Temas Atuais de Proteção de Dados - Ed. 2020

Capítulo 9. Entre o Método e a Complexidade: Compreendendo a Noção de Risco na Lgpd

Entre no Jusbrasil para imprimir o conteúdo do Jusbrasil

Acesse: https://www.jusbrasil.com.br/cadastro

Autor:

MARIA CECÍLIA OLIVEIRA GOMES

Pesquisadora e líder de projeto em proteção de dados no Centro de Ensino e Pesquisa em Inovação (CEPI) da FGV Direito SP. Foi visiting researcher no European Data Protection Supervisor (EDPS) e visiting researcher na Data Protection Unit do Council of Europe (CoE). Mestranda na Faculdade de Direito da Universidade de São Paulo (USP) e pós-graduada em Propriedade Intelectual e Novos Negócios pela FGV Direito SP.

Introdução

A 1 Lei Geral de Proteção de Dados Pessoais (LGPD – Lei nº 13.709, de 14 de agosto de 2018), em vários artigos do seu texto, traz a referência ao risco e à necessidade de avaliação dos possíveis efeitos colaterais das operações de tratamento de dados pessoais, a fim de avaliar o seu impacto no que diz respeito aos direitos e liberdades individuais dos titulares de dados. Mas, será que a forma como o risco vem sendo compreendido e aplicado no sistema de proteção de dados brasileiro de fato está alinhada com a sua função de ser um instrumento de proteção dos direitos e liberdades individuais dos titulares?

No século XX, com o surgimento das primeiras leis de proteção de dados 2 , o risco passou a ser um elemento integrante desse sistema. O sistema europeu de proteção de dados passou a cada vez mais mesclar a regulação de risco (risk regulation) com a sua estrutura normativa 3 e, a partir disso, surgiram características na norma fortemente embasadas em risco, como as regulações baseadas em risco (risk based regulation), o que, também, foi chamado de risquificação (risquification 4 ) dos programas de conformidade e governança em proteção de dados (risk compliance).

Essa característica, cada vez mais “risquificada,” aparenta gerar um conflito com a própria natureza das leis de proteção de dados. Enquanto esta busca a redução da assimetria de poder entre Estado e titulares, através de incentivos legais que favoreçam à autodeterminação informacional e um maior controle do titular, por outro lado, a “risquificada” busca uma conformidade com obrigações gerais, não olhando diretamente para os direitos associados ao titular, mas se preocupando em quais riscos os agentes de tratamento podem assumir e quais eles podem mitigar.

E esse cenário vem se tornando mais complexo, devido ao modelo regulatório escolhido para o sistema de proteção de dados, no caso, o da metarregulação 5 . Nesse modelo, ambos os agentes reguladores e agentes regulados exercem forças para gerenciar e executar as obrigações regulatórias. E na ausência de uma agência reguladora, ou caso esta seja pouco atuante, quem passa a definir o que é risco e como avaliá-lo são prioritariamente os próprios agentes regulados.

O resultado desse aparente conflito, hoje se apresenta na forma como a avaliação de risco existente em relatórios de impacto à proteção de dados pessoais e na forma como o compliance com as regulações vêm sendo executados. Avaliar riscos se transformou numa tarefa pura e simplesmente de checar conformidade com a Lei, avaliando se as operações de tratamento de dados possuem base legal, se elas atendem aos princípios, se os dados estão sendo eliminados ao final do tratamento, tudo isso, para mitigar o risco de sanções e para demonstrar accountability. Ou seja, uma empreitada muito mais voltada ao risco (regulatório) da organização que trata dados pessoais, do que um exercício de mensuração dos possíveis efeitos adversos para o titular dos dados.

Contudo, será que a forma como o risco vem sido compreendido nas avaliações de risco atuais está alinhada com a noção de risco propriamente dita? Para conseguir compreender o impacto do risco na moldura das avaliações de risco atualmente realizadas, é necessário antes entender o que é possível compreender como risco e qual é o diálogo desse conceito com o sistema de proteção de dados. A partir disso, será possível ter um vislumbre das características que a noção de risco carrega e que podem refletir na forma como as avaliações de risco hoje são feitas e, quem sabe, passar a alterar a forma como elas vêm sendo interpretadas, no caso, através da análise da complexidade e do desconhecimento.

1. Compreendendo a noção de risco

1.1. Estabelecendo limites e fronteiras de análise

O presente artigo não contém fórmulas mágicas e nem se propõe a apresentar um método infalível de classificação de risco que se aplique a todos os modelos de negócio do Brasil. Este é um artigo que tenta explicar um pouco da complexidade existente na compreensão sobre a noção de risco e, especificamente, o que pode ser compreendido como risco na LGPD. Nesse sentido, o escopo dele se divide em duas partes.

...

Uma experiência inovadora de pesquisa jurídica em doutrina, a um clique e em um só lugar.

No Jusbrasil Doutrina você acessa o acervo da Revista dos Tribunais e busca rapidamente o conteúdo que precisa, dentro de cada obra.

  • 3 acessos grátis às seções de obras.
  • Busca por conteúdo dentro das obras.
Ilustração de computador e livro
jusbrasil.com.br
27 de Novembro de 2021
Disponível em: https://thomsonreuters.jusbrasil.com.br/doutrina/secao/1207548519/capitulo-9-entre-o-metodo-e-a-complexidade-compreendendo-a-nocao-de-risco-na-lgpd-temas-atuais-de-protecao-de-dados-ed-2020