Já começou a contagem regressiva para a entrada em vigor da Lei Geral de Proteção de Dados, mas pouca gente parece ter realmente percebido a mudança de cultura – de processos e até de modelos de negócio – que ela vai demandar. Nesta coluna, vamos tratar desses desafios de adequação e, quem sabe, de algumas oportunidades que surgirão nesse novo contexto. Hoje falaremos dos seus três personagens principais, o que já ajudará a entender a nova dinâmica do tratamento de dados e a mudança de perspectiva que a lei exigirá.
O primeiro personagem é uma pessoa. Qualquer pessoa. A lei protege o dado pessoal, capaz de identificar um indivíduo, e não, por exemplo, dados sobre empresas ou dados anônimos, que não se vinculem com ninguém em especial. Essa pessoa, atualmente, está absolutamente exposta. Empresas e plataformas sabem mais sobre ela do que ela própria. Sabem aonde está agora, onde estava nesse exato instante na semana passada (ou há um ano…) e para onde provavelmente irá logo em seguida. Sabem dos seus gostos, preferências e necessidades de toda a ordem. Sabem da sua condição financeira, opção sexual e política. Dados a seu respeito começam a ser coletados desde o seu nascimento, quando já podem até mesmo antecipar as razões da sua futura morte. Seus dados biométricos, por exemplo, são compartilhados diariamente para as operações mais corriqueiras, como acessar um prédio comercial.
Essa pessoa, é bem verdade, também se beneficia desse grau de exposição: já se acostumou a trocar dados por acesso, não apenas a lugares físicos, mas também a serviços e experiências gratuitas cada vez mais personalizadas. A partir disso, consegue outras informações sem as quais não consegue viver ou trabalhar, sabe qual é o melhor caminho a tomar, a música que ela gostaria de ouvir agora ou mesmo o tratamento para os seus específicos problemas de saúde. Quem já nasceu nesse contexto, encara com naturalidade esse trade-off, ou sequer percebe que os seus dados são muitas vezes meios de pagamento para esses serviços. E ninguém, obviamente, lê os longos termos jurídicos que regulamentam essa troca.
O nosso segundo personagem, que está do outro lado do balcão dessa história, é uma empresa de qualquer segmento. Essa empresa hoje é também totalmente dependente de dados para a tomada das suas decisões mais corriqueiras do dia-a-dia, para promover os seus negócios, faturar ou até mesmo para remunerar os seus parceiros ou colaboradores. Essa circunstância não é privilégio de grandes players do mundo da tecnologia ou de modelos de negócios baseados em dados: qualquer pequena empresa, de uma livraria a um prestador de serviços, não consegue mais operar sem os dados que vem acumulando há tanto tempo, indiscriminadamente. Aliás, geralmente esses dados são o ativo mais valioso dessa empresa, como já destacou a capa da revista The Economist, recentemente (https://www.economist.com/leaders/2017/05/06/the-worlds-most-valuable-resource-is-no-longer-oil-but-data).
Porém, a base de dados também pode representar um passivo potencial para essa empresa. Diversos estudos que identificam anualmente os principais riscos às atividades empresariais, dentre as quais o Global Risks Report do Fórum Econômico Mundial (https://www.weforum.org/reports/the-global-risks-report-2018), vêm destacando o furto e vazamento de dados como ameaça com alto impacto e probabilidade de ocorrência. Aliás, aqui a questão não é mais se haverá um incidente, mas sim quando, conforme tem sido diariamente noticiado, o que sempre é acompanhado de crise reputacional.
Por fim, chegamos ao terceiro personagem: o estado. Aquele que chega mais tarde, através da lei, para regulamentar o que até então era uma prática livre, como no caso do tratamento de dados. Assim, com a lei geral de proteção de dados, o estado vem agora fiscalizar o tratamento, aplicar penalidades, incluindo aquela famosa multa de até 50 milhões de reais por infração. Também, passa a estabelecer padrões para essas atividades. Todas essas atribuições, no Brasil, caberão a uma Autoridade Nacional, a ser constituída com esse específico propósito. Mas também podem ter o reforço do Ministério Público, de entidades privadas ou mesmo de qualquer indivíduo que se sinta prejudicado e que se valha do Judiciário, por exemplo.
Apresentados os nossos três personagens da Lei Geral de Proteção de Dados, já podemos questionar, efetivamente, quem é o Dono do Dado, a partir de agora? A pessoa a quem ele se refere; a empresa, que vem investindo na sua acumulação durante tantos anos; ou o estado, que, afinal, é quem regula, em última análise, esse e qualquer outro tema?
Pois, agora, a regra é clara, como diz aquele comentarista de arbitragem: o dono do dado é, inegavelmente, a pessoa, o nosso primeiro personagem, a quem a lei inclusive chama de Titular do Dado. A ela cabem, inclusive, uma série de direitos expressos na lei, como o de obter informações sobre o tratamento ou cópias de todos os dados tratados, a correção de imprecisões e, até mesmo, a exclusão dos seus dados, em alguns contextos.
De outro lado, a lei prevê uma série de deveres a outro desses personagens: a empresa, naturalmente, que agora somente pode realizar o tratamento de dados nos estritos limites da permissão das pessoas ou nas demais hipóteses previstas na lei. A empresa, assim, passa a ser chamada de mera controladora – temporária – dos dados, sendo fiscalizada pelo estado. Dentre outras medidas, precisa regularizar a sua base, documentar as novas operações de tratamento de dados e possuir um plano de resposta a vazamentos. A empresa necessita, ainda, nomear um encarregado para zelar pela segurança dos dados e realizar a interlocução com os outros dois personagens dessa história.
Compreender os papéis desses personagens na dinâmica de tratamento de dados exigida pela lei é o nosso ponto de partida. Novos processos, novos modelos de negócio e uma nova cultura, nesse campo, precisará ser estabelecida. Qual é o impacto disso tudo na sua empresa? A conversa segue na próxima coluna.