Ela é uma das principais autoridades em Direito Digital e Tecnologia da Informação do país. A advogada Patrícia Peck é membro titular do Conselho Nacional de Proteção de Dados Pessoais (CNPD). A entidade tem a participação de representantes da sociedade civil e do poder público e faz parte da estrutura da Autoridade Nacional de Proteção de Dados (ANPD). O papel da especialista junto ao CNPD é consultivo e inclui aconselhamento e orientação técnica. Como integrante do Conselho, a advogada vai ajudar, por exemplo, a propor debates, estudos, propostas e audiências públicas.
Recentemente ela também lançou uma nova firma dedicada à transformação e à inovação digital e vai atuar com demandas relacionadas a novas regulamentações sobre ética de dados, privacidade, LGPD, inteligência artificial, blockchain, propriedade intelectual, cibersegurança, crimes digitais, entre outros.
Leia também: LGPD: Consumidor tem direito limitado à exclusão de dados por empresas
Em uma conversa com LexLatin, a advogada fala sobre o atual ambiente de vigência da Lei Geral de Proteção de Dados, a LGPD, e o papel da ANPD e do CNPD. Acompanhe a entrevista.
Luciano Teixeira: Como está hoje o trabalho no CNPD? Em que ponto estão as discussões?
Patrícia Peck: O Conselho Nacional veio a ser instituído com a nomeação dos conselheiros no mês de agosto de 2021, com a completa vigência da norma, porque começou a aplicação de multas de acordo com a legislação. Nós tivemos a reunião inaugural do Conselho com a apresentação dos seus integrantes e participação inicial praticamente de todos. O Conselho teve uma reunião inaugural em setembro. A primeira reunião técnica foi em novembro, onde começamos a trabalhar o regimento interno e entender como vai ser a condução das atividades do conselho.
Uma das nossas obrigações é dar suporte na continuidade da regulamentação da legislação. Tem ainda muitos artigos que dependem de uma melhoria da regulamentação. Outra temática de desafio é fomentar a cultura de proteção de dados no país, como as iniciativas educacionais.
LT: Quais as questões relevantes no trabalho da ANPD a partir de agora?
PP: Há temas hoje que são considerados prioritários, como a temática relacionada a regras para pequenas e médias empresas, que já está na pauta da ANPD. A questão de tratamento de dados de crianças e adolescentes também. Há ainda a própria questão de a ANPD estar conduzindo o tema de proteção de dados com a questão eleitoral. Existe uma preocupação grande com a questão da segurança cibernética, porque aconteceram alguns mega vazamentos de dados.
A discussão agora é como conduzir e avaliar, por exemplo, as situações de incidentes. Casos de vazamentos de dados envolvem quem não cumpriu com as medidas preventivas e técnicas e administrativas que a lei exige.
Há ainda a situação da instituição que é vitimada num crime digital. O sequestro de dados hoje tem quadrilhas atuando, tem o crime organizado digital operando no Brasil e nós estamos sofrendo uma crise de segurança digital.
É preciso avaliar caso a caso. Um exemplo é como lidar com a situação da empresa ou instituição que aplicou todas as medidas de segurança de prevenção e mesmo assim sofreu uma um ataque cibernético e se tornou vítima de um sequestro de dados.
Não dá para multar quem cumpriu com a legislação. É a mesma coisa de dizer assim: eu vou multar um restaurante que foi assaltado? Você é vítima de um crime e vai ser multado? Então, há uma pré disposição de trabalhar muito mais em medidas relacionadas a Termos de Ajuste de Conduta e medidas educativas relacionadas a esse tipo de questão.
LT: Existe hoje uma forma de efetivar, sob o ponto de vista da lei, medidas eficazes de punição aos hackers?
PP: Precisamos trabalhar melhor a regulamentação do artigo 4º da LGPD, que trata da aplicação das exceções relacionadas à segurança pública, segurança nacional e investigação criminal. Do ponto de vista de outras legislações, nós tivemos uma melhoria recente, que saiu em 2021, uma lei para melhorar o combate especificamente da fraude eletrônica.
A Lei nº14.155 de 2021 tenta buscar a melhoria das alterações do artigo 154A do Código Penal, quando você tem invasão de dispositivo informático para gerar um aumento da pena e também trazer a questão do estelionato digital. A comunidade de bancos comemorou essa legislação. Mas a norma ainda não alcança a necessidade que nós temos de ter uma criminalização dessas condutas relacionadas ao sequestro de dados. Precisamos de uma legislação mais efetiva.
A administração Biden nos Estados Unidos convocou uma série de países para tratar sobre a gravidade do ataque cibernético que envolve crime de sequestro de dados, que paralisa operações e que envolve não só ataques internos, mas internacionais com quadrilhas que operam em ambiente estrangeiro.
E até equiparar esse tipo de conduta a uma ameaça terrorista. Precisamos dar um tratamento especial a essa questão, porque 2021 foi o ano do sequestro de dados e nada que tenha sido providenciado até então evita que em 2022 isso se repita.
LT: Como fica a questão do tratamento de dados no período eleitoral?
Nós já temos a regulamentação do Tribunal Superior Eleitoral (TSE) com relação à utilização de dados pessoais nas campanhas eleitorais e nas campanhas políticas. A LGPD tem diretrizes sobre a questão, atendendo seus princípios de transparência, de legitimidade e de consentimento.
Tem que ter muito cuidado nas eleições com esse envio indiscriminado de abordagem e de mensagem eleitoral para pessoas que não tenham tido nenhum tipo de cadastro ou solicitação de que queria ou que gostaria de receber aquela comunicação de campanha eleitoral.
O que está sendo organizado nesse convênio que foi celebrado entre a ANPD e o TSE é justamente a utilização do próprio canal já tradicional de denúncias, que é a estrutura eleitoral nos tribunais regionais. A análise e apreciação da matéria sobre proteção de dados vai ser feita em conjunto com a ANPD, porque é matéria especifica.
Essa é a importância de centralizar a interpretação de proteção de dados na ANPD. Há uma preocupação com relação às plataformas digitais e a regulamentação dessa abordagem, como o telemarketing e o envio de mensagens indiscriminado.
LT: Em relação ao telemarketing indesejado, a LGPD se aplica a esses casos?
PP: A partir do momento que você tem conhecimento de quem está ligando e em nome de qual marca, fica o risco para o controlador do dado, a marca anunciante. Existe uma empresa terceirizada, que é a de telemarketing, que está fazendo a ligação e na hora em que você diz que não gostaria de dar continuidade, eles deveriam, então, atender o direito do titular e fazer a exclusão da base de dados.
Com esse registro de que houve a ligação e que você já fez essa solicitação, existem dois caminhos. Todos os controladores hoje têm que, no seu site, ter um canal de contato para atender direitos de titulares que é o "Fale com o GPO" ou o encarregado de dados - aquela exigência do artigo 41 da LGPD. Então, você deveria poder acessar o site, no caso da empresa de telecom ou da operadora de TV a cabo, por exemplo.
Nesse canal você pode fazer a denúncia e dizer: "olha, tenho sido abordado e quero exercer meu direito de titular de exclusão dos meus dados, de apagamento de dados".
Veja também: Tecnologias de reconhecimento facial e LGPD
A forma como foi colocado o regulamento sancionador da autoridade, para que o cidadão faça a denúncia à ANPD, é importante que ele tenha feito a denúncia à empresa controladora de dados primeiro.
Foi assim que ficou no regulamento sancionador. Muitos titulares têm feito a denúncia também no portal do consumidor, que também é um canal de denúncia, pela parceria que a ANPD fez com a Senacon. Porque são assuntos relacionados a direito do consumidor. Pela previsão da nossa legislação, quando o tema é consumidor, pelo artigo 18 da Lei, parágrafo oitavo, o titular pode também fazer a denúncia no órgão de defesa do consumidor, não só na ANPD.
LT: As pessoas podem processar a empresa, por exemplo? Podem pedir uma indenização? O que é possível fazer? Que direito o consumidor tem dentro dessa discussão?
PP: Tem previsão, não só da LGPD, mas do próprio Código de Defesa do Consumidor. Temos mais de 600 ações com tema de LGPD hoje no país. Praticamente 45% disso é no âmbito trabalhista, o restante é no âmbito de consumidor, pedindo ressarcimento e dano moral. Depende de qual é o tipo de infração. Tem desde consumidor alegando que houve vazamento do seu dado, exposição de seus dados na internet, e daí, portanto, existe um dano efetivo ao consumidor alegando esse desassossego, que é a abordagem demasiada de contatos, sendo que ele já pediu o apagamento da base de dados.
LT: Por que as empresas continuam adotando essa prática no Brasil já que as sanções da LGPD já estão valendo?
PP: Como acontece com qualquer legislação nova, é preciso uma mudança de cultura e de procedimentos. As empresas precisam ainda entender que vale mais estar cumprindo com a legislação do que não cumprindo. Para que isto aconteça é necessário que seja exercida a denúncia do cidadão. O brasileiro ainda não tem o conhecimento completo da norma. Ou também fica incomodado, recebe aquela ligação, mas não vai exercer o seu direito e fazer uma denúncia.
Um número maior de denúncias fará com que a empresa tome providências. Se ela fizer mil ligações e tiver um ou dois que realmente chegam ao ponto de fazer uma denúncia, ainda, no custo benefício, está valendo a pena a insistência em fazer a ligação. Então acaba sendo um pouco um dever de cidadania, de exigir o cumprimento da legislação.
LT: Falando um pouco sobre tratamento de dados de crianças e adolescentes. O que é preciso atentar em relação a essa questão?
PP: A legislação trouxe uma preocupação adicional de aumentar o nível de proteção do tratamento de dados de crianças e adolescentes, até por conta de um uso maior e maciço de recursos digitais envolvendo esse público. Você poder exigir, principalmente na categoria criança, que é o menor de 13 anos de idade, que seja necessário um consentimento parental para aquele tratamento de dados.
Todo aquele que se envolve com crianças e adolescentes precisa ter um procedimento para essa captura de dados adequada. E também faz parte do processo educativo. É importante comentar que a legislação quer fomentar também uma cultura nos usuários, mas hoje vivemos uma realidade que as próprias pessoas passam a sua informação, de qualquer maneira, para qualquer um. Às vezes até em casos de uma promessa de um benefício de curto prazo. O amadurecimento da cultura de proteção de dados faz com que as pessoas também se tornem mais criteriosas.
Para qual instituição eu vou passar o meu dado pessoal? Qual é a regra? Qual política? Você tem um canal para que eu possa depois exercer o meu direito de titular? Já tem o encarregado nomeado? Então, como você trata, qual o nível de segurança do tratamento de dados pessoais? A partir do momento que investirmos mais na educação sobre proteção de dados pessoais também vamos passar a ter uma sociedade que é mais exigente nessas trocas, nesse compartilhamento das informações.
Hoje, se você olhar no nosso dia a dia, no que é comum, compartilhamos mais informação que o necessário. E isso é generalizado. Às vezes um lado vai dizer assim: você também me dá o seu nome, seu celular, o seu e-mail? Para que você precisa de tudo isso? De todos esses canais de contatos? A lei traz o princípio da minimização.
LT: Vou citar o exemplo da farmácia. O argumento que os funcionários usam para pedir essa identificação tem relação com possíveis descontos.
PP: As políticas de fidelização de clientela, programas em geral de fidelização e de desconto, usam a chave do CPF para identificação de clientes. Agora, se a pessoa não quiser isso ela não tem nenhum tipo de obrigação de fornecer, a não ser para fins fiscais.
LT: As empresas todas correram para se adequar à LGPD, fizeram um processo, ainda estão fazendo, muitas estão atrasadas. O que você falaria hoje para essas empresas?
PP: Que precisam se preocupar em investir em conscientização, nas ferramentas de segurança e deixar regras claras, com atualização de políticas e de contratos. As equipes precisam ser treinadas. Mas ainda vemos muitas empresas que não realizaram nenhum tipo de iniciativa, de palestra ou de qualquer tipo de orientação sobre proteção de dados para suas equipes.
E a legislação já está vigente. É um dever do empregador essa orientação a partir do momento que você tem uma regulamentação. Esse tripé da ferramenta de segurança, de atualizar a política da empresa e o clausulado contratual é o mínimo necessário para iniciar a jornada do programa de privacidade e proteção de dados.
E o que esperamos ver para os próximos anos é algo parecido com o que aconteceu na Europa. Conforme você amadurece e passa o tempo, tem certos deslizes que passam a não ser mais perdoáveis. Por exemplo, você não tem a política de privacidade publicada no site e o aviso de tratamento de dados na recepção do prédio. Você entra num prédio e tem que capturar uma informação da pessoa e não tem o aviso de captura de dados pessoais por conta de videovigilância, de ter câmeras. Tem que colocar o aviso, como a legislação fala do dever de transparência.
Você acessou o site, cadê a política? Onde que está o aviso de cookie? Você entrou no prédio que está aquela instituição, onde está o aviso de tratamento de dado? Esses pontos mais externos, mais exteriorizados, são muito rápidos de serem pegos em situação de fiscalização. Além disso, é essa preocupação com a camada de negócios que são os terceirizados e a gestão de risco deles. Um dos grandes desafios na proteção é o parceiro de negócios.
LT: O quanto o Open Finance e o Open Banking vão de encontro à LGPD? O quanto essa política dos dados pessoais, de você ser dono de seus dados pessoais, principalmente na área bancária, complementa e avança nessa questão de dados pessoais no Brasil?
PP: A evolução do Open Banking depende diretamente de estarmos num estágio mais maduro de proteção de dados pessoais porque, se não, nós estamos aumentando o risco. Por que você passa a ter muito mais participantes do ecossistema que vão precisar compartilhar dados. Então, logicamente, dentro do Open Banking você já tem ali exigências relacionadas a questões de cibersegurança para a instituição financeira, mas conforme você vai alcançando para o estágio 3 e 4 do Open Banking, você vai ampliando os participantes que entram - como acontece com as instituições de pagamentos, entre outras.
Mais sobre o assunto: LGPD e os cuidados na coleta de dados de vacinação de funcionários
Vai tendo um aumento de risco se não estiverem atendendo o mínimo de segurança digital. Porque passa a ter todo um compartilhamento de dados nesse ambiente. E aí o atendimento do consentimento previsto pelo Open Banking atende a critérios do consentimento da LGPD e exige formalidade que tem que estar em evidência eletrônica.
Uma grande preocupação hoje no Brasil é que estamos ampliando o ambiente de transações digitais, de meios de pagamentos digitais, mas não estarmos num bom patamar de melhores práticas de proteção de dados - há os mega vazamentos - é muito fácil você sofrer o identity thief, o furto de identidade.
Add new comment