Show me The Code – Ou a LGPD “não pega”

Por Evandro Oliveira* – Com a entrada em vigor da Lei Geral de Proteção de Dados ( LGPD ), em plena pandemia, vários mercados e áreas do conhecimento estão vivenciando uma revolução no pensamento e na visão de como terão que funcionar seus negócios e processos.

Profissionais do Direito, profissionais de Tecnologia da Informação ( TI ), Gestores de Processos Organizacionais, estão buscando se adaptar à legislação nos termos em que foi sancionada.

Show me The Code é uma expressão bastante conhecida dentre os profissionais de TI. No entanto, Auditores, profissionais do Direito e Compliance(1) não estão acostumados ao termo, mas deveriam saber que disso depende todo o trabalho que fizerem relacionado à LGPD.

O Brasil é um país estranho. Tim Maia, famoso cantor e compositor profetizou, certa vez, que “o país não pode dar certo”. 

Consoante à fala de Tim Maia, uma frase emblemática agregada à cultura do povo e do país é: “ … vamos ver se a lei pega ! ”. Segundo o anedotário em Pindorama, o termo foi cunhado nos anos 1950, com outro sentido, na esperança de aplicabilidade da mesma conforme foi projetada e promulgada.

Os tempos são outros, a questão da sequência do “… vamos ver se a lei pega …” transformou-se em  “… No Brasil tem Lei que pega e lei que não pega”. E, como se não bastasse, para piorar, incluiu-se a questão da “lei inútil”, ou daquelas que são debatidas, esfaceladas, entupidas de “jabutis e boiadas(2), sancionadas e que acabam virando “letra morta” antes mesmo da publicação no DOU.

 A Lei Geral de Proteção de Dados é que tipo de lei ?

 A LGPD, tal qual no romance de Mary Shelley ( Frankenstein: ou O Moderno Prometeu ), mudou de interesses e objetivos, foi copiada, adaptada, debatida, foi, voltou, teve vetos, teve derrubada de vetos e, finalmente, sancionada, tomou a forma de um “Frankenstein”, uma colcha de retalhos, que possui forma mas não uma identidade.

Afinal, uma Lei é criada para defender interesses da sociedade como um todo ou para beneficiar determinados setores?

Neste sentido, quais artigos da LGPD estarão mais adaptados à nossa realidade ? Qual a categoria profissional que vai se responsabilizar pela execução da Lei em toda sua amplitude, complexidade e variedade de interpretações?

Com toda a certeza, a maioria dos alvos da Lei, aqueles para os quais as penalidades serão aplicadas, e até mesmo seus beneficiários, ainda não entenderam muito a amplitude e diversidade de abordagens e embora já existam cursos e certificações, até de “pós-graduação” em LGPD, temos a compreensão mais ampla de que só haverá validação, de fato, quando as multas forem aplicadas e exigirem pagamento.

Causa estranheza o fato de que no Brasil uma Lei que se pretende proteger a privacidade do indivíduo e que a maioria das pessoas, inclusive profissionais, ligados ao tema, que deveriam estar pari passu não tem a mínima noção da legislação criada. Desse modo, se em outros países as legislações congêneres estão funcionando, no Brasil temos que esperar para ver se a “lei pega”.

(1) Compliance deriva do verbo “to comply” que significa proceder de acordo com uma normatização, um comando ou uma solicitação. Constitui-se, portanto, de um conjunto de regras para que se cumpra normas legais e regulamentares, ou políticas e diretrizes estabelecidas para o negócio e para as atividades da corporação, como também para evitar, detectar e tratar quaisquer inconformidades que possam vir a ocorrer.

(2) Jabutis e Boiadas são expressões vinculadas à política e elaboração de leis no Brasil. Jabuti diz respeito a colocação de artigo ou detalhe na lei que não tem relação com o objetivo da lei. Boiada é o fato de aproveitar determinado assunto em pauta na midia, provocar diversionismo e fazer leis que privilegiem setores ou grupos de interesse.

A LGPD tem que pegar e não pode ter nenhum de seus artigos considerado inútil ou somente objeto de diversionismo ou que esteja sujeito a interpretações do Judiciário.

Assim sendo, somente o entendimento das disciplinas envolvidas, e o perfeito sincronismo da multidisciplinariedade que o tema exige, farão com que a LGPD funcione como deve ser e como tem sido em outros países.

Profissionais operadores do Direito, da Administração e Gestão e das Tecnologias da Informação e Comunicação (TICs) e seus fornecedores devem ter o perfeito entendimento de como funciona cada programa de computador. Estes artefatos codificados, automatizam cada processo na relação indivíduo-indivíduo e indivíduo-organizações, sejam elas públicas, privadas ou do terceiro setor. O entendimento amplo de todos os processos é o cerne da solução das dúvidas que se originarão da aplicação da Lei.

É recomendável prevenir, abrir e analisar cada código de programa, planejar e ter elementos verificáveis e consistentes, para não ter que remediar ou gastar dinheiro com indenizações e honorários que poderiam ser evitados somente com a prática do Show me The Code.

LGPD e o Direito

Embora a preocupação geral deva ser no entendimento da legislação, observa-se um processo elevado de “certificação” de especialistas no assunto. Muitas pessoas e organizações dedicando treinamento para seus colaboradores e contratando consultorias jurídicas sem nem avaliarem e dimensionarem a extensão de suas necessidades relativas à LGPD.

É natural que o treinamento, capacitação e operação devam ser realizados, inclusive estamos atrasados; entretanto, muitas empresas ainda nem entenderam a “jabuticaba” da LGPD ( sempre existe uma jabuticaba na Lei tupiniquim ! ) do chamado DPO ( acrônimo do inglês Data Protection Officer – Encarregado de Proteção de Dados ).

O Artigo 41 da LGPD define responsabilidades do DPO que, resumidamente, é quem colocará o CPF como responsável por tudo que estiver sob a égide desta Lei numa organização.

Neste ponto, começam as (des) avenças entre os profissionais envolvidos. Os do Direito imaginaram que seria doce e bem remunerada a vida de um DPO mas como diz a gíria utilizada nas redes sociais #SQN ( Só Que Não ! ). Assim sendo, “abriram mão” de mais uma prerrogativa e passaram às consultorias com SMJ ( Salvo Melhor Juízo ) no rodapé.

Portanto, foi bastante providencial o veto ao § 4º do artigo sobre DPO, que preconizava “Com relação ao encarregado, o qual deverá ser detentor de conhecimento jurídico-regulatório e ser apto a prestar serviços especializados em proteção de dados … ”.   

 Assumir a responsabilidade e função de “prestar serviços especializados em proteção de dados” envolve muito mais do que interpretar leis e a sua aplicação com as tecnologias aos processos organizacionais. Para atuar nisto, ao profissional do Direito, seja ele DPO ou não, é imprescindível integrar-se de forma equilibrada com as outras disciplinas.

Enfim, com tamanha dispersão e dúvidas sobre a figura do DPO, o que devemos esperar do entendimento de outras dezenas de artigos, parágrafos e incisos?

LGPD e Processos

Toda e qualquer organização deve definir seus processos e, neste sentido, todos aqueles processos que envolvam dados de indivíduos estão sob a égide da LGPD.

A regra é muito clara:

Art. 1º Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural. Parágrafo único. As normas gerais contidas nesta Lei são de interesse nacional e devem ser observadas pela União, Estados, Distrito Federal e Municípios.

Neste sentido, todo profissional de administração deve ter controle e ciência do que fazem seus sistemas de gestão, administrativos e automação de processos. Uma organização, por exemplo, da área da saúde, deve saber exatamente o que seus sistemas informatizados fazem com o CPF de cada cliente, colaborador, prestador de serviço direto e indireto. Se o dado de cada indivíduo é recolhido, tratado, armazenado, e disponibilizado de alguma forma ( analógica ou digital ), deve atender à LGPD.

Portanto, para evitar que as organizações sejam penalizadas é bastante prudente que os gestores façam uma revisão dos processos, das ambiguidades e duplicidades de dados e informações  em seus bancos de dados, para que os profissionais envolvidos com a aplicação da Lei avaliem se atendem ou não o legalmente preconizado.

Por outro lado, é importante ressaltar que solicitar ao fornecedor de serviços na Internet para somente inserir “cookies” avisando que dados das pessoas serão colhidos, não basta. Os profissionais de compliance mais ciosos declararão não-conformidade sem nenhuma dificuldade e as recomendações para saneamento da irregularidades podem ser onerosas.

Desde a primeira intervenção de um consultor, que vai tratar de LGPD, os profissionais de gestão deverão estar atentos pois as perguntas iniciais que estes consultores fazem, embora pareçam  simples e fáceis de responder, determinam todo o escopo do serviço a ser realizado. Mentir ou declarar meias-verdades, neste caso, não é uma opção razoável. Solicitar ao profissional de TI ou prestador de serviço para instalar proteções de segurança que “remendem” sistemas, visando o atendimento de não-conformidades é, como toda a certeza, um tiro no pé.

Na realidade, em função da mixórdia de atividades e baixa separação de funções, atribuições e responsabilidades nas organizações, a busca por “certificar” profissionais e solicitar mudanças quase estéticas em sistemas de informação será fatal.

Com efeito, solicitar ao “TI” que contrate firewalls, mais espaço em disco, programas novos, proteção de rede periférica ou de borda, não surtirão efeitos permanentes ante as determinações da LGPD.

É bem provável que o “tsunami” da implantação de um “compliance” para a LGPD seja tranquilo e natural para empresas que estão atentas a plataformas (também conhecidas por  frameworks) como BPMN, BSC, COBIT, COSO, ISO/IEC, ITIL, PMBOK, TOGAF e outras. Empresas que dominam estas metodologias e tem o hábito de fazer verificações e auditorias operacionais estarão dois passos à frente de todas as outras, qualquer que seja o ramo de atividade.

Certamente, em todos os casos, CEO´s destas organizações começarão a perguntar aos gestores sobre o RISCO CORPORATIVO ( Estratégico, Financeiro e Operacional ) independente do framework que utilizem, assim aquela antiga premissa adotada no Brasil de “tem lei que não pega” e daqueles acionistas que resolvem “bancar” o risco, pode provocar danos irreparáveis para a organização, às pessoas físicas a ela vinculadas, acionistas e gestores.

Desse modo, os administradores e operadores do Direito devem estar pensando que não conseguirão subsidiar aos donos dos negócios, de qualquer porte ou enquadramento jurídico for, se não souberem o que fazem os códigos de automação dos processos.

Atendentes, respondendo ao questionamento de qualquer pessoa, por mais simples que seja como “… para que você precisa do nome de uma pessoa de referência ?” e respondendo com “… por que nosso sistema de computador exige. “ pode ser um grande problema. Certamente, não vai ser colocando a “culpa” no pessoal do computador que estes possíveis problemas se resolverão.

Os termos Governança e Compliance terão que sair dos conceitos, circulares, pararem de ser quadros na parede, certificados de treinamento e validações de conformidade. Estes termos terão que estar submetidos a inúmeras Provas de Conceito ( PoC ) que permitam a consistência entre normas, códigos de programas e sistemas de toda a organização e seus prestadores/tomadores de serviços.

LGPD e TIC

Contextualizadas as importantes atribuições do Direito e da Administração faz-se necessário a definição das atribuições e responsabilidades das TIC´s. Se quase tudo está informatizado, em códigos de programas que vão nos smartphones e grandes servidores de páginas da Internet, com a presunção de que estão compatíveis com as determinações de normas, regulamentos e leis, basta então mostrar o código.

A frase Show me The Code foi cunhada por Linus Torvalds, aclamado profissional de TI – o original é “Talk is cheap. Show me the Code”. Algo como “… falar é fácil. Mostre-me o código que está fazendo isto funcionar …”.

E assim começamos a alinhar o tripé necessário à estabilidade dos processos organizacionais, compatibilidade e atendimento às normas e leis e ferramenta essencial para demonstrar que o que foi declarado é executado.

Todo código hostil (tudo que não é previsto e que não atende ao planejado) a um sistema pode ocasionar uma não-conformidade. Assim, como na figura do malware ( software malicioso ) conhecido como Cavalo-de-Troia  ( Trojan ), que analogamente à narrativa grega se mascara como algo bom, mas que na realidade é hostil e pode provocar danos catastróficos. Além disso, devemos considerar que nem todo código hostil é má-fé, que podem e certamente existem códigos que foram construídos com erro; nenhum sistema eletrônico é à prova de falhas.

Os mecanismos de defesa a vírus e outras ameaças tem crescido assustadoramente (e custado muito caro a cada organização). Por exemplo, já ocorrem casos em que bancos ficaram fora de operação durante longas horas sem que os clientes percebessem e seus acionistas não obtendo  nenhuma explicação plausível.

Quando organismos de controle obrigam gestores a publicar o termo “Fato Relevante”, resultam em pagamento de multa e definição de encaminhamentos rígidos e onerosos. Constata-se  que, em determinados casos, as organizações atacadas de forma hostil não conseguem sequer  descobrir como e por quem foram atacadas. Não sabem se foi erro, dolo, má-fé ou falha humana no processo; desta forma invariavelmente a culpa sempre recai sobre o “garoto do firewall”, o qual é sumariamente despedido com justificativas vazias e rasas, que não resistem a cinco minutos de auditoria operacional independente.

Segurança da Informação

Nestes termos, faz-se necessária a abertura de parênteses para a Segurança da Informação, uma disciplina que tem ganho importância nas organizações chegando a ir além da TI caracterizada atualmente como infraestrutura (tecnologias, software e hardware básico), mas que, no entanto, envolve toda estrutura das TICs.

São inúmeras as organizações que colocam sob a responsabilidade da Segurança da Informação os diversos “Planos” exigidos por normativos. Plano de Continuidade de Negócio (PCN), Planos de Contingência (PdC), Plano de Recuperação de Desastres (PRD), dentre outros, e que, muitas vezes, tem sido negligenciados, sendo lembrados somente quando acontece algum sinistro, dando início ao processo conhecido como Resposta ao Incidente ( RI ) e, desse modo, tornando o prejuízo financeiro e até na imagem das organizações, líquido e certo.

O mais emblemático neste momento trata-se do processo de redundância mais básico e mais antigo de todos, o Plano de Backup e Recuperação de Dados. Com a explosão de casos de Ransomware (código hostil que criptografa dados das organizações) criaram-se os termos “sequestro de dados” e “pagamento de resgate”.

Operadores do Direito estão na fase de discussão da tipificação de um crime, se houve roubo ou furto de dados e, enquanto isso, as organizações estão cada dia mais à mercê destes tipos de criminosos, sendo que muitas empresas sequer possuem fôlego financeiro para pagar o resgate exigido, inclusive sem a certeza de que vão ter seus dados “devolvidos” se conseguirem realizar o pagamento.

O quê fazer então ?

Nenhum procedimento normativo ou regulatório resolverá estas dificuldades se o código não for aberto para os especialistas de TI saberem onde cada processo falha ou pode falhar. E não se trata de pegar qualquer um profissional de TI para analisar um código, mas um ou mais que possuam o conhecimento e a experiência para análises criteriosas dos códigos e relacioná-los com outros “módulos”, programas, processos, bancos de dados ou Artefatos informacionais.

 Algumas organizações possuem vários software (muitos deles conhecidos como “legados”) cada qual com milhões de linhas de código, que programadores, por mais proficientes que sejam,  não tem condições de saber como foram escritos ( muitos deles com documentação precária ou inexistente).

O custo de se avaliar cada código, entender em qual(is) processo(s) eles atuam e quais Artefatos estão com possíveis vulnerabilidades pode custar caro, ser demorado e pouco responsivo. Exige-se profissionais experientes em TI, na compreensão de mecanismos informacionais, geração, processamento e armazenamento de dados e informação.

Requisitos funcionais e não-funcionais indicam que não basta capacidade técnica pontual nesta ou naquela linguagem de programação. Mas que e necessária a multidisciplinariedade destes profissionais, cuja característica não está disponível na maioria das organizações.

Estas especializações devem ser colocadas à serviço da construção do tripé que sustentará ao atendimento às normas, regulamentos, padrões organizacionais e legislação.

Conclusão

Deve-se, portanto, a princípio, utilizar do “Postulado da Determinação do Plano”. Desta forma, a associação de três pontos não-colineares (Direito, Administração, TI) e em equilíbrio, formam um plano apropriado para compreensão e aplicação da LGPD.

Considerando as funções de cada especialidade, entendemos que a gestão da Segurança da Informação, para resultar num processo completo, deve prever controles que independem da Lei ou sejam motivados por ela. Estes controles, agregados às boas práticas internacionalmente aceitas e aplicadas devem, a partir do código aberto, proporcionar correções, adaptações e ajustes necessários a determinar menos riscos para a denominada Governança das organizações.

 Show me The Code

Somente a partir da leitura do que cada linha de código destes programas faz com o dado e informação do cidadão é possível determinar os riscos, e se está (o código e o processo que ele automatiza) em conformidade com determinada exigência legal ou recomendação de auditoria ISO/IEC.

Qualquer presunção ou declaração, mesmo que de profissional de TI ou representantes da “informática”, padece de verificação no código.

Parafraseando Torvalds, falar é fácil, quero ver é pegar milhões de linhas de código, em milhares de processos automatizados, especialmente em setores sensíveis como Saúde, Financeiro, Dados Privados e fazer isto a tempo de não ser autuado e cair nas garras do Judiciário ou da Autoridade Nacional de Proteção de Dados (ANPD).

O Futuro

O futuro é agora, o futuro foi ontem ou como na música de Belchior, “… ano passado eu morri, este ano não morro …”.

Qualquer que seja o tamanho da organização, não importando o enquadramento jurídico a que ela pertença, dados de pessoas naturais sempre foram, são e serão colhidos, tratados, armazenados e dispensados; desta forma. é altamente recomendável contratar uma consultoria para determinar onde e como se adequa a organização, ou não, em relação à LGPD, que avalie o tripé da Gestão, de TI e Legal.

A corrida que estamos presenciando para contratação de cursos, certificações, pós-graduações e outros, pode frustrar muitos gestores, acionistas, empresários e até administradores públicos.

A orientação válida para as atividades dos profissionais do Direito, da Administração ou de TI é: Não devemos, e estamos aqui para alertar sobre isto, confiar no “… esta lei não vai pegar …” e nem por isso sair executando projetos mal planejados e executados de maneira insuficiente.             Todos aqueles que entenderem a mensagem de sincronismo e equilíbrio entre os profissionais participantes (Direito, Administração, TI) cuidarão de avaliar as assertivas aqui contidas. Deve-se pensar detidamente na complexidade das ações, para que tenhamos organizações menos vulneráveis a ações cíveis e dores de cabeça desnecessárias e evitáveis.

A situação parece-nos que fica mais complexa quando vislumbramos o movimento do Governo Federal com a ANPD, que deveria ter, pela LGPD, atribuições e isenção como preconizado para todas as agências reguladoras e fiscalizadoras. A criação da ANPD e sua ocupação tem de tudo um pouco, e as dúvidas sobre a capacidade de equilíbrio da agência é um enorme ponto de interrogação. Se quem vigia o vigia pode não ser confiável ou ter um “dono” que mande prender e soltar, e o código de tudo não é transparente, melhor por as barbas de molho. Mas isto é história para outra editoria.

Indo direto ao ponto, sem o Show me The Code, ou sem o perfeito equilíbrio entre as disciplinas do Direito, Gestão e TI, a LGPD vai te pegar.

*Evandro Oliveira – Consultor Sociall.Br e Fernando Lemos – Managing Partner Zconatus.