Entrevista #5 – Diogo Marzzoco
Existem muitas dúvidas acerca da Lei Geral de Proteção de Dados (LGPD), em meu último artigo (Introdução à LGPD: o caso Cambridge Analytica) explanei sobre um dos casos que fomentaram debates e, com tal repercussão, ficou demonstrada, sob minha perspectiva, a necessidade de uma lei que dispusesse sobre o tratamento de dados pessoais.
Aproveitando este ensejo, convidei o Dr. Diogo Marzzoco, do Opice Blum Advogados Associados, escritório especializado em Direito Digital, para sanar algumas dúvidas com relação à LGPD e, sobretudo, explicar os impactos deste lei que entrará em vigor em agosto de 2020.
Ademais, agradeço toda a equipe do escritório, notadamente, ao Dr. Diogo, por ter cedido um pouco do seu tempo para viabilizarmos esta entrevista.
Confira a entrevista na íntegra:
1- O que é a Lei Geral de Proteção de Dados (LGPD)?
Diogo Marzzoco — A Lei Geral de Proteção de Dados entrará em vigor em agosto de 2020, e trará regras mais claras e balizas específicas em relação às operações de tratamento de dados pessoais realizadas por pessoas físicas ou jurídicas de direito público ou privado, resguardadas as exceções previstas no artigo 4º da Lei. Portanto, em linhas gerais, sempre que houver tratamento de informações que possam identificar uma pessoa física, direta ou indiretamente – considerando que tratamento é qualquer atividade que se faça com esta informação, desde acesso até o descarte – deverão ser observadas as regras da LGPD que determinam que o tratamento deva ter uma finalidade específica e clara ao titular, uma autorização legal entre outras regras criadas para tornar a operação de tratamento de dados pessoais mais clara ao titular dos dados pessoais.
2- O senhor acredita que as empresas estão preparadas com os impactos desta lei que entrará em vigor em agosto do ano que vem?
Diogo Marzzoco — O que temos visto é que empresas que possuem operações na Europa, acabam tendo uma maturidade maior em relação à proteção de dados pessoais, o que não quer dizer necessariamente que estão prontas para a LGPD. É natural que a maioria das empresas não estejam preparadas, pois a adequação à Lei demanda um processo de autoconhecimento sobre as atividades da empresa assim como a implementação de uma governança em dados pessoais que garanta que o tratamento seja realizado dentro das balizas impostas pela Legislação. Assim, boa parte das empresas ainda estão em processo de adequação e há pesquisas que indicam que 85% das empresas ainda não estão preparas para a LGPD.
3- As empresas públicas sofrerão os mesmos tratamentos que as empresas privadas?
Diogo Marzzoco — A Lei vai se aplicar ao setor público também que, aliás, possui grandes bases de dados pessoais. A Lei, inclusive, atribui uma base legal para propiciar o uso de dados pessoais pela Administração Pública para a execução de políticas públicas. Além disto, há diversas exceções que resguardam o interesse público como o tratamento de dados para viabilização da segurança pública, defesa nacional, segurança do Estado e investigação e repressão de infrações penais. A Lei ainda determina que o tratamento pelo Poder Público deverá sempre buscar o interesse público, não prescindindo da devida transparência, finalidades legítimas específicas e informadas bem como bases legais adequadas.
Importante salientar, entretanto, que a LGPD traz algumas particularidades em relação ao tratamento de dados pessoais pelo poder público. Em destaque, é de se ressaltar que o Poder Público não estará sujeito à sanção de multa, o que, em certa ótica se mostra acertado, tendo em vista que o próprio contribuinte acabaria prejudicado.
Além disto, no artigo 26 caput e §1º da LGPD, há a indicação de que o uso compartilhado de dados pelo Poder Público deverá ocorrer sempre em observância ao interesse público e para realização de políticas públicas, sendo vedado, em regra, o compartilhamento com Entidades Privadas, havendo, entretanto, algumas exceções, como no caso execução descentralizada da atividade Pública (26, §1º, I), acessibilidade pública dos dados pessoais (26, §1º, III), previsão legal ou a transferência for respaldada em contratos, convênios ou instrumentos congêneres (26, §1º, IV) e, por último, na hipótese de a transferência dos dados objetivar exclusivamente a prevenção de fraudes e irregularidades, ou proteger e resguardar a segurança e a integridade do titular dos dados, desde que vedado o tratamento para outras finalidades (26, §1º, V).
Importante dizer ainda que a LGPD determina que o uso compartilhado de dados pessoais pelo Poder Público deverá ser informado à Autoridade Nacional de Proteção de Dados Pessoais¹ e contar com o consentimento do titular, exceto quando houver a devida transparência sobre suas atividades que envolvam tratamento de dados pessoais; nas hipóteses previstas no artigo 26, §1º da LGPD e nas hipóteses de dispensa de consentimento (arts. 7º e 11º da LGPD).
4- Após tomar conhecimento sobre a lei, tive uma leve impressão de uma transferência de poderes. Antes os dados pessoais – ao que me aparentava -,pertenciam às empresas, atualmente, parece-me, que o cidadão retomou este controle e possui o poder maior sobre os seus dados pessoais. De que forma o senhor enxerga isso?
Diogo Marzzoco — Na verdade, os dados nunca pertenceram às empresas. É que, com a ausência de regras claras e da cultura de proteção de dados pessoais, havia esta falsa sensação de que os dados seriam das empresas pois acabavam tendo mais liberdade para direcionar o tratamento dos dados pessoais, muitas vezes observando somente seus interesses, preterindo o titular dos dados de qualquer decisão sobre o tratamento. O instrumento que a pessoa tinha para controlar os seus dados era o consentimento e alguns direitos como os de informação clara e ostensiva, previsto no CDC, por exemplo.
Entretanto, este modelo não deu certo o que é fácil de enxergar já que dia após dia ocorrem diversas violações de dados pessoais e, dificilmente, nos pedem consentimento para tratar nossos dados, sem falar nas políticas de uso e de privacidade que, não raro, acabam nos obrigando a aceitar certas coisas que juridicamente não são válidas mas que, no contexto, acabam sendo aceitas pois, do contrário, a pessoa acaba não tendo acesso a certos produtos e serviços.
Hoje, o titular terá muito mais controle sobre seus dados pois, além da finalidade, base legal e transparência, o titular terá uma série de direitos como de informação, acesso, portabilidade, entre outros, que darão ao titular maior protagonismo na cadeia de tratamento de seus dados.
5- A LGPD prevê a figura do “encarregado” (art. 5º, VIII, LGPD), também conhecido na Europa como Data Protection Officer (DPO), qual seria a função do encarregado aqui no Brasil? Ele pode ser pessoa jurídica?
Diogo Marzzoco — O Encarregado ou DPO é uma figura extremamente importante na governança de dados pessoais, tendo em vista que é dele a função de realizar a interface entre a empresa, titulares e ANPD. Portanto, será a pessoa, física ou jurídica, indicada pelo controlador e operador, que será responsável por atender às requisições de titulares e da ANPD, prestar esclarecimentos quando solicitado e tomar providências quando determinado pela ANPD, além de manter a conscientização da empresa em relação à proteção de dados pessoais. Sem prejuízo disto, o controlador poderá atribuir outras atividades ao DPO que não terá responsabilidade pessoal em relação às eventuais multas aplicadas pela ANPD.
6- No Brasil, existe algum curso para se tornar encarregado (DPO)? Quais são os requisitos básicos para se tornar um?
Diogo Marzzoco — Existem alguns cursos, um deles ministrado pela Opice Blum Academy (https://www.opiceblumacademy.com/dpo). A Lei não atribui nenhum pré-requisito ao DPO, entretanto, é altamente recomendável que tenha conhecimento jurídico e regulatório assim como amplo conhecimento da operação da empresa em que trabalha ou presta serviço. Na GDPR, por exemplo, no artigo 37 (5) é mencionado que “O encarregado da proteção de dados é designado com base nas suas qualidades profissionais e, em especial, nos seus conhecimentos especializados no domínio do direito e das práticas de proteção de dados”.
Em razão destes conhecimentos específicos é que se verifica, no mercado, que a tendência é sempre vermos a indicação de DPOs que tenham formação em tecnologia ou Direito, não sendo dispensada a hipótese de pessoas com forte formação em Compliance, governança corporativa e gestão de riscos.
7- O senhor acha que passaremos agora por uma época de transformação quanto a famosa “Era do Big Data”? Isto é, a LGPD servirá como uma espécie de empecilho?
Diogo Marzzoco — Há quem diga que estamos migrando para a era do “small data” em razão do princípio da necessidade (art. 6, III da LGPD) que determina que o tratamento deva ser o menos intrusivo e considerar a menor quantidade de dados possível, cujo princípio é inspirado na minimização de dados pessoais preconizada pela GDPR (art. 5, 1 c). Entretanto, com o crescimento exponencial da economia digital que hoje já alcança quase 30% da economia mundial, sendo baseada amplamente no tratamento de dados pessoais, a transformação que está ocorrendo diz respeito à consciência e responsabilidade daqueles que tratam dados pessoais, que passarão a vê-lo como um ativo, cujo dono é o seu titular, a quem deve ser assegurado o exercício de diversos direitos, sem contar a obrigação de dar ao titular de dados pessoais a devida transparência sobre o tratamento.
8- Por fim, qual a mensagem o senhor passaria para o público que está tomando conhecimento da Lei Geral de Proteção de Dados (LGPD) agora? Há motivo para se preocupar?
Diogo Marzzoco — A LGPD não deve ser encarada como empecilho ou como um retrocesso, o que necessariamente passa muito pela interpretação adotada pelos advogados e órgãos reguladores. É muito importante que a LGPD seja encarada como oportunidade para que as empresas possam se autoconhecer, a ponto de tornar seus processos mais eficientes, higienizando-os caso eventualmente lidem com dados excessivos ou para fins que não sejam legítimos, podendo utilizar este processo de adequação como um diferencial de mercado, tornando a privacidade um dos valores da Companhia, vendendo isso ao mercado.
A preocupação fica para quem ainda não conhece a Lei ou não se organizou para o processo de adequação, que é trabalhoso e requer investimento em tecnologia e recurso humano para gerir a governança de dados a ser implementada, bastante engajamento de todos, desde a alta gestão até a base da estrutura, sem contar que as infrações poderão surtir multas que poderão atingir 2% do faturamento global da empresa ou grupo econômico limitada a R$ 50.000.000,00 (cinquenta milhões de reais), por infração, além de outras sanções previstas no artigo 52 da LGPD como a publicização da infração que pode gerar à empresa prejuízo reputacional que, a depender do caso, pode ser irreversível.
¹ Autoridade Nacional de Proteção de Dados Pessoais.
Diogo Marzzoco – Graduado pela Faculdades Metropolitanas Unidas (FMU), Pós-Graduado em Direito Civil pela Universidade Presbiteriana Mackenzie, Alumni do Data Privacy Brasil, Advogado no Opice Blum, Bruno, Abrusio e Vainzof Advogados, Instrutor convidado da Opice Blum Academy – Cursos voltados para Proteção de Dados Pessoais, Instrutor convidado da Legal Ethics Compliance (LEC) – cursos sobre os temas de Direito Digital, Compliance e Proteção de Dados.