Uma breve análise da realidade paralela da maioria dos Encarregados públicos no Brasil
A LGPD chegou como uma daquelas tempestades de verão, cheia de raios e trovões, prometendo transformar tudo em um paraíso para a proteção dos nossos dados pessoais, que passariam a ser mais protegidos do que barras de ouro em banco suíço. Mas, em meio a essa euforia (ou delírio coletivo), quem disse que o legislador se importou com os Encarregados?
Sim, esses heróis anônimos multidisciplinares, que têm a missão impossível de colocar ordem na casa do caos burocrático, se virando nos trinta sem tempo, muitas vezes sem o devido reconhecimento, sem equipe, sem orçamento, sem ferramentas especializadas – e, ainda por cima, geralmente sem ganhar um centavo a mais por isso. É quase como pedir para o Batman salvar Gotham City sem o Robin e o Batmóvel, dando a ele só um bilhete de metrô.
1. Os Encarregados e o fardo da ignorância
Na maioria dos órgãos públicos do país, ser Encarregado pela Proteção de Dados [Pessoais] ainda é como ser o último a sair da festa e ter que arrumar toda a bagunça. Só que, neste caso, ninguém te deu uma vassoura e os sacos de lixo estão escondidos em algum lugar entre a expectativa e a realidade.
É isso que acontece quando a responsabilidade cai, como um raio, nos ombros de um funcionário geralmente já afogado nas tarefas de sua outra função (ou funções) e que não foi previamente capacitado para assumir um compromisso que exige vários conhecimentos distintos (Direito, segurança da informação, gestão de riscos). O que deveria ser um cargo estratégico, como um CISO (Chief Information Security Officer), se torna um fardo ingrato, onde a única certeza é a cobrança por algo que ninguém sabe exatamente como deve ser feito (direito).
No caso dos Encarregados públicos, esse drama é especialmente agravado quando não é pré-estabelecido, pelo Executivo, um plano de governança de privacidade e proteção de dados pessoais que defina critérios e padronize normativos, procedimentos, meios, contratações, ferramentas e demais recursos comuns para todos os órgãos daquele mesmo poder – situação em que, ao invés de seguirem “um por todos e todos por um”, é cada um por si – criando uma colcha de retalhos que não cobre a todos com igualdade e isolando cada Encarregado em sua própria ilha deserta. Alguns estados contam com governos ou comitês de LGPD que demandam, apóiam ou autorizam ações de conformidade, mas muitos ainda estão na Idade da Pedra de qualquer planejamento, batendo cabeça nas paredes da caverna escura da burocracia, esfregando gravetos para que as faíscas de ações isoladas e descentralizadas magicamente se transformem na fogueira que irá iluminar o caminho pelo qual todos sairão de mãos dadas dessa caverna obscura. Ou não.
Diante dessa realidade, o Encarregado não deve esperar cair outro raio do céu para clarear seu horizonte: deve estudar e pesquisar por conta própria, requerer capacitação, participar de eventos, trocar experiências com seus pares e pedir ajuda – especialmente às suas assessorias jurídicas e PGEs (afinal, se trata da conformidade com uma lei, não é mesmo?). O DPO que continuar tentando decifrar a LGPD como quem interpreta estrelas em noites escuras está fadado a virar um astrólogo jurídico, fazendo previsões com base em palpites.
2. A transparência que desnuda
A transparência é uma das estrelas dos discursos de políticos e gestores públicos. Mas, quando se trata de LGPD, essa estrela pode rapidamente se transformar em um holofote incômodo, expondo mais do que deveria. Como lidar (corretamente) com pedidos de acesso à informação por parte da imprensa ou da sociedade civil sem expor dados pessoais desnecessariamente? Publicar informações de servidores, dados de partes de contratos públicos e afins também é uma dança perigosa entre a obrigação da transparência, o direito à informação e a proteção da privacidade – é quase um “problema dos três corpos”.
É fácil falar em transparência, mas difícil mesmo é sempre saber, com a total certeza que a lei exige, o que e como ocultar para proteger dados pessoais sem parecer que se está escondendo esqueletos no armário. E os que afirmam que isso é fácil de definir porque “a regra é clara”, ou não entenderam muito bem a complexidade da piada, ou só estão considerando o lado que defendem (o do máximo sigilo, ou o da máxima publicidade). Às vezes nem as próprias leis de transparência e privacidade se entendem, nos colocando no meio de um tiroteio jurídico em que o Encarregado é o xerife. O limbo, essa zona nublada e coberta por nevoeiro, é o habitat natural do Encarregado…
3. A bagunça dos dados fragmentados
Se você acha que a sua gaveta de meias é desorganizada, espere até ver o estado caótico dos processos e sistemas de dados de muitos órgãos públicos pelo país afora. É como tentar montar um quebra-cabeça com peças de diferentes jogos. Saúde, educação, segurança… tudo espalhado, cada um com seus sistemas egocêntricos, suas perigosas planilhas voadoras, sua lógica, sua própria bagunça. O Encarregado, nesse cenário, é como um detetive tentando juntar pistas de um crime cometido por vários bandidos que falam línguas diferentes, ou que se comunicam por sinais de fumaça binários.
E, como nada está tão ruim que não possa piorar, quando um vazamento de dados pessoais acontece, as cortinas se abrem e revelam um cenário tragicômico ao entrar no palco o plano de resposta a incidentes de segurança da informação padrão da maioria das empresas públicas e privadas: o famoso “barata voa”… Tudo vira um festival de improvisos, um show de horrores, com gente pelada gritando e correndo pelas ruas, sob o cheiro de pólvora e sangue!
OK, eu exagerei um pouco, mas pouquíssimas organizações possuem PRDs (Planos de Recuperação de Desastres), PRIs (Planos de Resposta a Incidentes), PCNs (Planos de Continuidade de Negócios) ou quaisquer outros documentos ou procedimentos formalizados de contingenciamento ou resposta a incidentes, devidamente testados e mantidos atualizados. Geralmente os mapas das rotas de fuga estão desenhados apenas nas cabeças de pessoas específicas (os famosos “donos dos processos”). A presença de uma área de gestão de Segurança da Informação e GRC (Gestão de Riscos) nos órgãos é essencial não só para normatizar atividades que garantam a segurança de dados de forma geral e a continuidade operacional de seus processos de negócio, mas também para auxiliar o DPO a reagir, da forma mais correta e rápida possível, a eventuais incidentes envolvendo dados pessoais – uma das exigências da ANPD.
4. Dilemas éticos e a busca por culpados
A LGPD traz à tona dilemas éticos que muitas vezes são varridos para debaixo do tapete. Por exemplo: como tratar os dados das populações vulneráveis sem cair em armadilhas discriminatórias? Como usar informações para políticas públicas sem desrespeitar direitos fundamentais? Como garantir que bases de dados compartilhadas entre diferentes órgãos não se tornem uma colcha de retalhos onde a privacidade se perde no caminho? Como equilibrar a necessidade de segurança pública com o direito à privacidade dos cidadãos em tempos de vigilância digital cada vez mais sofisticada? O que fazer quando os dados são coletados para um propósito específico, mas a tentação de reutilizá-los para outra finalidade parece irresistível, especialmente em tempos de crise?
Há ainda o dilema da interoperabilidade: será que, ao integrar sistemas para facilitar o acesso a serviços públicos, estamos também abrindo portas para violações massivas de privacidade? E quando surge a necessidade de uso de inteligência artificial para prever tendências ou direcionar políticas, quem garante que o algoritmo não vai reproduzir preconceitos históricos enraizados nos próprios dados – especialmente se o uso de dados pessoais para machine learning não é visto como boa prática? Estes são apenas alguns dos labirintos éticos que a LGPD nos força a percorrer, sempre fugindo do Minotauro.
E, quando o trem sai dos trilhos, adivinhe para onde os dedos pessoais apontam? Culpar os Encarregados é fácil, mas será que é justo? Num ambiente onde os recursos geralmente são tão limitados quanto piadas inéditas em festas de família, e a pressão regulatória e política é enorme, jogar a culpa em quem está na linha de frente é como dar um tiro no mensageiro.
5. Valorização e capacitação: o caminho para a salvação?
Os Encarregados não precisam de mais um diploma na parede. Nem querem. Precisam de reconhecimento, autonomia para tomar decisões que realmente façam diferença, recursos (orçamento, ferramentas, equipe), capacitação constante e, acima de tudo, uma visão estratégica que vá além do simples cumprimento de normas rabiscadas numa noite de insônia por algum burocrata. Os Encarregados não vencerão sem dedicação ao estudo e capacitação constantes, acesso direto e apoio total da alta direção (apoio que lhes conceda autonomia real), e sem as parcerias das áreas de TI, assessoria jurídica, segurança da informação e controles internos.
Além disso, a autonomia não pode ser apenas simbólica. Não adianta nomear um Encarregado e deixá-lo isolado em uma sala fria sem orçamento, equipe, ferramentas ou autoridade para influenciar decisões de nível estratégico ao operacional. É como colocar um maestro à frente de uma orquestra sem instrumentos e ainda assim esperar um concerto impecável.
Sem tudo isso, o trabalho do Encarregado se resume a uma coreografia de bêbados: preenchimento de checklists, formulários de incidentes e planilhas de controle (essas verdadeiras walking deads, que vêm e vão e nunca morrem), respostas a ofícios, emissão de relatórios de risco à privacidade e elaboração de pareceres, como se estivessem participando de um teatro burocrático soviético, enquanto os problemas reais continuam à espreita, nos bastidores das atividades clandestinas (não formalizadas), dos processos de tratamento de dados obscuros (não mapeados) e das fontes e bases de dados prosmíscuas (prosmíscuas mesmo).
Conclusão
Enfim, a LGPD é uma chance de ouro para os órgãos públicos se reconectarem com a sociedade, recuperarem a confiança perdida e, de sobra, melhorarem seus processos de negócio e fortalecerem suas áreas de Segurança da Informação e GRC (afinal, a eficácia da privacidade no setor público requer uma harmoniosa dança do acasalamento entre a confidencialidade e a disponibilidade). Para isso, a proteção aos dados pessoais deve ser uma prioridade genuína e não apenas mais uma obrigação legal a ser riscada da lista. Afinal, não é só sobre dados, leis ou regras de conformidade: é sobre pessoas, confiança, respeito.
Apesar dos esforços dos Encarregados, a LGPD continua um mistério complexo para muitos, como a Esfinge que desafia “decifra-me ou te devoro”. O caminho é longo, tortuoso e cheio de obstáculos dignos de um filme de Indiana Jones, mas quem disse que ser herói é fácil?
Texto original publicado por Rodrigo Faustini em 23/08/2024
Deixe um comentário