'Tecnologia representa desafio para a regulação'

Os avanços tecnológicos trazem constantemente desafios inesperados do ponto de vista jurídico, exigindo que se criem formas criativas de adaptação das lei. Em entrevista ao Jornal da Lei, Rodrigo Marques, sócio da área de Direito Digital e Tecnologia do Marins Bertoldi Advogados, especialista em Direito Digital e Compliance e pós-graduando em CyberSecurity, fala sobre proteção de dados e mudanças em empresas e no Direito a partir da Lei Geral de Proteção de Dados (LGPD).

Rodrigo Marques - As barreiras ultrapassadas pelo digital estão impondo, para o Direito, um desafio muito grande de regulação, pois a velocidade que a tecnologia evolui não é a mesma que as nossas leis evoluem. Então, frequentemente, aparece uma nova tecnologia ou uma nova forma de fazer algo utilizando tecnologia, que impõe o desafio de ser criativo na forma com que isso interage com as leis vigentes. Ao mesmo tempo, fazer com que novas leis sejam criadas, mas de forma que não trave a tecnologia. Um grande exemplo é a tecnologia blockchain, que é a base das moedas digitais. Quando isso começou a despertar propostas de regulação, foi com a intenção de brecar o uso das criptomoedas, justamente por falta de conhecimento de como esse mecanismo pode interagir de maneira saudável com a sociedade. O maior desafio, entre vários que temos hoje, é o Direito entender as tecnologias, saber como fazer as adequações jurídicas necessárias para favorecer a sociedade, mas com uma regulação que não a estrangule.

Marques - Pela lei, dado é qualquer informação identificada ou identificável. Se eu tenho um nome, por exemplo, é um dado identificado de uma pessoa física. Mas se eu tenho um e-mail, não tão óbvio, como [email protected], cruzando outras informações, é possível chegar até mim. Isso é um dado identificável. Para nós, com a interpretação jurídica da lei, qualquer informação que tem origem em uma pessoa física é considerada dado e tem direito à proteção de dados. A lei elenca os responsáveis pelos dados como agentes de tratamentos de dados e separa em três categorias. O primeiro é o controlador, que é quem detém os dados. Se eu entro no site e tem um cadastro, a empresa dona desse site é a controladora dos dados, pois foi a eles que eu dei os dados. Se isso é passado para uma agência de marketing que fará campanhas para os clientes do site, eles se tornam os operadores dos dados. Ou seja, eles podem fazer coisas com os dados a mando do controlador. A terceira figura é o encarregado. Ele é nossa figura brasileira correspondente ao Data Protection Officer (DPO) da União Europeia. Este é responsável, que pode ser uma pessoa física ou jurídica, funciona como um ouvidor de todos os titulares de dados e consultor para as empresas saberem se sua forma de tratamento de dados é adequada e juridicamente viável. A lei titula 11 formas de fazer tratamentos de dados de forma correta. Não existe uma 12ª forma, apenas 11 possibilidades.

Marques - Há um excesso de dados dentro das empresas hoje. Como nunca houve um controle dos dados que deveriam ser coletados, as empresas, em regra, coletavam todos os dados disponíveis. Mesmo que só fossem necessários cinco dados para desenvolver o trabalho, se chegassem 30, a empresa guardava todos. O primeiro momento é de adaptação, então passa por mapeamento do que já se tem, de que forma ele se movimenta na empresa, como ele é armazenado. É um momento crucial, e as empresas têm muita dificuldade. Elas costumam operar de maneiras autônomas, com rotinas típicas de cada área, e isso faz com que se torne complicado criar uma situação uniforme de mapeamento. A segunda dificuldade é na hora de fazer alterações de processos internos para adaptar com a lei de proteção de dados. Ela traz princípios a serem seguidos, em que se redesenha processos internos de acordo com a privacidade dos titulares de dados. As empresas têm dificuldade de alterar os sistemas internos, pois têm dados, como o CPF, que são chave de sistema - se ele for tirado do sistema, este quebra. A terceira questão é a dificuldade de cumprir com os direitos do cidadão na proteção de dados. Hoje é possível que se peça anonimização ou exclusão dos seus dados da base da empresa. Esses pedidos são difíceis de ser superados tecnicamente, pois o sistema pode quebrar. Então é preciso que haja uma adaptação para preparar o sistema para o caso de haver esse pedido.