Incertezas e ponderações quanto à aplicação do RGPD

Nos recentes eventos organizados pelas Universidades de Direito de Lisboa, em Portugal, os quais participei, a respeito dos efeitos do Regulamento Geral sobre a Proteção de Dados da União Europeia, percebi o quão complexo as discussões surgem em torno das consequências do não cumprimento, sobretudo, incertezas na aplicação de normas complementares quando da existência de eventuais lacunas, ou da necessidade de uma melhor e mais profunda interpretação acerca dos conceitos e determinações. Em síntese, muitos questionamentos brotam quanto à atuação do judiciário, na análise e julgamento do caso em concreto.

O DPO – Data Protection Officer ou Encarregado também é uma peça-chave que muito se discute, em virtude da sua “super competência” esperada, além do conhecimento multidisciplinar, ressaltando sua imparcialidade na execução das atribuições, que por consequência, questiona-se quando há acúmulo de funções; nas situações em que as atribuições do DPO são direcionadas a uma área pré-existente. Existe também, outra preocupação associada ao risco por centralizar a responsabilidade da salvaguarda das informações a uma área específica e/ou gestor, quando na verdade trata-se de uma mudança de paradigma e um accountability de todos aqueles que estão na organização.

Com o advento do Princípio da Responsabilidade Proativa, tema amplamente abordado, a organização possui obrigação e responsabilidade por demonstrar cumprimento das normas, que inclui: comunicar às autoridades as situações de dúvidas ou reais data breaches, conforme determinações legais, por meio de relatório completo de abrangência, com base na avaliação de riscos (probabilidade x impacto), potenciais implicações decorrentes das violações e plano de ação prático, ou seja, atitude diligente e proativa no tratamento de dados.

No tocante às versões das leis e traduções/interpretações dadas por cada Estado-Membro, assunto muito exaurido, o consenso é que se trata de um único Regulamento da União Europeia, sendo assim todas as normas são válidas e poderão ser aplicadas ao caso concreto. Logo, em uma possível judicialização, se for necessário, utilizar-se-ão outras versões, incluindo a versão original a fim de assegurar uma aplicação mais justa como esperado pela lei, cujo fundamento maior é a proteção de dados pessoais da pessoa natural.

Uma boa discussão também se deu em torno do consentimento, a exacerbada quantidade de formulários de consentimento que surgiram desnecessariamente, considerando que existem diversas formas de obtenção de consentimento, e a obtenção de uma aprovação adicional decorre apenas quando a utilização de dados difere do pacto contratual, pré-estabelecido. Em síntese, na maioria dos casos, o consentimento já estava devidamente estabelecido.

E por fim, muitas discussões acerca da participação do subcontratado, como proteger-se contratualmente, com adequado monitoramento, auditoria e verificação dos controles e da política de segurança. Em suma, a importância em implementar a Política de Subcontratado, a qual inclui todos os tópicos supracitados, como também suas limitações, a exemplo de subcontratações pelo subcontratado, as conhecidas “quarterizações”.

As duas conferências internacionais sobre o RGPD permitiram perceber como os juristas e interessados estão preocupados com as sanções aplicáveis aos responsáveis, entretanto, no que tange à execução e prevenção, que todos deverão envidar um maior esforço. Ações consideradas como boas práticas de resguardo da informação podem ser implementadas de imediato,  tais como: salvaguarda de senhas, não permissões a baixa de programas não autorizados, limitação de uso de pen drive, restrição de acesso de usuários aos sistemas e módulos de acordo com suas funções, segregação de função de atividades conflitantes e de risco, limitação física a locais restritos, utilização de licenças válidas e antivírus, entre outras. Lembrando, sempre, das principais ferramentas de disseminação: Comunicação e Treinamentos!