10 jan
2020

Bases Legais: mapear ou não mapear, eis a questão

Já se foram 16 meses de corrida (maluca?) de adequação à LGPD e, hoje, alguns muitos projetos depois, dá pra dizer que o mercado amadureceu bastante. Não há mais mistério quanto à metodologia de trabalho praticada pelos diversos players (escritórios e consultorias). Os incontáveis workshops, palestras, congressos, webinars etc. deram conta de acabar com qualquer suspense. Os contratantes já se referem, com total conforto, sobre as fases do projeto (como se tivessem sido determinadas diretamente pela lei): “estamos finalizando a fase 1 e entrando na 2”, ouve-se com frequência da boca de in-houses, como resposta à pergunta “como está o projeto de adequação de vocês?”.

E, nesse mar de convergências e padronização, consolidou-se a ideia de que não há como desenvolver um projeto de adequação à LGPD sem passar pelo enquadramento de bases legais de todas as operações de tratamento de dados pessoais, tendo em vista que a lei demanda que as atividades necessariamente encontrem fundamento em uma das hipóteses previstas nos artigos 7º e 11.

A ideia é: “se eu deixar de mapear minhas bases legais como saberei que minhas atividades estão em conformidade?” Eu mesmo, Paulo Vidigal, cheguei a pensar assim, tanto que no meu artigo “O Jogo da Adequação – Como tratar processos de negócio à luz da LGPD” menciono, no Passo 2, a tarefa de enquadramento de bases legais como providência óbvia.

Contudo, após ralar um pouquinho mais em projetos e remoer a dor dos envolvidos, decidi questionar esse ponto que, até então, é tido como intocável, em especial porque acredito que estamos em um momento de quebrar a cabeça para enxugar o projeto, já que temos somente 8 meses até o temido agosto de 2020.

Assim, se estiverem dispostos a plantar uma pulga atrás da orelha (como eu), peço que deem uma olhadinha no que vem a seguir:

Por que mapeamos bases legais?

Em que pese o racional que comentamos acima, que de fato configura um belo argumento, a verdade é que mapeamos bases legais por uma questão muito menos nobre do que para verificar a regularidade das nossas atividades: pelo simples fato de que copiamos dos europeus.

Isso mesmo. O enquadramento extensivo de bases legais é herança do trabalho de adequação feito em razão do GDPR.

“Ah, mas Paulo, qual o problema disso?”

Nenhum. Problema não há, mas já que copiamos, devíamos saber por que o fizemos, pois pode ser que a razão que encontraram na Europa não exista para nós no Brasil. Ou será que existe?

Antes de mais nada, temos de acabar com um mito: nem GDPR muito menos LGPD exigem que a base legal conste do registro de operações de tratamento (famigerado ROPA). Bora conferir:

Não foi fornecido texto alternativo para esta imagem

Na tabela acima constatamos que, realmente, não há obrigação de documentar no ROPA qualquer base legal. Na LGPD, inclusive, o conteúdo deste sequer é revelado!

Ué, mas então “por que contratei 200 homem-hora para mapear 3.000 fluxos da minha companhia?”, muita gente deve estar pensando … ou, dando um passinho atrás, “por que diabos os europeus mapeiam base legal, afinal?”

A resposta está nos artigos 13 e 14 do GDPR, que tratam das informações que o controlador tem de transmitir ao titular dos dados. De fato, nas disposições do artigo 13, 1 (c) e 14, 1, (c) encontramos o dever do controlador de informar “the purposes of the processing for which the personal data are intended as well as the legal basis for the processing”.

Voilà!

Sintetizando, o raciocínio que o pessoal teve lá no velho continente foi: como seremos capazes de informar ao titular as bases legais para tratamento se não soubermos exatamente todas as operações que fazemos com dados pessoais e suas correspondentes bases legais? E, simples assim, estava inaugurada a mina de ouro das consultorias ($$$): montes e montes de entrevistas a serem agendadas, horas e horas de advogados a serem consumidas.

Mas, e no Brasil?

Traídos pela falsa impressão de que a LGPD é uma mera cópia do regulamento europeu, decidimos seguir o rebanho. Contudo, se pararmos para ler atentamente a nossa lei, veremos que além de não termos a obrigação de documentar no ROPA as bases legais (como vimos acima), também não temos o dever de informá-las aos titulares dos dados. De novo, bora conferir?

Não foi fornecido texto alternativo para esta imagem

A tabela acima contém as informações mínimas que a lei brasileira determina que sejam passadas aos titulares pelos agentes de tratamento. E, de fato, não há qualquer menção a bases legais. Logo, concluímos que não temos o dever de dedicar nenhuma linha em nossas políticas/avisos de privacidade para tratar das hipóteses legais que autorizam o tratamento.

O que isso quer dizer, afinal? Que tudo o que vivemos até aqui foi uma mentira, que nunca mais devemos olhar para bases legais, que devemos rescindir nossos contratos com as consultorias contratadas e mandar embora os responsáveis pela contratação?

Nada disso.

Se você tem ânimo (leia-se tempo e dinheiro) para fazer um mapeamento extensivo e olhar, uma a uma, as operações de tratamento, buscando o encaixe em bases legais, faça isso! Tenho certeza de que seu projeto ficará mais rico se o fizer.

No entanto, se você busca alternativa e tem dúvida se ainda assim estará compliant com a LGPD, fique tranquilo. Faltando pouco tempo para a entrada em vigor da lei, pode ser mais inteligente optar por um caminho mais curto (e, de quebra, menos custoso), calibrando o mapeamento de modo a focar em operações estratégicas e que representem real risco: ir direto ao problema, deixando de lado processos menos significativos. O olhar clínico (apoiado por profissionais que viveram intensamente a onda de adequação), para separar o joio do trigo, nesse momento será crucial.

A lição que fica é que mapear ou não todas as bases legais é, como muitas outras, uma decisão estratégica na condução do projeto, mas não há obrigação legal expressa para fazê-lo.

Fonte: Linkedin

%d blogueiros gostam disto: