Temas Atuais de Proteção de Dados - Ed. 2020

Capítulo 9. Entre o Método e a Complexidade: Compreendendo a Noção de Risco na Lgpd

Entre no Jusbrasil para imprimir o conteúdo do Jusbrasil

Acesse: https://www.jusbrasil.com.br/cadastro

Autor:

MARIA CECÍLIA OLIVEIRA GOMES

Pesquisadora e líder de projeto em proteção de dados no Centro de Ensino e Pesquisa em Inovação (CEPI) da FGV Direito SP. Foi visiting researcher no European Data Protection Supervisor (EDPS) e visiting researcher na Data Protection Unit do Council of Europe (CoE). Mestranda na Faculdade de Direito da Universidade de São Paulo (USP) e pós-graduada em Propriedade Intelectual e Novos Negócios pela FGV Direito SP.

Introdução

A 1 Lei Geral de Proteçâo de Dados Pessoais ( LGPD – Lei nº 13.709, de 14 de agosto de 2018), em vários artigos do seu texto, traz a referência ao risco e à necessidade de avaliação dos possíveis efeitos colaterais das operações de tratamento de dados pessoais, a fim de avaliar o seu impacto no que diz respeito aos direitos e liberdades individuais dos titulares de dados. Mas, será que a forma como o risco vem sendo compreendido e aplicado no sistema de proteção de dados brasileiro de fato está alinhada com a sua função de ser um instrumento de proteção dos direitos e liberdades individuais dos titulares?

No século XX, com o surgimento das primeiras leis de proteção de dados 2 , o risco passou a ser um elemento integrante desse sistema. O sistema europeu de proteção de dados passou a cada vez mais mesclar a regulação de risco (risk regulation) com a sua estrutura normativa 3 e, a partir disso, surgiram características na norma fortemente embasadas em risco, como as regulações baseadas em risco (risk based regulation), o que, também, foi chamado de risquificação (risquification 4 ) dos programas de conformidade e governança em proteção de dados (risk compliance).

Essa característica, cada vez mais “risquificada,” aparenta gerar um conflito com a própria natureza das leis de proteção de dados. Enquanto esta busca a redução da assimetria de poder entre Estado e titulares, através de incentivos legais que favoreçam à autodeterminação informacional e um maior controle do titular, por outro lado, a “risquificada” busca uma conformidade com obrigações gerais, não olhando diretamente para os direitos associados ao titular, mas se preocupando em quais riscos os agentes de tratamento podem assumir e quais eles podem mitigar.

E esse cenário vem se tornando mais complexo, devido ao modelo regulatório escolhido para o sistema de proteção de dados, no caso, o da metarregulação 5 . Nesse modelo, ambos os agentes reguladores e agentes regulados exercem forças para gerenciar e executar as obrigações regulatórias. E na ausência de uma agência reguladora, ou caso esta seja pouco atuante, quem passa a definir o que é risco e como avaliá-lo são prioritariamente os próprios agentes regulados.

O resultado desse aparente conflito, hoje se apresenta na forma como a avaliação de risco existente em relatórios de impacto à proteção de dados pessoais e na forma como o compliance com as regulações vêm sendo executados. Avaliar riscos se transformou numa tarefa pura e simplesmente de checar conformidade com a Lei, avaliando se as operações de tratamento de dados possuem base legal, se elas atendem aos princípios, se os dados estão sendo eliminados ao final do tratamento, tudo isso, para mitigar o risco de sanções e para demonstrar accountability. Ou seja, uma empreitada muito mais voltada ao risco (regulatório) da organização que trata dados pessoais, do que um exercício de mensuração dos possíveis efeitos adversos para o titular dos dados.

Contudo, será que a forma como o risco vem sido compreendido nas avaliações de risco atuais está alinhada com a noção de risco propriamente dita? Para conseguir compreender o impacto do risco na moldura das avaliações de risco atualmente realizadas, é necessário antes entender o que é possível compreender como risco e qual é o diálogo desse conceito com o sistema de proteção de dados. A partir disso, será possível ter um vislumbre das características que a noção de risco carrega e que podem refletir na forma como as avaliações de risco hoje são feitas e, quem sabe, passar a alterar a forma como elas vêm sendo interpretadas, no caso, através da análise da complexidade e do desconhecimento.

1. Compreendendo a noção de risco

1.1. Estabelecendo limites e fronteiras de análise

O presente artigo não contém fórmulas mágicas e nem se propõe a apresentar um método infalível de classificação de risco que se aplique a todos os modelos de negócio do Brasil. Este é um artigo que tenta explicar um pouco da complexidade existente na compreensão sobre a noção de risco e, especificamente, o que pode ser compreendido como risco na LGPD. Nesse sentido, o escopo dele se divide em duas partes.

A primeira parte é focada na compreensão de como o risco surgiu na história e a forma como ele vem sendo interpretado, dessa forma, será feita uma análise descritiva do tema aliado a uma narrativa cronológica. O objetivo é demonstrar: (i) como o risco vem sendo utilizado para explicar tomadas de decisões por responsáveis por tal tipo de avaliação e como essas decisões têm impactado direitos; e (ii) como a construção da noção de risco, hoje se reflete no sistema normativo de proteção de dados.

A segunda parte busca trabalhar a compreensão da menção do risco na LGPD, identificando onde na Lei esse elemento aparece e a que tema ele se relaciona. Para isso, serão classificadas todas as 11 menções ao “risco” no texto da Lei e será feita uma análise prescritiva em relação a sua forma de interpretação. O objetivo dessa construção é: (i) avaliar se o risco na LGPD tem sido aplicado de maneira adequada; e (ii) responder como é possível avaliar riscos a partir da compreensão construída neste artigo.

É importante estabelecer também os limites de análise deste artigo: (i) a análise da noção de risco não irá confrontar linhas teóricas de interpretação, p. ex. sistema de proteção de dados x sistema econômico x sociologia; (ii) não será enfrentado o debate sobre abordagem baseada em risco x abordagem baseada em direitos 6 ; e (iii) não será enfrentado o debate da diferenciação entre os conceitos de risco x incerteza 7 .

O motivo para isso é simples: não seria possível, em um artigo, analisar risco em seu aspecto geral, convergindo e divergindo conceitos de diferentes áreas sobre o tema, a fim de criar um senso comum ou estabelecer noções de parâmetro gerais. Isso se enquadraria com uma dissertação ou até mesmo uma tese, o que claramente, não é objetivo do presente artigo.

Nesse sentido, é importante iniciar a leitura entendendo que já se tornou comum no dia a dia associar risco a perigo ou ameaça e à probabilidade futura de um evento acontecer. Ao longo da história se falou e se tem falado muito sobre risco, riscos associados …

Uma experiência inovadora de pesquisa jurídica em doutrina, a um clique e em um só lugar.

No Jusbrasil Doutrina você acessa o acervo da Revista dos Tribunais e busca rapidamente o conteúdo que precisa, dentro de cada obra.

  • 3 acessos grátis às seções de obras.
  • Busca por conteúdo dentro das obras.
Ilustração de computador e livro
jusbrasil.com.br
21 de Maio de 2022
Disponível em: https://thomsonreuters.jusbrasil.com.br/doutrina/secao/1207548519/capitulo-9-entre-o-metodo-e-a-complexidade-compreendendo-a-nocao-de-risco-na-lgpd-temas-atuais-de-protecao-de-dados-ed-2020