G-CJQGJV70LK
CANAL MARCOS DUARTE

Um Cavalo de Tróia na LGPD

A segurança jurídica que desejada com a LGPD para os setores público e privado é inadiável para o alinhamento do Brasil em relação ao resto do mundo.

Por Marcos Duarte em 12/03/2021 às 07:55:27

Marcilio Braz é advogado, gerente de projetos em TI, professor e fundador da Privacy Academy.

Autor: Marcilio Braz, advogado, gerente de projetos em TI, professor e fundador da Privacy Academy.

Podemos enfim comemorar. A Lei Geral de Proteção de Dados (LGPD) que regulará o tratamento de dados pessoais, veio enfim ao mundo (18/09). Porém ao estabelecer como todos nós poderemos exercer nossos direitos, ela traz em sua redação um desafio que oscila entre o inexequível e o temerário.

Inexequível ao determinar que o responsável pelo tratamento deverá, de modo imediato, responder à requisição do titular. Qualquer europeu que está vivenciando por lá o verdadeiro calvário que é responder tais requisições, mesmo um simples "sim/não" sobre a existência de dados em suas bases, deve estranhar nossa lei.

Temerário pois na continuação do previsto na LGPD, em princípio sem chance de prorrogação, há o prazo de 15 dias para "por meio de declaração clara e completa, que indique a origem dos dados, a inexistência de registro, os critérios utilizados e a finalidade do tratamento". E é aí que reside mais um grande risco e problema.

Tomado isoladamente, pode assim não parecer. Apesar do ineditismo da LGPD para nós, temos uma lei equivalente na Europa em vigor desde maio de 2018, o GDPR (General Data Protection Regulation).

Contextualizando, em maio de 2020, a Sapio Research levantou que no Reino Unido apenas 52% das requisições dos titulares de dados são atendidas dentro dos 30 dias iniciais. Lá, diferente daqui o prazo é de 30 dias, prorrogáveis por mais 60 dias. Fazendo uma simples "regra de três" comparativamente seriam otimistas míseros 26% de solicitações atendidas dentro do prazo da LGPD. Os 74% restantes?

Um risco concreto de ações judiciais a caminho, uma vez que sequer dispõe-se nesse momento da instância administrativa da ANPD para se valer o titular, pois também está previsto na LGPD que esse tem o direito de peticionar junto a ela em relação aos seus dados contra o agente de tratamento. E os custos das potenciais ações não devem ser considerados desprezíveis nem estas, improváveis.

Some-se a isso que o custo médio de uma requisição, ainda segundo o estudo da Sapio, é de US$ 6.330, algo em torno de R$ 33.000 reais. Acrescente-se no futuro o custo das sanções, por enquanto suspensas, pois a lei como hoje está prevê que as mesmas só poderão ser aplicadas a partir de Agosto de 2021.

Entretanto como se pode observar, as eventuais sanções se tornam "um mero detalhe" e o fatiamento da LGPD com a eficácia de todos os dispositivos desde já exceto os que preveem as sanções pode levar à falsa sensação que "se ganhou tempo" e não é o caso.

Talvez tenhamos uma "tempestade perfeita" surgindo no horizonte. Em meio a merecida comemoração, precisamos discutir esses pontos, sob pena de termos efeitos à credibilidade da própria lei e uma oneração ainda não prevista pela grande maioria do empresariado que sequer sabe sobre a existência da LGPD.

A segurança jurídica que desejada com a LGPD para os setores público e privado é inadiável para o alinhamento do Brasil em relação ao resto do mundo. Ao mesmo tempo, a garantia efetiva dos direitos de todos nós, cidadãos e titulares de dados, precisava, de fato, ser urgentemente estabelecida.

Mas esse equilíbrio exige que sejam considerados todos os aspectos práticos envolvidos: técnicos e administrativos, inclusive. A persistir como está, um único artigo da LGPD pode vir a feri-la gravemente.

Uma construção de anos, ser comprometida. Urge, pois, que esse verdadeiro "Cavalo de Tróia" seja desmontado o quanto antes, sob pena de virarmos no final do dia troianos atacando a si mesmos...

Versão em inglês: publicado no Los Angeles Tribune

A Trojan Horse at the new Brazilian Data Protection law

At last, we can celebrate. The General Data Protection Act (Lei Geral de Proteção de Dados – LGPD, Law Nº 13.709/18), which will regulate the processing of personal data, has finally come to the world last year, Sept, 18th. However, by establishing how we can all exercise our rights, it brings in its wording a challenge that oscillates between the impracticable and the reckless.

It is impracticable when it comes to determine that the entity responsible for processing must immediately respond to the data subject"s request. Any European who is experiencing there the real ordeal of answering such requests under GDPR (General Data Protection Regulation), even a simple "yes/no" about the existence of data in their databases, would be astonished reading our law.

Reckless because in the continuation of what is foreseen in the LGPD, in principle with no chance of reprieve, there is a period of 15 days for "by means of a clear and complete declaration, indicating the origin of the data, the inexistence of registration, the criteria used and the purpose of the treatment".

And there it is where resides another great risk and problem. Taken isolated, it may not seem so.

Despite the originality of LGPD for us, Brazilians, we have an equivalent law in Europe in validity since May 2018, the GDPR. Contextualizing, in May 2020, Sapio Research found that in the UK only 52% of data subjects" requests are met within the initial 30 days. There, different from Brazilian"s law, the deadline is 30 days, extendable for another 60 days.

Making a simple "rule of three" comparatively, it would be miserably optimistic 26% of requests met within the LGPD deadline. The remaining 74%? A concrete risk of lawsuits on the way. Neither the costs of potential actions should be considered negligible, nor should they be considered unlikely.

Not to mention that the major source of this type of requests came from "outside", costumers, but the employee" requests are just behind, in terms of volume.

Plus, the average cost of a data subject access request (DSAR), still according to Sapio"s study, is US$ 6,330, something around R$ 33,000 reais. Add to this in the future the cost of the sanctions, for the time being suspended, because the law as it stands today predicts that they can only be applied on August 2021.

However, as can be seen, the eventual sanctions become "a mere detail" and the slicing of the LGPD with the effectiveness of all the articles from now except those that establish sanctions can lead to the false feeling that "more time has been obtained" and this is far from the truth.

Maybe we have a "perfect storm" appearing on the horizon. In the midst of the well deserved commemoration, we need to discuss these points, otherwise we will have effects on the credibility of the law itself and a burden not yet foreseen by the vast majority of the business community at Brazil that does not even know about the existence of LGPD.

The legal security desired with LGPD for the public and private sectors is unavoidable for Brazil"s alignment with the rest of the world. At the same time, the effective guarantee of the rights of all of us, citizens and data subjects, need to be urgently established. But this balance requires consideration of all the practical aspects involved: technical and administrative, inclusive.

Persisting as it is, a single LGPD article could severely hurt the law"s structure. A construction of years, being compromised.

It is therefore urgent that this true "Trojan Horse" be dismantled as soon as possible, otherwise at the end of the day we would see Trojans attacking themselves.


Fonte: Marcilio Braz

LEIS UNIVEM
CANAL YOUTUBE
LEIS UNIVEM
LEIS UNIVEM