A entrada em vigor da Lei Federal 13.709/2018, mais conhecida como LGPD (Lei Geral de Proteção de Dados), além trazer esperança a pessoas que, como eu, sempre se sentiram invadidas em sua privacidade, também tem trazido o desespero a um tipo muito particular de profissional: o burocrata de carteirinha.
Considero este um tipo particular de profissional porque, felizmente, trata-se de um perfil em extinção. Apesar disso, no processo de desapego aos documentos e à falsa sensação de controle que eles trazem, o burocrata resiste obstinadamente contra a eliminação da complexidade que o alimenta.
O termo “clerk” é o nome que se dá, em inglês, ao típico funcionário de escritório, coisa que eu, e provavelmente você que está lendo este texto, já fomos, somos ou ainda seremos. No entanto com o passar dos anos essa denominação acabou ganhando conotação pejorativa, e passou a designar o funcionário que, não obstante trabalhe em escritório (não me entenda mal, não há nada de errado nisso) limita a sua atuação ao mero cumprimento dos procedimentos estabelecidos, sem raciocinar ou criticar os processos que executa de maneira automática.
Já a expressão “burocracia” (em inglês “bureaucracy”) é originada no francês “bureau”, que significa “mesa de escrever” ou “escritório”. A burocracia é a ditadura do escritório, o exagero na cultura que enaltece o papel (sim, o papel ainda existe) e toda intricada relação que o papel tem com as firmas reconhecidas, as cópias autenticadas, os carimbos, as pastas em “L” e, claro, com outros papéis.
Muitas vezes o comportamento burocrático não é resultado da atuação de um ou outro profissional, mas de toda uma mentalidade coletiva que valoriza e encoraja o documento como controle efetivo, e que superestima a sua capacidade de prevenir ou mitigar um risco.
Uma historinha pessoal para ajudar a ilustrar meu ponto de vista. Recentemente fui contratado para realizar uma auditoria com base da ISO 45001, e o responsável pela área de suprimentos solicitou, como de praxe, uma lista de documentos para me habilitar como prestador de serviços desta organização. Os tradicionais RG, CPF, PPRA, PCMSO e ASO foram fornecidos sem questionamento. A lista, no entanto, prosseguia: tipagem sanguínea (ok, em uma emergência essa informação pode ser útil), antecedentes criminais, título de eleitor e certificado de reservista. Neste ponto você já se deve ter feito a mesma pergunta que me fiz quando vi essa lista: por quais razões o certificado de reservista e o título de eleitor são necessários para qualificar um auditor de ISO 45001? De que forma isso me torna mais ou menos competente (ou confiável, ou seguro) para executar o trabalho?
Por muito tempo a burocracia foi apenas uma aporrinhação, um desperdício de tempo e dinheiro que lentamente fazia sangrar os cofres da empresa e a paciência das pessoas. Mas desde que a LGPD passou a vigorar situações como essa passaram a ser também um risco à imagem da organização e à continuidade do negócio. Um dos princípios sobre os quais a Lei Federal 13.709/2018 está fundamentada é o da necessidade, explicada no artigo 5° desta mesma lei como sendo a “limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados”. Ou seja, não se deve coletar dados a não ser aqueles estritamente necessários ao fim que se pretende. Quando eu perguntei qual a necessidade do meu título de eleitor e do certificado de reservista o funcionário da empresa contratante respondeu que era “para cadastro em nossos sistemas e para efeitos de auditoria”. Mais uma vez convido o perspicaz leitor a raciocinar comigo: o cadastro e a auditoria seriam motivos suficientes para coletar estas informações? Cadastro é ferramenta e auditoria é monitoramento, e nenhum deles é a finalidade em si.
O princípio da necessidade mencionado acima está presente também no Regulamento (UE) 2016/679 do Parlamento Europeu (mais conhecido como GDPR - General Data Protection Regulation), no qual a LGPD fio “inspirado”. Além do GDPR, a recomendação de reduzir a coleta e tratamento de dados pessoais ao mínimo necessário está presente também nos requisitos da ISO/IEC 27701:2019 (privacidade da informação).
A proteção dos dados pessoais se tornou um assunto sério, que pode impactar significativamente os negócios e organizações que não o tratarem com o devido cuidado. Os incisos I a VI do artigo 52 da Lei 13.709/2018 (LGPD) preveem as seguintes sanções:
I - Advertência, com indicação de prazo para adoção de medidas corretivas;
II - Multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
III - Multa diária, observado o limite total a que se refere o inciso II;
IV - Publicização da infração após devidamente apurada e confirmada a sua ocorrência;
V - Bloqueio dos dados pessoais a que se refere a infração até a sua regularização; e
VI - Eliminação dos dados pessoais a que se refere a infração.
Acredito que você e eu concordamos que uma multa de 2% do faturamento “da pessoa jurídica, grupo ou conglomerado”, uma multa de R$ 50 milhões ou a “publicização da infração” pode ter efeitos devastadores em qualquer organização, com impacto direto na continuidade dos negócios.
Suponhamos agora que, por algum motivo, haja um descuido em relação às informações contidas no “cadastro” da empresa e dados pessoais de funcionários e fornecedores, após vazamento, cheguem ao conhecimento público. Qual seria a explicação do “gestor do cadastro” para o vazamento de dados que não deveriam, antes de qualquer coisa, sequer serem coletados e armazenados?
Pense nisso.
Flávio Oliveira