As 3 Leis Básicas da Era Digital: Como Estar de Acordo com o GDPR, a LGPD e Regulamentações Semelhantes?

RESUMO

Estamos em uma nova Era: pós-industrial, que surge com o software — e com ele uma economia baseada no conhecimento. Data is the new oil, mas a sociedade reage e muda o paradigma de proteção de dados pessoais. Com pandemia ou sem pandemia, há 3 Leis-básicas do mundo digital[1]: (i) proteger os dados, (ii) proteger as pessoas dos algoritmos e (iii) garantir que as duas leis anteriores sejam bases para qualificar o futuro e não caminhos para manter o passado. No Brasil, a regulação sobre proteção de dados (Lei Geral de Proteção aos Dados — “LGPD”) pertence à família das 3 Leis-básicas qualificadas neste artigo. Este trabalho apresenta uma abordagem de referência que atende aos princípios das 3 Leis Básicas, como também da LGPD e demais regulações de proteção de dados. Destacamos diretrizes, valores e atitudes que, quando adotadas, ajudam a preservar os dados pessoais de acordo com a LGPD, evitam o fiscal da Lei e, no pior cenário, permitem a organização para enfrentar o fiscal da lei com conhecimento e boa-fé.

INTRODUÇÃO: ERA DIGITAL E A ECONOMIA DO CONHECIMENTO

SCHUMPETER,[2] em sua tese conhecida como “destruição criativa”, foi um dos primeiros a considerar as inovações tecnológicas como motor evolutivo do desenvolvimento.

Segundo ele, a razão para que a economia saia de um estado de equilíbrio e entre numa disparada de crescimento está no surgimento de alguma inovação, do ponto de vista econômico, que altere consideravelmente as condições prévias de equilíbrio: a introdução de um novo bem no mercado, a descoberta de um novo método de produção ou de comercialização de mercadorias, a conquista de novas fontes de matérias-primas — ou mesmo a alteração da estrutura de mercado vigente, em função da quebra de um monopólio, por exemplo.

Pois bem, estamos numa nova Era exemplificada pelo Vale do Silício. A humanidade vive uma revolução de proporções comparáveis às da Revolução Industrial. Estamos na Era Digital, que rompe com o paradigma dito industrial, que centrava o desenvolvimento na industrialização, com produção em grande escala de bens e serviços padronizados e relações de trabalho hierarquizadas.

A nova sociedade que se delineia é a do conhecimento, na qual a informação é o valor maior e o objetivo é coletar cada vez mais dados — sobre tudo e todos.[3]

O valor capturado por empresas e serviços digitais está nos dados produzidos pelos clientes e usuários. Uma estratégia de coleta desenfreada de dados, via múltiplas fontes — games, mídias sociais, celulares, geolocalização, e-mails e mensagens, compras eletrônicas, sensores, entre outras.

A quem pertencem os dados que essas empresas coletam de cada usuário e convertem em serviços de informação? O paradigma mudou. Agora pertencem ao usuário, titular dos dados; e não mais às empresas que os capturam. A privacidade é a base de nossa liberdade — não se pode ter sociedades livres e democráticas sem privacidade.[4]

Num mundo cada vez mais conectado e que gera um volume grande de informações, urge a necessidade de proteger a privacidade dos dados pessoais[5] contra seu uso indevido e não autorizado.

A sociedade, faminta por dados, adicionou várias dimensões extras ao conceito de privacidade. Hoje, proteger a privacidade das pessoas é proteger sobretudo seus dados pessoais.

Desde as revelações de Edward Snowden[6] e mais recentemente o escândalo da Cambridge Analitica com o Facebook[7], a privacidade dos dados pessoais do usuário de internet passou a ser considerada uma prioridade de altíssima relevância em todo o planeta.

O entendimento de privacidade está relacionado ao contexto social. Se a privacidade inicialmente era entendida como o “direito de ser deixado só”[8], agora a privacidade se relaciona com a capacidade de determinar como suas informações pessoais serão utilizadas. No Brasil, a privacidade é tratada como um direito fundamental na Constituição Federal.[9]

O Brasil criou regras específicas que tratam da privacidade, como por exemplo o artigo 43 do Código de Defesa do Consumidor, o Marco Civil da Internet (Lei 12.965/2014), a Lei do Habeas Data (Lei 9.507/1997) e a Lei do Cadastro Positivo (Lei 12.414/2011).

Hoje, o diploma que de fato regula a coleta, armazenamento, uso e compartilhamento de dados pessoais atinge, além das pessoas naturais, todas as pessoas jurídicas, nos mais variados setores brasileiros, é a LGPD — que é recente e, apesar de sancionada, ainda não entrou em vigor. Pouco — ou nada — sabemos sobre a aplicação da LGPD ao caso concreto.

Tecnologias emergentes como inteligência artificial (IA), aprendizado de máquina, análise de big data e Internet das Coisas (IoT), estão criando novas formas de interação — e de conflito. Snowden, por exemplo, classifica as atitudes do Governo dos EUA como uma “Arquitetura da Opressão”[10].

Estes avanços tecnológicos estão criando uma mudança radical também no ambiente legislativo, colocando desafios significativos para os legisladores que se esforçam para manter um equilíbrio entre promover a inovação, proteger os consumidores-cidadãos e abordar as possíveis consequências não intencionais do avanço científico.[11]

Neste contexto, identificamos a existência de 3 Leis-básicas da Era Digital,[12] da Economia do Conhecimento:[13]

1ª Lei-básica: Proteger os dados das pessoas;

2ª Lei-básica: Proteger as pessoas dos algoritmos; e

3ª Lei-básica: Garantir que as duas leis anteriores sejam bases para qualificação do futuro e não caminhos para manutenção do passado.

Neste artigo explicamos estas Leis Básicas e propomos valores, atitudes e boas práticas que as respeitam, garantindo a proteção dos dados pessoais de forma pragmática, em conformidade com a Lei Geral de Proteção de Dados[14] (LGPD) — evitando-se o fiscal da lei.

1ª Lei-básica: Proteger os Dados das Pessoas

Antes de mais nada, esta Lei Básica estabelece, de pronto, que o usuário, titular dos dados, consumidor e cidadão comum, é o único proprietário dos seus dados pessoais.

Proteger os dados pessoais é um imperativo — sobretudo em relação ao que a própria empresa pode fazer com eles (ex: usos inapropriados).

Em se tratando de segurança da informação, existem, como referência mundial de boas práticas, os padrões ISO 27.001 e 27.002.

As normas ISO da família 27.000 estabelecem diretrizes e determinam boas práticas para a implementação de um Sistema de Gestão da Segurança da Informação (SGSI). [15]

Obter uma certificação da família ISO 27.000, aos olhos da LGPD, é uma boa prática, a ser estimulada e que, no mínimo, servirá para redução de eventuais penalidades impostas pelo fiscal da lei.[16]

Mas quais disposições destas normas ISO diretamente atendem ao que determina a LGPD e devem fazer parte de uma conduta para evitar problemas com as autoridades fiscalizadoras?

Inúmeras ações recomendadas nessas normas ISO estão alinhadas com a LGPD, a saber: (i) criação de uma política de segurança da informação para a entidade, (ii) preparo para gestão de incidentes de segurança, e (iii) coordenação do sistema por um representante da instituição designado para essa função.

Mais recentemente, em agosto de 2019, foi publicada outra norma, ISO 27.701, da mesma família de normas, mas focada em privacidade, com base nas orientações e determinações do General Data Privacy Regulation — GDPR, Europeu, a qual já foi traduzida e lançada pela ABNT.[17]

No entanto, a adoção desses parâmetros não é suficiente para assegurar o estrito cumprimento da LGPD. As próprias normas reconhecem que suas disposições serão complementadas de acordo com o ordenamento de cada país e não preveem todos os princípios da LGPD.[18]

Diante da LGPD, deve-se sempre elaborar uma política de segurança da informação, com gestão de identidade e acesso (perfis de acesso, segregação de funções e armazenamento de logs). Ao se adotar técnicas de criptografia, deve-se limitar o uso de dados para esconder identidades e informações referentes aos titulares de dados pessoais — que apenas serão revelados com a quebra do código.

A LGPD determina que toda empresa deve adotar medidas de segurança da informação na proteção de dados pessoais e uma política voltada à mitigação de riscos em caso de incidente que resulte na violação da segurança de dados pessoais. Mas, para cumprir a LGPD, não se faz necessário cumprir com a totalidade do que consta nas normas ISO.[19]

Na LGPD, os agentes de tratamento (controladores e operadores dos dados) se obrigam a garantir a segurança da informação mesmo após o término do tratamento.

Quando a LGPD entrar em vigor, o cidadão terá direito de solicitar, a qualquer momento, o seguinte das organizações, públicas ou privadas, que estejam manejando seus dados:[20]

(i) confirmação da existência de tratamento;

(ii) acesso aos seus dados;

(iii) correção de dados incompletos, inexatos ou desatualizados;

(iv) anonimização, bloqueio ou eliminação de dados tratados em desconformidade com a LGPD;

(v) portabilidade dos dados a outro fornecedor de serviço ou produto;

(vi) eliminação dos dados pessoais tratados;

(vii) informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;

(viii) informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;

(ix) revogação do consentimento; e

(x) revisão por pessoa natural de decisões automatizadas.

Para atender a este tipo de demanda, a psicóloga-canadense Ann Cavoukian, Ph.D., ex-comissionaria em Ontário[21], criou, no final da década de 1990, o conceito privacy by design (PbD):[22] 7 princípios que, quando adotados, são muito bem vistos pelo fiscal da Lei.[23] São eles:

PRIVACY AS DEFAULT. A configuração padrão deve apresentar os mais altos níveis de privacidade. O usuário pode escolher continuar a não disponibilizar seus dados e o uso de suas informações deve ser sempre claro. Para isso é necessário que os propósitos para os quais as informações pessoais são tratadas sejam comunicados ao indivíduo antes da coleta, a qual não pode ser excessiva. Além disso, deve-se procurar garantir a anonimização dos dados (o que significa excluir, na origem, a identificação do titular ao coletar seus dados) e o tratamento deve limitar-se ao tempo necessário para se cumprir a finalidade, exceto se de outro modo exigido por lei.

BE PROACTIVE, NOT REACTIVE. BE PREVENTATIVE, NOT REMEDIAL. Desde a origem e criação até a manutenção do sistema, busca-se impedir que as infrações à privacidade ocorram. Deve haver compromisso claro, em todos os níveis da organização e aplicar padrões rígidos de privacidade. Devem ser implementados métodos para detectar projetos de privacidade inadequados, antevendo todo e qualquer prejuízo.

PRIVACY EMBEDDED INTO DESIGN. A privacidade deve estar no core do design e arquitetura dos sistemas, e não ser apenas um complemento. Ela deve ser incorporada de maneira holística, integrativa e criativa. Recomenda-se adotar uma abordagem sistêmica, com avaliações detalhadas, documentando os riscos para mitigá-los e minimizando os impactos à privacidade.

FULL FUNCTIONALITY — POSITIVE-SUM, NOT ZERO-SUM. A abordagem deve ser “ganha-ganha”, evitando falsas dicotomias, como “privacidade versus segurança”. Isso é conquistado pela criatividade e pela inovação em todas as etapas de implementação. Na medida do possível, para garantir a funcionalidade máxima, a capacidade do sistema não deve ser prejudicada; a privacidade não deve excluir outros interesses, e todos os interesses devem ser articulados.

END-TO-END SECURITY — LIFECYCLE PROTECTION. A privacidade deve se estender por todo o ciclo de vida dos dados. Isso garante que eles sejam coletados e destruídos com segurança, sem que existam lacunas. É preciso adotar padrões de segurança que garantam a confidencialidade, a integridade e a disponibilidade dos dados pessoais, incluindo, entre outros, mecanismos de destruição segura, criptografia apropriada e métodos sólidos de controle de acesso e registro.

ACCOUNTABILITY. A operação dos sistemas deve ser transparente para todos os interessados, o que permite a fiscalização. O Data Protection Officer — DPO[24] será o principal responsável pelas práticas ligadas à privacidade. Para fins de auditoria, deve-se dar especial ênfase em: (i) coleta de dados com zelo; (ii) políticas e práticas de gerenciamento de informações prontamente disponíveis ao titular dos dados; e (iii) mecanismos de reclamação e reparação em todas as etapas.

RESPECT FOR USER PRIVACY. Arquitetos, engenheiros e operadores devem manter os interesses do indivíduo em primeiro lugar, oferecendo um sistema user friendly, fácil de se usar e que considere a experiência do usuário (user experience — UX). Os titulares deverão desempenhar um papel ativo no gerenciamento de seus próprios dados.

* * *

A primeira lei básica da Era Digital, no âmbito da Economia do Conhecimento, é: proteger os dados das pessoas.

2ª Lei-básica: Proteger as Pessoas dos Algoritmos

A segunda Lei Básica da Era Digital e da Economia do Conhecimento é: proteger as pessoas dos algoritmos.

Os algoritmos vão muito além de recomendações da Netflix, com a qual muitos de nós estamos familiarizados. Algoritmos já escrevem artigos de notícias, determinam qualificações para serviços ou benefícios do governo, identificam pessoas que são mais propensas a cometer crimes e muito mais. Quando a tomada de decisão algorítmica pode ter consequências que alteram a vida, é essencial saber quais suposições são inseridas no código.

É importante interrogarmos os algoritmos e traçarmos uma estratégia para proteger as pessoas desses sistemas.

A tirania dos algoritmos é a tirania do passado sobre o presente. É como o que você fez (reduzido a bits de dados, geralmente fora de contexto) determina o que acontece com você hoje e amanhã. Aliás, não só o que você fez, o que uma categoria de pessoas, enquanto grupo, fez e em cuja categoria o algoritmo entende que você faz parte.[25]

A Suprema Corte do Canadá, por exemplo, julgou um caso de liberdade condicional de um preso indígena que teve negada sua prerrogativa com base em um algoritmo. O advogado examinou o conjunto de dados de treinamento do algoritmo e descobriu que não havia população indígena nesse conjunto de dados. O tribunal superior concordou que o algoritmo não poderia ser aplicado ao caso do preso indígena.[26]

Devemos exigir transparência e accountability dos sistemas em software. Examinar a fundo os algoritmos quanto a possíveis tendências e discriminações. Devemos sempre investigar o conjunto de dados usados para treinar o sistema gerador da Inteligência Artificial (IA), antes que os algoritmos sejam colocados em prática de maneira que possam impactar a vida das pessoas. Um algoritmo de IA pode ser preconceituoso, mas o preconceito não vem do algoritmo propriamente dito, mas das pessoas que o criaram e o treinaram refletindo seus preconceitos — e assim, os algoritmos podem refletir erros humanos.

À medida que surgem novos modelos e serviços de negócios, como compartilhamento de viagens e ofertas públicas de criptomoedas, as nações são desafiadas a criar ou modificar suas leis e regulamentos, aplicá-los e comunicá-los ao público em um ritmo nunca antes imaginado.[27] Como fazer isso com pesadas estruturas burocráticas herdadas[28] e, ainda assim, tentar promover a inovação?

No passado, na história da regulamentação do automóvel, foram impostas restrições severas para veículos a motor — leis projetadas para proteger pedestres, carruagens e até gado. Essas restrições atrasaram os avanços no desenvolvimento de automóveis por décadas.

A IA tem a capacidade de aprender com vastas quantidades de dados complexos e traduzi-los em insights concretos. No entanto, do reconhecimento facial defeituoso à subscrição de crédito e seguro com distorção de gênero, há muitos casos de preconceitos de algoritmos que nos fazem sentir desconfortáveis com o aprendizado de máquina. Não podemos aceitar a IA como algo naturalmente bom.[29]

O profissional deve estar ciente de como funciona o algoritmo em todas as fases e ser capaz de explicar como o sistema garante os direitos dos seus usuários, titulares dos dados pessoais.

Deve-se saber explicar o software, sobretudo quando se trata de IA e Machine Learning. O valor que a IA pode gerar está muito ligado à quantidade e qualidade dos dados a que ela tem acesso no contexto em que ela atua. Eis, no âmbito da LGPD, uma importante questão a se considerar. O perigo está em criar e usar software que simplesmente não permita obter interpretações e explicações de seus comportamentos.

Deve-se adotar o conceito de explainable software. Ou seja, deve-se ter claro o funcionamento do sistema e quais são suas funcionalidades, para que os usuários possam compreender como seus dados estão sendo tratados. E é preciso entender não só o algoritmo, mas também a base de dados que o alimenta.[30]

Proteger as pessoas dos algoritmos é permitir que os usuários compreendam plenamente o que está por trás do sistema. Todas as categorias de usuários do seu sistema devem compreender o funcionamento.

Para um sistema se configurar como explainable, ele deve descrever o modo como os dados por ele tratados são agregados no big data, deixando explícito que se preocupa com a privacidade dos usuários em todo o ciclo de vida — a qualidade dos dados tratados deve ser assegurada.[31]

No tempo, as organizações devem realizar avaliação periódica de impacto na privacidade para entender os riscos inerentes ao tratamento dos dados pessoais que controlam.[32]

A autoavaliação e o monitoramento de riscos podem identificar sérias ameaças e propor medidas para mitigá-las. É extremamente importante mapear os dados e fazer um monitoramento de risco permanente.[33]

O objetivo da avaliação e do monitoramento de riscos, quando possível, é eliminá-los ou reduzi-los da maneira mais prática possível e ser explícito sobre os riscos restantes e como eles serão gerenciados para que os titulares dos dados e o fiscal da Lei entendam os algoritmos, seus perigos e os riscos que permanecem.[34]

3ª Lei-básica: Garantir Futuro com Liberdades Individuais

Terceiro, entendemos que as duas primeiras Leis Básicas (proteger os dados e proteger as pessoas dos algoritmos) devem ser bases para o futuro e não permitir um retrocesso ao passado.

O pilar fundamental desta Lei Básica é a ética e responsabilização do engenheiro de software — tal qual existe para médicos[35], advogados[36] e engenheiros civis[37]. Ética para evolução de uma atitude coletiva consciente na construção de um futuro melhor para a humanidade — que está sendo comida por software.[38]

Realidade que coloca em xeque reflexões éticas sobre responsabilidade social e democracia, com especial preocupação em monitoramento e vigilância, coleta de grandes volumes de dados e IA.

O profissional que atua no ecossistema de software deve assumir a responsabilidade por suas ações em termos pessoais e profissionais. Este profissional deve pensar além do problema imediato, sempre tentando colocá-lo em seu contexto mais amplo e estar ciente do quadro geral. Afinal, como assumir compromissos inteligentes e tomar decisões informadas sem compreender o contexto geral — contratual, social, econômico, legal?[39]

A responsabilização é inerente a toda atividade. Em Engenharia Civil, por exemplo, se um escritório comete um erro na construção, ele será punido.

Atuar de uma maneira ética e responsável pressupõe tomar atitudes socialmente corretas. Ao aceitar a responsabilidade por um resultado, você deve ser responsabilizado por ele. Quando você cometer um erro (como todos nós cometemos) ou fizer um julgamento equivocado, admita-o honestamente e tente oferecer opções. Seja ético e responsável.

Apesar de testes completos, boa documentação e automação sólida, as coisas dão errado. Surgem problemas técnicos, imprevistos. Deve-se ser pragmático, assumir responsabilidades e reconhecer seus erros.[40]

Lidar com essas situações inesperadas da maneira mais profissional possível significa, acima de tudo, ser honesto e direto. Enquanto profissionais, podemos nos orgulhar de nossas habilidades, mas devemos ser responsáveis sobre nossas deficiências, nossa ignorância e nossos erros.

Uma das chaves para o sucesso no cumprimento da LGPD é assumir a responsabilidade pelo que fizer, ao invés de ficar à toa e observar seus projetos desmoronarem por negligência. O ecossistema de software deve se adaptar a esta realidade.

A cultura da inovação tecnológica forçou uma evolução e a sociedade fez surgir legislações para garantia de um futuro com liberdades. Apontamos a seguir highlights desta evolução, muito dos quais absorvidos pelo legislador na LGPD.

// 1948 — ONU: Privacidade é um direito fundamental previsto na Declaração Universal dos Direitos Humanos.

// 1970 — ALEMANHA: Instituída a primeira lei estadual de proteção de dados da história, no estado alemão de Hesse. A lei foi pioneira ao tratar da coleta e tratamento de dados de indivíduos, ainda que não o fizesse de maneira objetiva e segmentada. No final dessa década, o país também edita uma lei federal de privacidade de dados pessoais.

// 1979 — EUROPA: Diversas nações europeias passam a ter sua própria legislação de proteção de dados. Estas leis, ainda que muito importantes, eram genéricas.

// 1980 — OCDE: Publicação das primeiras orientações (Guidelines on the Protection of Privacy and Transborder Flows of Personal Data). Mais tarde, em 2013, esses Guidelines foram atualizados para se adequar à sociedade da informação, acabando por influenciar diretamente a redação de leis em inúmeros países, inclusive o próprio GDPR[41].

// 1981 — EUROPA: O Conselho Europeu aprovou a Convenção para Proteção das Pessoas Relativamente ao Tratamento Automatizado de Dados de Caráter Pessoal (Convenção 108), primeiro marco legal transnacional sobre proteção de dados, que passou a assegurar, principalmente, os seguintes direitos: (i) minimização e especificação de propósito; (ii) direito à portabilidade de dados; (iii) direito ao esquecimento; e (iv) direito à retificação da informação.

// 1983 — ALEMANHA: Decisão proferida pela Corte Constitucional Alemã que cunhou o termo “autodeterminação informativa”, a partir do qual se entende que o direito à proteção dos dados pessoais está atrelado ao direito da personalidade.

// 1995 — EUROPA: O Conselho Europeu promulgou a Diretiva 46/95. A norma dispunha sobre o tratamento de dados e direitos dos usuários em todos os países membros do bloco, colocando-os sob a mesma legislação. A Diretiva 95/46/CE vigorou até maio de 2018, quando foi substituída pelo GDPR.

// 1999 — CHILE: A Ley de Protección de Datos de Carácter Personal, garante direitos aos “titulares” dos dados tratados (as pessoas a quem os dados se referem), como o direito à correção e exclusão dos dados, assim como obrigações, a exemplo da limitação do uso dos dados coletados ao propósito informado pelo responsável por seu tratamento.

// 2013 — ESTADOS UNIDOS: O ex-agente da National Security Agency (NSA) Edward Snowden é acusado pelas autoridades federais americanas pois provou ao mundo que a NSA vinha realizando o tratamento e a coleta de dados pessoais de usuários da internet de todo o mundo, sem qualquer autorização.

// 2016 — ESTADOS UNIDOS: Durante as eleições presidenciais norte americanas de 2016, organizadores de campanha contratam a empresa de análise de dados Cambridge Analitica para auxiliar em sua propaganda política. No entanto, ficou comprovado que tal empresa obtinha ilegalmente os dados pessoais de bilhões de usuários no Facebook, os quais não sabiam do uso que o Facebook fazia dessas informações. Em 2018, o fundador do Facebook, Mark Zuckerberg, é chamado para depor no Senado a respeito do caso, alegando que não tinha conhecimento das violações e depois, admitindo o uso indevido dos dados pela referida empresa de data science.

// 2016 — EUROPA: O GDPR é promulgado e entra em vigor em 2018. É tido como a mais completa legislação de proteção de dados do mundo. Os principais avanços da nova lei se dão na ampliação de direitos dos usuários e na maior responsabilização das organizações e empresas que realizam o processamento indevido de dados pessoais.

// 2018 — BRASIL: Sob a influência da entrada em vigor do GDPR, a LGPD é aprovada no Congresso Nacional e promulgada pelo Executivo, devendo em breve entrar em vigor.

* * * * *

Acima, explicamos as 3 Leis Básicas e propomos condutas que, quando adotadas, podem trazer mais segurança jurídica (e devem afastar o fiscal da lei) no que diz respeito à aderência aos princípios da LGPD.

CONCLUSÃO: A LGPD ESTÁ CONTIDA NAS 3 LEIS-BÁSICAS DA ERA DIGITAL

A essência do valor capturado por empresas e serviços digitais está nos dados produzidos pelos usuários. Nas últimas décadas, uma estratégia global de coleta desenfreada de dados pessoais foi implementada a partir de múltiplas fontes digitais.[42]

A LGPD cria um novo paradigma na proteção de dados pessoais. A partir dela, o dado passa a pertencer ao respectivo usuário e não mais às empresas.

A LGPD reforça e amplia o direito de todos os brasileiros à proteção de seus dados e garante que as empresas deixem os processos em torno dos dados pessoais muito mais seguros e simples ao usuário — verdadeiro titular dos dados tratados na Economia do Conhecimento.

Para empresas que não a observarem, a LGPD inclui penalidades consideráveis, de até 2% do faturamento anual global limitando-se a R$ 50.000.000,00 (cinquenta milhões de reais) por infração[43].

As questões que a LGPD coloca dizem respeito justamente a quem pertencem os dados que se coletam e que organizações públicas e privadas convertem em serviços de informação. Há questões que representam mudanças profundas nas práticas de desenvolvimento, implementação e manutenção de softwares.

Pois bem, o que se deve fazer para se manter em conformidade com a LGPD, evitando anotações do fiscal da lei? Basta seguir o que apresentamos nesse artigo sobre as 3 Leis Básicas da Era Digital, da Economia do Conhecimento.

Todos terão que se adaptar a essa nova realidade: pequenas, médias e grandes empresas; governos e organizações sociais.[44]

Sabemos que ninguém está preparado,[45] mas a LGPD requer a implantação de projetos de conformidade (compliance) e institui a criação da Autoridade Nacional de Proteção de Dados (ANPD) para fiscalizar todos os setores da economia e o ecossistema corporativo — inclusive subcontratantes como fornecedores, parceiros e agências.[46]

É necessário saber o que são dados pessoais e dados pessoais sensíveis. Saber quem é o titular dos dados e quem são os agentes de tratamento, suas respectivas atribuições, direitos e obrigações. Saber, no âmbito da LGPD, quem é o controlador, o operador, e o encarregado dos dados — e compreender as diferenças e dinâmicas entre eles.

Geralmente o ecossistema de software[47] encontra problema ao interpretar normas legais e aplicá-las à tecnologia.[48] Equipar o ecossistema com abordagens eficazes e sistemáticas para criar requisitos de privacidade e proteção de dados nos sistemas se tornou crucial e valioso.

A LGPD é uma verdadeira encruzilhada para o ecossistema de Engenharia de Software. Se os sistemas falharem, chamaremos os advogados. Surgirão multas, litígios, perícias, provas e contraprovas em processos judiciais infindáveis. As divergências e conflitos serão julgados pelos juízes e tribunais durante anos, ao custo de mundos e fundos. A LGPD será interpretada e aplicada ao status das tecnologias de privacidade caso a caso. Geralmente um vazamento de dados é como um acidente aéreo, não se tem só um culpado. É resultado de uma série de erros.[49]

Fato é que, com a LGPD, não mais se poderá evitar a responsabilidade pelas questões relativas à privacidade de dados. A Engenharia de Software deve compreender que suas decisões podem liberar tecnologia no mundo capazes de afetar significativamente os direitos fundamentais.

A LGPD traz esse marco, de uma regulação firme, que muda completamente o paradigma de proteção de dados para o ecossistema de Engenharia de Software Brasileiro.

A responsabilização do arquiteto, engenheiro ou desenvolvedor de software por falhas referentes à proteção de dados pessoais se torna uma realidade. E extrapola para outros profissionais também. Por exemplo, um sistema de CRM pode armazenar dados como nome e e-mail de clientes. O uso que a área de marketing ou de negócios da empresa vai fazer desses dados também pode gerar ilícitos.

Gerir mal os dados pessoais pode custar milhões aos negócios, seja em função das vulnerabilidades de segurança, seja por perdas de receita e, agora, com o advento da LGPD, também pela imposição de pesadíssimas multas.

A LGPD cria novas regras que representam um desafio de interpretação e aplicação da norma jurídica ao caso concreto. Tudo indica que levaremos algum tempo para amadurecer um entendimento e criar jurisprudência em relação ao desenvolvimento e manutenção de software em conformidade com a LGPD.

Propomos condutas a serem seguidas pelos que compreendem as referidas 3 Leis Básicas da Era Digital, no âmbito das atividades relacionadas à Economia do Conhecimento e da Informação.

Ao incorporar tais condutas às operações, tecnologias e sistemas, garante-se que a privacidade será preservada, agora e no futuro e evita-se o fiscal da lei. A estratégia que se deve ter em mente durante todo desenvolvimento e manutenção de software é a seguinte:

1. Planeje e implemente a privacidade de dados com foco no usuário. Adote os princípios privacy by design.

2. Proteja os dados pessoais com segurança no estado-da-arte. Adote regras das normas ISO 27.000.

3. Saiba explicar e monitorar os sistemas, softwares e algoritmos. Tome conhecimento sobre as técnicas de Explainable Artificial Inteligence (XAI).

4. Seja ético, responsável e pragmático. Adote boas práticas já mapeadas e aceitas pelo ecossistema.

A correta utilização de dados pessoais é benéfica para a economia: gera eficiência em mercados já existentes e traz segurança jurídica à criação de negócios inovadores.

Proteger a privacidade significa que também estamos preservando nosso futuro democrático e os tipos de freios e contrapesos necessários para preservar nossa liberdade e a democracia para a próxima geração — pós-pandemia — que virá.

Neste artigo explicamos as 3 Leis Básicas da Economia do Conhecimento e Informação e propomos condutas preventivas de proteção à privacidade, em conformidade com a LGPD. Oferecemos uma estratégia que, idealmente, quando adotada, é capaz de evitar a infração de privacidade e as violações de dados — bem como nos proteger do fiscal da lei.[50]

[1] O conceito das 3 Leis-básicas da Economia do Conhecimento foi construído com o orientador desta pesquisa, Sílvio Romero de Lemos Meira — Professor Emeritus CIn/UFPE (https://boletim.de/).

[2] SCHUMPETER, Joseph A. Capitalism, Socialism and Democracy. Oxfordshire: Taylor & Francis, 2005.

[3] THE ECONOMIST. The World’s most Important Resource is no Longer Oil, But Data. 2017. Disponível em: <https://www.economist.com/leaders/2017/05/06/the-worlds-most-valuable-resource-is-no-longer-oil-but-data>.

[4] LOCKE, John. Ensaio sobre o Governo Civil. 1681. Disponível em: <

[5] Considere o conceito de ‘dados pessoais’ tratado neste artigo como tendo o mesmo significado adotado pela LGPD: é a informação relacionada a pessoa natural identificada ou identificável.

[6] SNOWDEN, Edward. Permanent Record. New York: Metropolitan Books, 2019.

[7] BLOOMBERG GOVERNMENT. Transcripts of Mark Zuckerberg’s Senate Hearing. The Washington Post, 2018. Disponível em: <https://www.washingtonpost.com/news/the-switch/wp/2018/04/10/transcript-of-mark-zuckerbergs-senate-hearing/>.

[8] BRANDEIS, Louis D. et al. The Right to Privacy. Cambridge: Harvard Law Review, 1890.

[9] Vide art. 5o, incisos X e XII, da Constituição Federal de 1988.

[10] DOWD, Trone. Snowden Warns Governments are Using Coronavirus to Build ‘the Architecture of Oppression’. Vice, 2020.

[11] DELOITTE. Insights sobre Transformação Digital e Oportunidades para TICs no Brasil. 2a edição. 2018. Disponível em: <https://www2.deloitte.com/content/dam/Deloitte/br/Documents/technology-media-telecommunications/ICT-insights-report-port.pdf>.

[12] Professor Sílvio Romero de Lemos Meira — Emeritus do CIn/UFPE oferece inúmeros textos sobre a Era Digital em https://boletim.de/.

[13] UNGER, Roberto Mangabeira. The Knowledge Economy. New York: Verso, 2019.

[14] REPÚBLICA FEDERATIVA DO BRASIL. Lei №13.709, de 14 de agosto de 2018.

[15] Os dois diplomas mencionados foram traduzidos pela Associação Brasileira de Normas Técnicas — ABNT e incorporados como Técnicas de Segurança da Tecnologia da Informação, passando a ter eficácia em território nacional.

[16] Vide arts. 50 e 51 da LGPD.

[17] ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS — ABNT. ABNT NBR ISO/IEC 27701 é lançada na ABNT. 2019. Disponível em: <http://www.abnt.org.br/noticias/6669-abnt-nbr-iso-27701-e-lancada-na-abnt>.

[18] Vide itens A.5.1, A.8.1.2, A.15.1.4 e A.15.1.6 da ABNT NBR ISO/IEC 27001.

[19] A ANPD poderá dispor sobre padrões técnicos mínimos para tornar as medidas de segurança aplicáveis, especialmente no caso de dados pessoais sensíveis (vide art. 46 da LGPD).

[20] Vide art. 18 da LGPD.

[21] O Information and Privacy Commissioner de Ontario fiscaliza a aplicação das leis de privacidade e proteção de dados na província. Ele tem a função de resolver disputas relacionadas a essas matérias, revisar políticas e garantir o cumprimento das normas. (IPC. Role and Mandate. 2020. Disponível em: < https://www.ipc.on.ca/about-us/role-and-mandate/>).

[22] CAVOUKIAN, Ann. Privacy By Design — The 7 Foundational Principles. IEEE Technol. Soc. Mag., vol. 31, no. 4, pp. 18–19, 2012. Disponível em: <https://www.ipc.on.ca/wp-content/uploads/resources/7foundationalprinciples.pdf>.

[23] FEDERAL TRADE COMMISSION. Privacy by Design and the New Privacy Framework for the U.S. 2012. Disponível em: < https://www.ftc.gov/sites/default/files/documents/public_statements/privacy-design-and-new-privacy-framework-u.s.federal-trade-commission/120613privacydesign.pdf>.

[24] Vide art. 5o, inciso VIII e art. 41 da LGPD.

[25] KONSTANTINOU, Lee. The (Tyrannical) Lives of Algorithms. The Habit of Tlön, 2015. Disponível em: https://www.leekonstantinou.com/2015/12/10/tyrannical-lives-of-algorithms/>.

[26] SUPREME COURT OF CANADA. Ewert v. Canada, 2018 SCC 30, [2018] 2 S.C.R. 165, disponível em: < https://www.canlii.org/en/ca/scc/doc/2018/2018scc30/2018scc30.html>.

[27] DELOITTE. Insights sobre Transformação Digital e Oportunidades para TICs no Brasil. 2a edição. 2018. Disponível em: <https://www2.deloitte.com/content/dam/Deloitte/br/Documents/technology-media-telecommunications/ICT-insights-report-port.pdf>.

[28] BECKER, Alfredo A. Manicômio Jurídico-Tributário. In Teoria Geral do Direito Tributário. São Paulo: Noeses, 2018.

[29] DOMINGOS, Pedro. The Master Algorithm: How the Quest for the Ultimate Learning Machine will Remake our World. New York: Basic Books, 2015.

[30] ARRIETA, Alejandro B. et al. Explainable Artificial Intelligence (XAI): Concepts, Taxonomies, Opportunities and Challenges Towards Responsible AI. Cornell University, 2019. Disponível em: < https://arxiv.org/abs/1910.10045>.

[31] Vide art. 18, inciso IV da LGPD.

[32] Vide art. 5o, inciso XVII e art. 38 a 40 da LGPD.

[33] Vide art. 50 da LGPD.

[34] “Entities that use, store, or share personal information to conduct automated decision system impact assessments and data protection impact assessments.” (US SENATE, S. 1108 — Algorithmic Accountbility Act. 2019. Disponível em: <https://www.congress.gov/bill/116th-congress/senate-bill/1108/text>).

[35] CONSELHO FEDERAL DE MEDICINA. Resolução CMF №1.931/09. Disponível em: <https://portal.cfm.org.br/images/stories/biblioteca/codigo%20de%20etica%20medica.pdf>.

[36] REPÚBLICA FEDERATIVA DO BRASIL. Lei №8.906, de 04 de julho de 1994. Disponível em: < http://www.planalto.gov.br/ccivil_03/leis/l8906.htm>.

[37] CONFEDERAÇÃO FEDERAL DE ENGENHARIA E AGRONOMIA. Resolução №205, de 30 de setembro de 1971. Disponível em: < https://normativos.confea.org.br/ementas/visualiza.asp?idEmenta=253&idTipoEmenta=5&Numero&idEmenta=253&idTipoEmenta=5&Numero>.

[38] ANDREESSEN, Marc. Why Software is Eating the World. 2011. Disponível em: < https://a16z.com/2011/08/20/why-software-is-eating-the-world/>.

[39] BAASE, Sara. A Gift of Fire — Social, Legal and Ethical Issues for Computing Technology. New York: Pearson, 2013.

[40] HUNT, Andrew et al. The Pragmatic Programmer: From Journeyman to Master. New York: Addison-Wesley Professional, 1999.

[41] GENERAL DATA PROTECTION REGULATION — GDPR, 2016. Disponível em: <https://eur-lex.europa.eu/legal-content/EN/ALL/?uri=celex%3A32016R0679>.

[42] ZUBOFF, Shoshana. On Surveillance Capitalism. VPRO Documentary, 2019. Disponível em: <https://www.youtube.com/watch?v=hIXhnWUmMvw>.

[43] Vide art. 52 da LGPD.

[44] ASSOCIAÇÃO BRASILEIRA DE EMPRESAS DE SOFTWARE; ERNST YOUNG. Diagnóstico LGPD. 2020. Disponível em: <https://diagnosticolgpd.abes.org.br/>.

[45] SERASA EXPERIAN. 85% das Empresas Declaram que Não Estão Prontas para Atender às Exigências da Lei Geral de Proteção de Dados, Mostra Pesquisa da Serasa Experian. 2019. Disponível em: <https://www.serasaexperian.com.br/sala-de-imprensa/85-das-empresas-declaram-que-ainda-nao-estao-prontas-para-atender-as-exigencias-da-lei-de-protecao-de-dados-pessoais-mostra-pesquisa-da-serasa-experian>.

[46] https://www.pwc.com.br/pt/sala-de-imprensa/artigos/lgpd-muda-pratica-plc-53.html

[47] DEN BERK, Ivo V. et al. Software Ecosystems: a Software Ecosystem Strategy Assessment Model. ECSA ’10: Proceedings of the Fourth European Conference on Software Architecture: Companion Volume. 2010. Disponível em: < https://dl.acm.org/doi/abs/10.1145/1842752.1842781>.

[48] Trabalhos empíricos demonstram que, na Europa, quase 50% dos engenheiros de software não têm conhecimento das leis sobre privacidade e apenas 14% podem realmente mencionar suas disposições (PERUSKOVIC, Barbara. The Hitchhiker’s Guide to Privacy By Design. Protegrity, 2018. Disponível em: <https://www.protegrity.com/collaterals/the-hitchhikers-guide-to-privacy-by-design>. Apud HADAR, Irit et al. Privacy by Designers: Software Developers’ Privacy Mindset. New York: Springer Science + Business Media, 2017. Disponível em: <https://www.academia.edu/35848801/Privacy_by_designers_software_developers_privacy_mindset>).

[49] GLADWELL, Malcolm. David & Goliath. Allen Lane: Londres, 2013.

[50] Agradecemos o apoio de Maria Eugenia Cirillo (PUC-Rio) no ajuste fino das notas, bem como a revisão e sugestões de Claudia Cunha (Instituto CESAR/Recife) e Anderson Silva (CESAR School).