios e, por associação, o uso desta fonte pode se tornar destrutivo, sedutor, esmagador ou extremamente benéfico.
Nesse sentido, é fato notório que o uso ilegal e malicioso de dados pessoais é uma tendência assustadora no mundo do crime virtual e não mostra nenhum sinal de desaceleração num futuro próximo. Assim sendo, a questão de segurança destes dados não é apenas uma questão legal, mas também ética, e nos traz duas observações:
- A ética deve ir além da privacidade e ser considerada e incluída em todas as etapas do ciclo de vida dos dados, devendo ser afastado o mau uso de informações derivadas desses dados, inclusive metadados;
- O Programa de Privacidade e Proteção de Dados está intimamente ligado ao Compliance e ao Data Protection Officer – tendo esse último, inclusive, muitas diretrizes do exercício de seu cargo espelhados na função de um CCO (Chief Compliance Officer), logo, ética no tratamento de dados é essencial para o resultado final e a reputação da empresa no mercado.
A Lei Geral de Proteção de Dados (LGPD), criou a figura do encarregado de proteção de dados, conhecido como DPO (na GDPR), e ganhou a seguinte definição no artigo 5º da lei: “pessoa indicada pelo controlador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)”.
Quais serão as funções do DPO?
Algumas atribuições para o encarregado foram designadas pela LGPD em seu artigo 1º, parágrafos 2º e 3º mas, vale dizer: um DPO que não entenda a visão estratégica do tratamento de dados pessoais dentro de seu ambiente de trabalho se torna um risco ético e de negócio para a empresa.
De modo geral, o profissional deve resguardar as informações da organização, seus colaboradores e os clientes, mas acima de tudo, sua atuação envolve conhecimentos e habilidades de várias áreas para garantir que as informações que estão sob tutela da organização não sejam acessadas por terceiros e utilizadas de forma mal intencionada.
Diante do cenário atual, onde é praxe a coleta de informações de consumidores em potencial, uma das funções do DPO é se certificar junto ao departamento de TI de que haja a inclusão de uma cláusula clara no momento em que a coleta de dados é feita para que o usuário fique ciente e possa dar sua permissão, com as ressalvas relacionadas aos dados de menores de idade.
Da mesma forma, quando solicitada, a empresa precisa deletar todas as informações do usuário que estão armazenadas e não sejam de cunho estatístico ou científico, logo, essas ações são preventivas, e em caso de vazamento de informações, o DPO deve orientar a empresa para avisar os clientes afetados o mais rápido possível.
Qual a importância do Data Protection Officer?
O DPO é a interface entre a segurança necessária aos dados pessoais e a forma como essa segurança é implementada nos sistemas da empresa, mas, ainda que a lei brasileira não especifique a formação necessária para se tornar um DPO, o regulamento europeu é claro sobre a necessidade de o encarregado pela área ser alguém que conhece as leis, logo, é importante que o profissional detenha ao menos três áreas de conhecimento: Tecnologia, Gestão (de projetos e pessoas) e Legal, além de uma boa comunicação.
Assim, recomenda-se que o DPO seja apoiado por uma equipe multidisciplinar que reúna competências nas mais diversas áreas (financeira, recursos humanos, tecnológica, marketing, dentre outras), fornecendo os recursos necessários para o desempenho das funções e evitando agir com negligência, imprudência ou imperícia, pois, caso atue com infração aos deveres profissionais, poderá responder pessoalmente pelos danos causados a terceiros e à própria empresa, com multas bastante significativas.
O profissional que trabalha com governança, gestão e transparência dos dados precisa estar 100% dedicado à função, sem distrações, sem limitações da chefia ou autoridade supervisora, para garantir maior assertividade às suas iniciativas, o que refletirá, inclusive, na conscientização junto aos outros colaboradores da equipe.
Como o DPO é a pessoa que mais entende sobre os perigos e os mecanismos de segurança, torna-se uma referência sobre o assunto dentro da empresa, logo, é importante que seu cargo seja divulgado publicamente no site da instituição, iniciativa esta que trará mais transparência e confiança para o usuário, que perceberá a presença de um profissional dedicado à segurança de suas informações.
Neste âmbito, é extremamente importante tratar os dados pessoais, metadados e informações derivadas em ambientes seguros para evitar o caos decorrente do vazamento de dados, pois, só neste ano, dados secretos e sigilosos de, literalmente, centenas de milhões de pessoas foram violados e expostos, depois reunidos em várias listas colocadas na dark web para venda.
Além disso, os Data Protection Officers têm a obrigação ética de entender as consequências de uma violação, pois a LGPD tira a segurança da informação do patamar de “boas práticas” e a remete diretamente à mesa do DPO como uma obrigação legal.
Para aprofundar o conhecimento e elevar os debates acerca da dúvida que paira sobre a privacidade na encriptação de dados, sugerimos a leitura do artigo: Machine Learning Models that Remember Too Much, no qual foi feita a seguinte pergunta: “What If I train a classifier, and then throw the data, can the classifier leak the data trained?”.
Caminhando para a conclusão do assunto, é importante deixar registrado que ter um DPO interno ou externo (contrato de serviço, por exemplo), é só um dos vários processos para se adequar às novas regras de proteção de dados.
Também de salutar interesse é entender que o valor deste ativo (proteção de dados) não é apenas valor interno de negócio, mas valor de uma arma de inteligência competitiva, já que desde 2018, a expressão data weaponization se tornou constante nas mesas de discussões estratégicas de empresas americanas e europeias.
É indiscutível o fato de que empresas éticas usam os dados de formas extremamente benéficas, fazendo com que dados e análises permitam uma melhor tomada de decisão e aprendizado real sobre seus clientes, trazendo, assim, muitos benefícios de volta a esses titulares.
Mas, considerando que o verdadeiro poder dos dados e análises é a capacidade de apresentar fatos, números e verdades de pessoas reais, como qualquer fonte desta magnitude, pode se tornar corrompível.
O próprio mundo da Economia da Experiência nos atesta isso: as pessoas querem cada vez mais ser individualizadas, ter experiências próprias, únicas com as empresas às quais elas se relacionam, com os produtos que compram.
Aos DPOs: Como avaliar? Experiência e ética ainda são a melhor proteção.
Patrícia Ribeiro Lourenço é advogada do escritório Ribeiro Lourenço Advogados e especialista em Direito Constitucional pela Faculdade Universidade de Blumenau.