Consultoria, Auditoria e Treinamento em Sistemas de Gestão

Privacidade de Dados x Burocracia - A luta para reduzir a coleta de dados pessoais ao mínimo necessário

Gostou? compartilhe!

Privacidade de Dados x Burocracia - A luta para reduzir a coleta de dados pessoais ao mínimo necessário

A entrada em vigor da Lei Federal 13.709/2018, mais conhecida como LGPD (Lei Geral de Proteção de Dados), além trazer esperança a pessoas que, como eu, sempre se sentiram invadidas em sua privacidade, também tem trazido o desespero a um tipo muito particular de profissional: o burocrata de carteirinha.

 

Considero este um tipo particular de profissional porque, felizmente, trata-se de um perfil em extinção. Apesar disso, no processo de desapego aos documentos e à falsa sensação de controle que eles trazem, o burocrata resiste obstinadamente contra a eliminação da complexidade que o alimenta.

 

O termo “clerk” é o nome que se dá, em inglês, ao típico funcionário de escritório, coisa que eu, e provavelmente você que está lendo este texto, já fomos, somos ou ainda seremos. No entanto com o passar dos anos essa denominação acabou ganhando conotação pejorativa, e passou a designar o funcionário que, não obstante trabalhe em escritório (não me entenda mal, não há nada de errado nisso) limita a sua atuação ao mero cumprimento dos procedimentos estabelecidos, sem raciocinar ou criticar os processos que executa de maneira automática.

 

mpitemporario.com.br/projetos/pmanalysis.com.br

 

Já a expressão “burocracia” (em inglês “bureaucracy”) é originada no francês “bureau”, que significa “mesa de escrever” ou “escritório”. A burocracia é a ditadura do escritório, o exagero na cultura que enaltece o papel (sim, o papel ainda existe) e toda intricada relação que o papel tem com as firmas reconhecidas, as cópias autenticadas, os carimbos, as pastas em “L” e, claro, com outros papéis.

 

Muitas vezes o comportamento burocrático não é resultado da atuação de um ou outro profissional, mas de toda uma mentalidade coletiva que valoriza e encoraja o documento como controle efetivo, e que superestima a sua capacidade de prevenir ou mitigar um risco.

 

Uma historinha pessoal para ajudar a ilustrar meu ponto de vista. Recentemente fui contratado para realizar uma auditoria com base da ISO 45001, e o responsável pela área de suprimentos solicitou, como de praxe, uma lista de documentos para me habilitar como prestador de serviços desta organização. Os tradicionais RG, CPF, PPRA, PCMSO e ASO foram fornecidos sem questionamento. A lista, no entanto, prosseguia: tipagem sanguínea (ok, em uma emergência essa informação pode ser útil), antecedentes criminais, título de eleitor e certificado de reservista. Neste ponto você já se deve ter feito a mesma pergunta que me fiz quando vi essa lista: por quais razões o certificado de reservista e o título de eleitor são necessários para qualificar um auditor de ISO 45001? De que forma isso me torna mais ou menos competente (ou confiável, ou seguro) para executar o trabalho? 

 

Por muito tempo a burocracia foi apenas uma aporrinhação, um desperdício de tempo e dinheiro que lentamente fazia sangrar os cofres da empresa e a paciência das pessoas. Mas desde que a LGPD passou a vigorar situações como essa passaram a ser também um risco à imagem da organização e à continuidade do negócio. Um dos princípios sobre os quais a Lei Federal 13.709/2018 está fundamentada é o da necessidade, explicada no artigo 5° desta mesma lei como sendo a “limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados”. Ou seja, não se deve coletar dados a não ser aqueles estritamente necessários ao fim que se pretende. Quando eu perguntei qual a necessidade do meu título de eleitor e do certificado de reservista o funcionário da empresa contratante respondeu que era “para cadastro em nossos sistemas e para efeitos de auditoria”. Mais uma vez convido o perspicaz leitor a raciocinar comigo: o cadastro e a auditoria seriam motivos suficientes para coletar estas informações? Cadastro é ferramenta e auditoria é monitoramento, e nenhum deles é a finalidade em si.

 

mpitemporario.com.br/projetos/pmanalysis.com.br

 

O princípio da necessidade mencionado acima está presente também no Regulamento (UE) 2016/679 do Parlamento Europeu (mais conhecido como GDPR - General Data Protection Regulation), no qual a LGPD fio “inspirado”. Além do GDPR, a recomendação de reduzir a coleta e tratamento de dados pessoais ao mínimo necessário está presente também nos requisitos da ISO/IEC 27701:2019 (privacidade da informação).

 

A proteção dos dados pessoais se tornou um assunto sério, que pode impactar significativamente os negócios e organizações que não o tratarem com o devido cuidado. Os incisos I a VI do artigo 52 da Lei 13.709/2018 (LGPD) preveem as seguintes sanções:

 

I - Advertência, com indicação de prazo para adoção de medidas corretivas;

 

II - Multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;

 

III - Multa diária, observado o limite total a que se refere o inciso II;

 

IV - Publicização da infração após devidamente apurada e confirmada a sua ocorrência;

 

V - Bloqueio dos dados pessoais a que se refere a infração até a sua regularização; e

 

VI - Eliminação dos dados pessoais a que se refere a infração.

 

Acredito que você e eu concordamos que uma multa de 2% do faturamento “da pessoa jurídica, grupo ou conglomerado”, uma multa de R$ 50 milhões ou a “publicização da infração” pode ter efeitos devastadores em qualquer organização, com impacto direto na continuidade dos negócios.

 

mpitemporario.com.br/projetos/pmanalysis.com.br

 

Suponhamos agora que, por algum motivo, haja um descuido em relação às informações contidas no “cadastro” da empresa e dados pessoais de funcionários e fornecedores, após vazamento, cheguem ao conhecimento público. Qual seria a explicação do “gestor do cadastro” para o vazamento de dados que não deveriam, antes de qualquer coisa, sequer serem coletados e armazenados? 

 

Pense nisso.

 

Flávio Oliveira



Gostou? compartilhe!

Whatsapp PM Analysis Whatsapp PM Analysis