Por: RENATO LEITE MONTEIRO em Jota.
Alguns costumam dizer que a privacidade acabou, que ela estaria morta, em face da quase ubíqua coleta dos nossos dados pessoais para os mais diversos fins, na maioria das vezes sem o nosso conhecimento, além da constante necessidade de hiper-exposição das mais diferentes gerações adeptas ao uso incessante de smartphones, redes sociais e plataformas de comunicação instantânea.
Mas prefiro uma outra frase: “Privacy is not Dead, It is Hiring”, reverberada pelo Trevor Hughes, presidente da IAPP, a maior associação mundial de profissionais de privacidade, que recentemente atingiu a marca de 50 mil associados no mundo todo, resultado da proliferação de fortes leis como a GDPR e a Lei Geral de Proteção de Dados do Brasil, a LGPD. Mas para ser contratado é necessário estar preparado. E para estar preparado, é necessário, além de um conhecimento teórico, um vasto conhecimento prático de como os princípios, regras, leis de proteção de dados são efetivamente aplicadas. E este é o objetivo desse ensaio.
Após a excelente lista “18 livros e textos para entender Privacidade e Proteção de Dados Pessoais“, de autoria de Bruno Bioni, e o magistral texto “10 obras de privacidade e proteção de dados escritas por mulheres“, escrito por Maria Cecília Oliveira Gomes e Natalia Langenegger, este é o propósito desse artigo: fornecer ao leitor uma lista não-exaustiva de livros, fontes e referências que poderão lhe ajudar a adquirir um conhecimento pragmático e aplicar, na prática, o plexo regulatório de privacidade e proteção de dados pessoais. Vamos lá!
1) Guidelines e opinions do European Data Protection Board (EDPD) e do Working Party 29
Se eu tivesse que escolher uma única fonte de conteúdo para estudar a aplicação prática das normas, regras e princípios de proteção de dados, seria esta. Portanto, se você nunca se debruçou sobre o trabalho incrível da WP29 e da EDPB, o faça assim que terminar esse texto, sob o risco de ficar para trás da grande leva de profissionais se preparando fortemente para atuar nessa área.
O Working Party 29 era o órgão consultivo no contexto da antiga Diretiva Europeia de Proteção de Dados (EC 95/46), que foi substituída pela GDPR, e tinha a função, primordial, de interpretar o texto da diretiva. As opinions e guidelines do WP29, como era conhecido, eram ricas em aplicação prática dos conceitos mais espinhosos e abstratos da norma, como legítimo interesse, técnicas de anonimização e relatórios de impacto à privacidade. Apesar do extenso e importantíssimo trabalho, tais interpretações não eram vinculativas, mesmo diante do fato do mercado e das autoridades nacionais de proteção de dados efetivamente aplicarem as regras de proteção de dados por meio das lentes dessas orientações.
Entretanto, com a entrada em vigor da GDPR, o WP29 foi extinto, dando lugar ao European Data Protection Board (EDPB), que, dentre outras funções, exerce as de interpretar a nova regulamentação, desta vez com força vinculante. Com uma formação mais heterogênea, focada fortemente em dialogar com a sociedade civil, com o mercado e com os mais desafiadores modelos de negócio movidos à dados, o EDPB tem emitido opinions cada vez mais elaboradas, e ao mesmo tempo cada vez mais práticas. Todas as questões são detalhadamente analisadas e explicadas e, ao fim de cada seção, exemplos práticos, do cotidiano, fazem uma ponte entre o mundo das ideias e o plano térreo, concreto, real do leitor.
Todos os conteúdos do EDPB e do WP29 são de acesso livre, mas a International Association of Privacy Professionals (IAPP), entidade sobre a qual falaremos com mais detalhes a frente, desenvolveu um repositório único com todos os documentos. Mas, caso você não tenha tempo para ler todos eles, segue uma breve lista daqueles que podem lhe ser mais úteis:
Portanto, se você achar que esse texto não serve para muita coisa e não vale a pena continuar a leitura, esse tópico já pode salvar a sua vida. Mas tem muita coisa boa a frente!
Sabe o trabalho que mencionei acima, que aborda o conceito de dado pessoal de uma forma melhor do que as autoridades europeias de proteção de dados? Bem, é desse que irei falar agora.
Esse trabalho primoroso contempla os pilares básicos para o entendimento dos conceitos e ideias que orbitam o mundo da proteção de dados, quais sejam: o conceito de dado pessoal, anonimização e as diferentes adjetivações do consentimento, abrindo alas para o entendimento necessário para compreender as demais bases legais que compõem a LGPD, principalmente a do legítimo interesse.
Orquestrado com maestria pelo meu querido amigo Bruno Bioni, personagem nada coadjuvante do elenco estelar que colaborou com as discussões, redação e aprovação da LGDP, sobre quem falarei um pouco mais no tópico seguinte, esse trabalho foi desenvolvido no ventre do Grupo de Pesquisa em Políticas Públicas para o Acesso à Informação (GPOPAI), do Universidade de São Paulo (USP). Tive a singela oportunidade de colaborar indiretamente com as discussões, durante o trâmite do anteprojeto de lei geral de proteção de dados e dos diferentes projetos de lei que tramitavam nas duas casas do congresso nacional. Com uma linguagem simples, direta, recheada de exemplos, o autor ajudou a elucidar conceitos desconhecidos da grande maioria dos stakeholders presentes nas discussões da LGPD, colaborando amplamente para sanar dúvidas à questões e perguntas que antes nem eram colocadas à mesa.
Apesar de ter sido escrito há alguns anos, se mantém desafiadoramente atual, principalmente para quem está buscando iniciar os estudos na área de privacidade e proteção de dados. E, sabe do melhor, está disponível gratuitamente, livre acesso, sem que seja necessário fornecer qualquer dado pessoal seu!
3) Proteção de Dados Pessoais: a função e os limites do consentimento, Bruno (Ricardo) Bioni
Digo o seguinte sem qualquer dúvida na minha afirmação: Bruno (Ricardo) Bioni é hoje, na minha opinião, o autor e pesquisador brasileiro mais dedicado e focado para discutir sobre temas relacionados à proteção de dados pessoais. Conclamo essa afirmação sabendo do seu peso, mas o seu livro, fruto de anos de dedicação durante o seu mestrado na Universidade de São Paulo – USP, e outros longos anos que culminaram na sincronicidade do lançamento quase que pari passu com a LGPD, é a clara corroboração dessa pungente afirmação.
Tive a oportunidade de acompanhar de perto o amadurecimento da sua redação e das suas ideias. E, principalmente, na forma como elas ganharam vida no papel branco das 314 páginas da mais rica fonte de estudos, hoje, sobre a Lei Geral de Proteção de Dados do Brasil. Bruno Bioni, ao descrever as funções e os limites da base legal do consentimento, vai muito além: reavalia os alicerces da conclamada sociedade da informação e como os modelos de negócio que a formam são capazes de influenciar e moldar as nossas vidas de maneira sorrateira, opaca, tendenciosa. Ao reavaliar o papel do consentimento na proteção de dados pessoais, Bruno consegue colocar um sopro de esperança no princípio da autodeterminação informacional, que visa garantir ao indivíduo o efetivo controle sobre o seus dados pessoais, que são um reflexo da sua personalidade, um reflexo de quem realmente ele ou ela são.
Confesso que muito relutei, e reluto, a acreditar no consentimento numa base legal que se sustenta no meio de um ecossistema altamente completo de usos e reusos de dados pessoais (sou um fervoroso fã do legítimo interesse, quando aplicado adequadamente, após os devidos testes de proporcionalidade, e não como um cheque em branco para qualquer finalidade que surgir a cabeça do controlador).
Mas Bioni consegue contextualizá-lo com os vetores da aplicação da privacidade contextual: a boa-fé e a confiança, tratando o consentimento como um elemento essencial para garantir uma relação contínua e cativa de longa duração com o titular dos dados. Novamente, seu trabalho exagera de forma positiva em exemplos do cotidiano, próximos do leitor, que assim consegue facilmente internalizar as ideias defendidas pelo autor.
Ao final, quase me convenço da força do consentimento por si no meio de tanta discussão sobre big data, inteligência artificial, machine learning etc – quase. Mas isso mostra a força desse livro, que deve estar na cabeceira, no topo da lista, e na leitura obrigatória de qualquer bibliografia nacional sobre proteção de dados.
Ps: não consigo me acostumar com o “Ricardo” no meio do nome do Bruno. Parece que estou lidando com um personagem de uma peça de Shakespeare! Por isso os parênteses intrusos no meio do seu nome completo.
4) Lei Geral de Proteção de Dados do Brasil (Lei 13.709/2018) e General Data Protection Regulation – GDPR (EU 2016/679)
Bem, odeio dizer o óbvio, mas, como diria Bertold Brecht, as vezes é necessário dizê-lo: leiam e leiam o texto completo da Lei Geral de Proteção de Dados do Brasil, Lei 13.709/2018, alterada pela MP 869/2018. Todas as vezes que leio o texto deparo com novas leituras (numa redundância proposital), novas ideias e novas dúvidas! E é incrível como ainda existem profissionais que não separaram algumas horas do seu dia para ler o texto que tanto discutem e tanto afirmam saber.
Leiam o texto da lei até que as diferentes seções, conceitos e capítulos pareçam se conectar. E uma dica: nossa lei está cheia de erros de técnica legislativa. Por mais que sejam erros, até serem corrigidos (se um dia forem), o texto está posto, aberto a interpretações, muitas vezes diferentes do racional comum, dando margem para um infindável mundo de novas oportunidades de aplicação prática da norma. Apenas leia a lei quantas vezes puder!
Aqui também vale o já dito acima: leia a lei! Nesse caso, leia a regulação! Mas aqui trata-se de uma leitura mais densa, afinal, o mais importante não são necessariamente os 99 artigos que a compõem, mas sim as chamadas “considerandas”, ou “recitals“, preâmbulos explicativos e interpretativos da norma, que, apesar de não vinculantes, se tornam, assim como os guidelines e opinions da EDPB, a melhor fonte para aprender a interpretar, reinterpretar e discordar das formas de aplicação da GDPR.
As 173 considerandas, combinadas com os 99 artigos, compõem um texto complexo, descritivo, detalhista, mas rico, oriundo de várias gerações de leis de proteção de dados que datam ainda dos anos de 1970. Ler e compreender a GDPR é quase que como uma aula de história pela formação dos alicerces que sustentam a garantia de direitos fundamentais e humanos na União Europeia. E, ao mesmo tempo, é o instrumento mais forte para a sua adequada aplicação.
5) European Data Protection: Law and Practice, Eduardo Ustaran, IAPP
No primeiro tópico desse artigo mencionei a IAPP, a International Association of Privacy Professionals. Bem, se você ainda não a conhece, ela é simplesmente a maior e mais importante associação internacional de profissionais de privacidade do mundo, com mais de cinquenta mil membros mundo afora. Ela também é responsável por conceder as certificações mais reconhecidas pelo mercado (extremamente aquecido) ansioso por bons profissionais da área de proteção de dados. Essa fonte, e as duas próximas, são organizadas e de responsabilidade da IAPP. Portanto, recomendo fortemente se inteirar um pouco mais sobre a associação.
O livro “European Data Protection: Law and Practice“, organizado por um dos principais advogados na área no mundo, o Eduardo Ustaran, é a base do treinamento para a certificação IAPP – Certified Information Privacy Professional/Europe (CIPP/E), que reconhece os conhecimentos do profissional sobre o contexto da União Europeia de Proteção de Dados, algo que vai bem além da GDPR. Todavia, este livro é mais do que simples textbook preparativo para uma prova. É um verdadeiro manual prático de leitura e aplicação da GDPR. Com capítulos escritos por advogados com vasta experiência no seu meio, o resultado é um texto que realmente condiz com o título da obra: law and practice. Outra leitura essencial para quem deseja atuar na área.
6) Privacy Program Management, Russell Densmore, IAPP
O livro “Privacy Program Management“, desde a sua primeira edição, é a base do treinamento para a certificação IAPP – Certified Information Privacy Manager (CIPM). Se o CIPP/E é o “what” da proteção de dados com relação à UE, esse é o “how“. Em suma, o objetivo deste livro é ajudar a desenvolver o programa de governança corporativa em privacidade e proteção de dados de entidades privadas e públicas. Como elaborar e aplicar adequadamente um programa corporativo de privacidade é o objetivo primeiro (não o principal, que é garantir direitos e liberdades fundamentais do titular dos dados) de um projeto de conformidade com leis de proteção de dados.
Muitos se preocupam com o que a lei diz, mas poucos são treinados, ou realmente se preocupam em: (i) como criar e manter uma visão sobre privacidade da empresa. Dica: apenas dizer que respeita a privacidade e a proteção de dados dos titulares não é o suficiente; (ii) como estruturar uma equipe de privacidade. Não existe um modelo único, e a mera indicação de um Data Protection Officer está longe de ser o adequado. Um time precisa ser plural, multidepartamental, com habilidades e conhecimentos distintos, mas complementares; (iii) como se comunicar com os stakeholders envolvidos na visão de privacidade da empresa e com todos que, direta ou indiretamente, lidam com dados pessoais. Ou seja, todos dentro de uma organização. A linguagem correta é essencial para que um programa de privacidade ganhe vida além das políticas e documentos que o descrevem; (iv) como medir o desempenho de um programa, afinal, “what cannot be measured cannot be improved“; e (v) como garantir o ciclo de vida operacional do programa de privacidade, pois este é um ente vivo, e deve ser periodicamente reavaliado. Métricas adequadas devem ser estabelecidas para que ele possa sempre ser melhorado e adequado à estrutura da entidade.
Em suma, este livro vai lhe ajudar a fazer a sua organização funcionar, a você ser a pessoa responsável pela operações rotineiras relacionadas à privacidade e proteção de dados. Quer atuar na área de privacidade e proteção de dados? Leia esse livro!
Antes de escrever esse tópico, devo avisar que acessar tal repositório de informações pode causar FOMO, ou seja, “Fear Of Missing Out“. Afinal, o Daily Dashboard da IAPP é uma fonte diária e abrangente de notícias e informações do mundo inteiro relacionadas à privacidade à proteção de dados. Do Chile à Vladivostok (algum leitor aqui jogava War?); de Londres à Nova Zelândia; de decisões da Corte de Justiça Europeia às autoridades nacionais de proteção de dados da UE e de vários países, o Daily Dashboard permitirá que você se mantenha atualizado sobre os mais importantes acontecimentos na área. Mas confesso que é difícil acompanhar tudo, principalmente nos últimos anos, uma vez que privacidade se tornou um hot topic mundial, objeto de conversas e discussões nos mais diferentes rincões e profissões. Considere esse o seu jornal diário sobre privacidade. Apenas o leia.
8) Data Processing Agreements: Coordination, Drafting and Negotiations, Justin B. Weiss
O livro mal foi lançado e já está praticamente esgotado. Organizado pelo advogado e membro do board da IAPP, Justin Weiss é um dos mais habilidosos profissionais de privacidade que tive a oportunidade de conhecer. A forma como ele consegue explicar de maneira simples a mais complexas situações e casos envolvendo o uso de dados claramente influenciou os capítulos e assuntos desta obra. Como relatado no seu prefácio, o livro nasceu do desejo de vários profissionais de privacidade de tornar simples os contratos (“data processing agreements“) que desenham as instruções de como dados pessoais devem ser tratados entre os diferentes agentes de tratamento, principalmente controladores e operadores (data controllers e data processors). Essa vontade deu origem um grupo de trabalho que durante todo o ano de 2018 trabalhou para desenvolver um modelo-padrão de data processing agreement. O resultado está disponível para todos no site da IAPP e serviu de esqueleto para o livro.
Esta obra descreve, em cada um dos seus capítulos, de maneira simples e acessível, partes específicas de um contrato-modelo de processamento de dados pessoais, dentre as quais, se destacam: (i) a diferença entre um contrato que rege obrigações principais entre as partes das obrigações relativas ao processamento de dados pessoais; (ii) como definir, em um data processing agreement, quem deverá atuar como um controlador, um operador e um sub-operador, e as obrigaçõe de cada um dos diferentes agentes de tratamento de dados; (iii) como endereçar no agreement os direitos dos titulares, como estes deverão ser atendidos, e a cooperação entre os diferentes agentes de tratamento nesta tarefa; (iv) padrões e práticas de segurança da informação e resposta à incidentes; (v) direitos de auditoria e de regresso; (vi) responsabilidade, indenizações e alocação de riscos; (vi) transferências internacionais de dados; e (vii) aborda técnicas de negociações destes documentos. Por fim, fornece um modelo-padrão de um data processing agreement, que deve ser constantemente melhorado e adaptados ao diferentes contextos do tratamento de dados pessoais.
Em suma, se você, de alguma forma, elabora, revisa ou negocia data processing agreements, você precisa ter e se debruçar sobre este livro.
Decore estas siglas. Elas representam, respectivamente, o Information Commissioner’s Office, autoridade de proteção de dados do Reino Unido, e a Commission Nationale de l’Informatique et des Libertés, autoridade nacional da França, que estão entre as mais ativas autoridades nacionais de proteção de dados. Além da intensa atividade de oversight e enforcement das leis de proteção de dados nacionais e da União Europeia, elas têm uma importante papel de conscientização e divulgação de conhecimento. Seus guias, manuais e, principalmente, decisões têm um caráter pedagógico instrumental para o modo como o mundo encara a aplicação destas normas. O ICO, em especial, tem um grande objetivo em simplificar processos de conformidade, e por isso desenvolve manuais para pequenas, médias e grandes empresas. Ainda, este, recentemente, criou um espaço, chamado de sandbox regulatório, em que permite que empresas inovem, dentro de um ambiente controlado e limitado, no uso de dados pessoais que tenha um benefício público, sem que necessariamente estejam adstritas às eventuais restrições impostas pela GDPR e o UK Data Protection Act. O resultado desse experimento pode trazer conclusões inesperadas e até mesmo ajudar a moldar às futuras leis de proteção de dados. Devemos aguardar ansiosamente por eles.
O CNIL tem atuado fortemente sobre alguns mercados, como o de publicidade digital e data brokers. A maior multa já aplicada no contexto de uma lei de proteção de dados foi emitida por esta autoridade, e muitas mais devem estar por vir. Sua atuação chama atenção pelo detalhismo e interpretações desafiadoras. Seu modus operandi é um aprendizado por si só que deve ser acompanhado de perto, mesmo por aqueles que não dominam a língua mãe de Napoleão Bonaparte.
10) Handbook on European Data Protection Law, 2018 Edition, Council of Europe
Para finalizar essa lista, não podia deixar de mencionar o “Handbook on European Data Protection Law“. Esta obra primorosa, ainda é, infelizmente, pouco conhecida no Brasil. Na sua segunda edição (tive a oportunidade de ajudar na revisão da primeira edição, em 2014, quando fui student visitor do Data Protection Department do Council of Europe), este livro reúne, analisa e explica as mais importantes decisões da Corte de Justiça União Europeia e da Corte de Direitos Humanos Europeia sobre privacidade e proteção de dados. Vozes últimas na interpretação das leis de proteção de dados e da Carta de Direitos Fundamentais da União Europeia, suas decisões têm efeitos vinculativos e podem se sobrepor, inclusive, aos entendimentos do European Data Protection Board, mencionado no primeiro tópico deste artigo, e podem afetar, inclusive, outras jurisdições, como no caso Costeja, que conclamou o “direito ao esquecimento” e influenciou empresas do mundo inteiro. E o melhor, está disponível gratuidade e com acesso livre. Apenas aproveite!
Quando comecei a me debruçar sobre os estudos e a atuar na área de privacidade e proteção de dados, há quase 10 anos, foi muito difícil encontrar doutrinas e fontes adequadas, mesmo que elas já fossem amplamente difundidas em outros mercados, como o da UE.
Vivemos em outros momentos, em que a proliferação de profissionais interessados pela temática cresce de forma exponencial, e o acesso a recursos de qualidade é amplo. Portanto, espero que esse artigo seja útil para alimentar a sua fome por conhecimento prático, aplicável às suas diferentes formas de atuação. Caso não seja, pelo menos tinham algumas piadas espalhadas por aí.
Boas leituras!
Fonte de pesquisa: https://www.jota.info/carreira/o-que-voce-realmente-precisa-ler-para-atuar-com-privacidade-e-protecao-de-dados-31052019
*Edição IGSA
85 3066-5236
