Por Waldyr Lima Junior – Analista em Tecnologia da Informação

A LGPD (Lei Geral de Proteção de Dados Pessoais) é uma conquista da sociedade que, muitas vezes, tem suas informações pessoais utilizadas sem consentimento ou de forma ilegal por organizações e empresas. A LGPD foi criada para regularizar essa questão e tem como objetivo: acabar com a venda dos dados pessoais a terceiros, com a falta de segurança na preservação dessas informações e de controles administrativos, lógicos e físicos ineficientes. Uma baita conquista para o povo brasileiro!

Além da necessidade de proteger e tratar melhor os dados pessoais, um dos grandes motivadores para a criação da LGDP, foi o “recado dado” pela antecessora, a Lei de Dados Europeia (GDPR), que afirmou que países que não tivessem leis de tratamento de dados, estariam "fora do mercado".

Ou seja, como o impacto na economia brasileira seria grande, baseou-se na lei europeia para a lei brasileira com adequações à realidade nacional.  Lembrando da frase "Dados são o novo petróleo", do matemático londrino Clive Humbly, nada mais justo que todas as nações tenham uma legislação adequada para tratar do ativo mais valioso da Terra nos dias de hoje.

Vale ressaltar que antes da LGPD, o Marco Civil da Internet, e o próprio Código do Consumidor, já falavam sobre a violação de direitos no uso de dados pessoais sem consentimento. Porém, a LGPD é bem mais robusta e trouxe atores e conceitos nunca vistos em leis brasileiras como, por exemplo, a diferença entre dado pessoal e dado sensível, operador e controlador, e instituição de uma autoridade para regulamentar o tratamento dos dados: ANPD (Autoridade Nacional de Proteção de Dados Pessoais).

Pessoas, processos e tecnologias

Sendo assim, a LGPD regulamenta dois princípios essenciais para a área de tecnologia: a segurança e a prevenção dos dados. Nesse contexto, pessoas, processos e tecnologias são fortemente impactados pela lei. Tratando-se de tecnologia da informação, equipamentos de hardwares e, principalmente, softwares, exigem excelentes meios de controles administrativos, lógicos e físicos.

Na esfera administrativa, a TI deve aprimorar as políticas de segurança da informação, de cookies, termos de privacidade, mapeamento de dados, relatório de impacto de dados, etc. Na esfera lógica, uso de criptografia, anonimização, pseudonimização, desenvolvimento seguro de aplicações (esteira devSecOps), segurança nas operações e comunicações, controles de acesso, etc. Na física, a TI deverá cuidar de procedimentos de segurança patrimonial desde a entrada da organização (entrada com dispositivos de armazenamento móveis, por exemplo) até mesmo catracas, acesso por biometria a salas restritas ou salas cofre que contenham servidores de dados.

Vantagens da LGDP

Ter uma lei regulamentando o uso de dados, tem como vantagens: aquecimento da economia pela confiança que passará aos países estrangeiros nos negócios internacionais; aumento substancial da segurança da informação automaticamente em todos os setores que utilizam dados pessoais; mercado privado mais competitivo e menos invasivo, com clientes buscando empresas que cumpram a LGPD; e mais respeito aos direitos dos cidadãos.

Quem nunca recebeu um contato indesejado sem consentimento? Eu mesmo tenho usado a lei para isolar-me dessas empresas irresponsáveis. Confesso que não recebo mais ligações e mensagens de pequenas empresas após ter feito o pedido de exclusão cadastral, mas confesso que grandes operadoras, principalmente telefônicas, ainda entram em contato insistentemente sem meu consentimento.

Me intriga e preocupa que alguns desses contatos saibam muito sobre a gente: telefone, nome completo, nome dos pais, CPF, dentre outros. Me questiono se eles conseguem esses dados na Deep ou Dark web, de base de dados de sistemas governamentais invadidos, de um servidor ou funcionário revoltado. Pois, fora "o susto" que levamos ao receber essas ligações, nossos dados vazados estão sendo utilizados por criminosos para fraudes e extorsões.

A LGDP busca minimizar ações ilegais porque traz um conjunto de determinações legais que balizam o tratamento das informações pessoais.

LGPD no Governo

Em 2020, eu estava lotado no Ministério da Justiça e foi feita uma capacitação de servidores sobre a LGDP. Após um curso, recebi a demanda, mediante um estudo técnico preliminar de contratação, de elaborar um termo de referência para contratar uma solução de tecnologia para leiloar on-line alguns bens apreendidos pelo tráfico de drogas.

Veja bem: a sociedade poderia se cadastrar em um site, com seus dados pessoais, para arrematar um bem em nome do MJ. Quantos riscos, não? Cadastrar dados pessoais em empresa terceira e ainda ter que dar transparência ao processo sem expor dados pessoais de quem arrematou os bens. Ou seja, era preciso mascarar dados e manter a anonimização, dentre outros desafios.

Uma boa sacada inicial foi listar quais controles os poucos fornecedores ou operadores desse tipo de solução de software como serviço já contemplavam. Por meio do produto médio da maturidade deles nas respostas, eu poderia cobrar, em um anexo em termo de referência, sem me preocupar com uma licitação deserta.

O resultado desse trabalho foi bom e percebi que havia produzido um conteúdo único e muito rico sobre o assunto.

Assim, decidi escrever um livro digital visionário chamado "LGPD, como contratar um operador introduzindo a lei". Nele, listo os controles que considero ser importantes para a contratação de um software, fazendo da TI uma base para apoiar a LGPD.

Como o ATI pode ajudar na adequação a LGPD no setor público?

O ATI é um servidor importantíssimo para a economia brasileira, pois contrata e fiscaliza contratos em tecnologia e comunicação que somam mais de 8 bilhões de reais. A maior parte desses contratos envolvem a LGPD por possuírem grande massa de dados pessoais em seus objetos.

Sendo assim, é possível compreender porque o ATI precisa de valorização e de um plano de carreira específico, ser treinado e remunerado adequadamente.

Os ATIs devem sempre buscar empresas terceirizadas de qualidade e, se necessário, obrigando-as a se adequarem a LGDP com o intuito de que esse terceiro possa responder solidariamente a qualquer causa judicial envolvendo dados pessoais sobre sua responsabilidade.

Nos casos de fiscalização de contratos já vigentes, deve se aditivar os contratos buscando a adequação, e por fim, tendo zelo e preocupação com dados pessoais no encerramento dos contratos e continuidade de negócio para um novo operador.