01 nov ADVOCACY OU LOBBY? ABORDAGENS POLÍTICAS NA ESFERA DOS DADOS PESSOAIS
Tem sido comum (e às claras) o movimento de organizações que adotam a prática do lobby, repaginado como advocacy – um produto recorrente nas prateleiras dos principais escritórios de advocacia do país – na expectativa de interferir em eventuais sanções da Autoridade Nacional de Proteção de Dados (ANPD). Empresas e entidades representantes de setores da indústria, comércio e serviços têm se valido do expediente na esperança de impactar nas investigações e influenciar nas decisões da autoridade de dados, impedindo ou relativizando sanções, demonstrando assim um contrassenso na formação da cultura de proteção de dados pessoais no país.
A considerar pela sua própria concepção, que consiste na interferência em decisões do poder público por atos da iniciativa privada, o lobby é certamente uma prática centenária. Saliente-se que não há no Brasil qualquer vedação para a sua realização, sendo assim um ato, a priori, legal, desde que não importe (por óbvio) na prática de crimes e contravenções, como no caso de corrupção passiva (Art. 317 do Código Penal), por exemplo. É exatamente neste contexto que a recorrente utilização do lobby para fins criminosos gerou no Brasil uma falsa noção a respeito do seu real objetivo, erroneamente vinculado à prática de atos ilícitos. Buscando fugir deste contexto, nos últimos anos tornou-se popular a utilização do termo “advocacy”, comumente tido como um “lobby do bem”, uma incongruência, já que o lobby (como dito, a priori) não tem sua razão de ser para práticas “do mal”.
Na esteira da problemática da privacidade, asseverada pela Lei Geral de Proteção de Dados Pessoais (LGPD), tem-se divulgado o advocacy como uma solução para que organizações do setor privado consigam ocupar espaço na agenda pública da proteção de dados, especialmente no âmbito da Autoridade Nacional de Proteção de Dados (ANPD), órgão responsável por todo arcabouço regulatório, cultural e fiscalizatório sobre o tema no país. Ocorre que também o “novo modelo” parece ser oferecido com as escusas que macularam (e maculam) o nome do seu precursor, até mesmo pelo fato de se mostrar desnecessária, na esfera da proteção de dados, qualquer interferência que não ocorra pelos meios já franqueados pela própria ANPD.
Importa assim destacar que o trabalho realizado pela autoridade de dados mostra-se alinhado com o discurso proferido nos primeiros ensaios de sua criação, ou seja, de que o órgão se daria mais a promover a cultura de dados em um primeiro instante, do que meramente cuidar de aplicar sanções como forma de castigar as incoerências daqueles que realizarem de forma incorreta o tratamento de dados pessoais. A autoridade, inclusive, por meio do seu Conselho Nacional de Proteção de Dados e da Privacidade (CNPD) e das chamadas públicas, tem permitido uma massiva participação da iniciativa privada, sociedade civil, instituições científicas e profissionais em geral, na formatação de sua estrutura de governança sobre o tema e no desenvolvimento do seu contingente regulatório.
Diante deste cenário, assusta a forma certamente relapsa como algumas organizações têm se portado diante da ideia de sofrer fiscalizações da ANPD. De um lado, profissionais oferecem seus préstimos como intermediários que possuem trânsito e poder junto à direção da entidade. De outro, empresas compram a ideia acreditando ser ela a salvação para questões que muitas vezes sequer aconteceram, e que poderiam (e deveriam) ser solucionadas sob outra perspectiva, que garantisse a adequação de suas operações com dados pessoais e não apenas encobrisse problemas que se acumulariam no tempo. Assim, a bem da verdade, a falácia comercial do lobby de dados, chamado ou não de advocacy, se esvai com a simples análise dos fatos que se relacionam ao ambiente da proteção de dados pessoais no Brasil.
Há ainda um outro equívoco basilar no uso errôneo do advocacy (ou lobby) de dados: tal prática se deve a um empenho contributivo com a administração pública, o que, reitere-se, é louvável, possível e esperado em uma sociedade democrática, contudo, jamais pode tal contribuição se opor aos anseios e necessidades dos administrados. No que tange à proteção de dados pessoais, o interessado final é o indivíduo em si, sujeito uno e detentor exclusivo de direitos personalíssimos, que se estendem numa miríade de garantias, de forma que pensar o titular os dados pessoais, requer pensar na sua condição de consumidor, usuário, paciente, aluno, e mais uma centena de milhares de sistemas que reforçam seus direitos e impedem que eventuais interferências em um cenário irradiem para outros (tornando prejudicada a pratica de um lobby com fins ilícitos).
Ainda, é de se observar que a atuação do Ministério Público e das diversas associações que atuam na defesa do consumidor, entre outras, na seara do interesse coletivo permanece orientada a fiscalizar e combater os desvios na estrutura do cenário de proteção de dados pessoais e, consequentemente, da segurança da informação. Mesmo que eventualmente se instaurasse um ambiente oculto de “camaradagem”, o que parece servir de chamariz no presente momento, este jamais se tornaria de fato possível, pois o eventual equívoco administrativo seria quase que imediatamente contestado às veias do judiciário. Isso sem que se olvide o contingente de profissionais do direito que aguardam para atuar no interesse direto dos prejudicados, reitere-se, numa órbita que em muito se identifica com os contornos das relações consumeristas.
Outro ponto visível do equívoco estratégico das empresas na governança de dados, é que essas e os representantes setoriais não se atentaram a uma obviedade, a proteção de dados pessoais não é um fator corporativo totalmente novo, não implica na alteração das configurações empresariais em demasia, pelo contrário, ingressa em um contexto que, desde o início dos anos 2000 (muito por conta dos impactos do Sarbanes-Oxley Act), passou a orientar um padrão global de governança corporativa. Assim, erram aqueles que posicionam a proteção de dados fora da perspectiva já necessária de governança, o que acaba por causar um distanciamento também com a temática do compliance. Se observado com pouco mais de esmero, dos primeiros assuntos conclamados à revisão quando da sanção da LGPD, constavam os acordos de confidencialidade, os termos de privacidade e o relacionamento pautado em ambiente de informação e comunicação, nada muito distante dos temas convencionais de governança.
Em tempos em que a temática de ESG toma o ideário corporativo, também ele impõe restrições ao desvio de conduta na esfera do tratamento de dados pessoais, isso porque um dos pilares se compõe da governança, que maculada, faz ruir as expectativas corporativas. Dessa feita, e a mais do que se apresenta atualmente, não há lobby ou advocacy possível se pensando para a prática criminosa, especialmente em um ambiente onde holofotes estão postos às faces de todos que militam, atuam, praticam, ou de qualquer forma operacionalizam o escopo dos dados pessoais. É preciso raciocinar que o pior dos impactos que pode advir de eventuais incidentes envolvendo dados pessoais não é inicialmente econômico, mas sim reputacional, e esse dificilmente pode ser reparado com integral condição.
Saliente-se que a preocupação com as tentativas de interferência na esfera da proteção de dados, saltaram também aos olhos da própria ANPD, que a partir do dia 31 de outubro último, deixou de deter os poderes para indicar os nomes dos representantes de entidades que irão compor o seu Conselho Nacional (CNPD), reforçando assim a ideia de uma estrutura ilibada e colaborativa, na qual todos os atores possam atuar em igualdade de condições e orientados pela regras claras do jogo, postas a todos, especialmente aos maiores interessados, componentes da sociedade civil.
A lição que se extrai desse contexto é que não se trata de fazer a qualquer custo, mas de fazer ao custo certo, o que para a proteção de dados pessoais se resume à aplicação correta dos padrões de privacidade e segurança da informação, uma prática evidentemente mais econômica, segura e lucrativa se a sua modulação for pensada para o engajamento da privacidade como um diferencial corporativo, e não como mero dispêndio governamental. Fazer advocacy é necessário, mas fazer lobby (desde que orientado pela ética e leis) nunca deixou de ser, basta que as organizações compreendam que temas como ESG, governança corporativa, anticorrupção e compliance, caminham juntos à proteção de dados e segurança da informação, e são aliados da sua marca e da sua história.
ÁREA DE DIREITO DIGITAL E SEGURANÇA DA INFORMAÇÃO
N Partners conta com uma equipe especializada em Direito Digital e Segurança da Informação, atuando em temas que envolvem a proteção de dados pessoais; privacidade; compliance e governança digital; mitigação de riscos e gestão de incidentes; inteligência artificial; contratos eletrônicos, entre outros. Com uma carteira diversificada, sua atuação em tecnologia atende a empresas do varejo, atacado, educação, saúde, seguros, bem como entidades vinculadas à administração pública, direta e indireta.
Acompanhe o escritório no Instagram e no LinkedIn. Estamos também na plataforma JusBrasil.
Fale conosco: WhatsApp.
Genival Silva Souza Filho é advogado e professor universitário, mestre em Direitos Fundamentais, especialista em Tecnologia e Meio Ambiente, sócio responsável pelo núcleo de Tecnologia, Proteção de Dados e Inteligência Artificial de N Partners. CIPM e CDPO IAPP, DPO e Information Security Analyst iTCerts.
