Por Rowenna Fielding*
Trad. Matheus Passos
“Quando tudo o que você tem é uma formação jurídica, tudo parece um contrato”
(Eu)
Caros advogados,
O Estado de Direito e os princípios da justiça são a base da sociedade civilizada. Obrigado por fazer sua parte para nos impedir de afundar na selvageria hobbesiana. Obter formação jurídica e uma licença para praticar a advocacia é claramente um processo longo, árduo e caro. Parabéns a você por terminar este processo com um emprego.
Tendo dito isto, POR FAVOR, NÃO FALE SOBRE O GDPR** A MENOS QUE VOCÊ REALMENTE TENHA ESTUDADO PRIVACIDADE.
É sério. Uma formação jurídica e uma rápida olhada no texto do GDPR não fazem de você um especialista em privacidade. Tais ações podem dar uma base para que você comece sua jornada de especialização em privacidade com um pouco de vantagem, mas certamente não confere poderes divinos de perspicácia e onisciência em seus pronunciamentos sobre proteção de dados. E, no entanto, as pessoas vão tratá-lo como se assim o fosse, porque você é um “advogado”. Você está em uma posição de responsabilidade, e suas obrigações profissionais incluem o dever de abster-se de dar conselhos a respeito do que você não é profissionalmente competente, não importa quão lucrativa a oportunidade ou quão inteligente e poderoso ela faça você se sentir.
Mesmo que você tenha estudado as leis de privacidade com profundidade e em detalhes, você provavelmente deveria evitar a tentação de oferecer seus serviços como consultor em questões operacionais. Você pode não ter a experiência de negócios, o conhecimento técnico, as habilidades de comunicação ou a disciplina de gerenciamento de riscos necessária para fazer o trabalho de maneira adequada. O seu enquadramento jurídico também poderá distorcer as suas avaliações de risco em favor do “legalmente defensável” em vez de realmente buscar “proteger direitos e liberdades”. Isso não favorece em absoluto seus clientes e os respectivos titulares de dados.
Obviamente, há advogados que possuem uma real experiência em proteção de dados, experiência operacional (não apenas jurídica), que sabem como fazer as coisas em um contexto de negócios e que podem avaliar de maneira confiável o “que, quando e como”. Eles são uma pequena minoria da profissão. Eles não são o objeto do argumento deste texto.
Como eu disse em um post anterior, não estou defendendo que você “fique na sua área”, mas sim que “não se envolva até que esteja no ritmo” (como a brilhante Sarah Clarke parafraseou de forma tão sucinta).
Grande parte do que há de ruim em circulação a respeito do GDPR é divulgado por advogados que não percebem o quanto são desinformados e despreparados (veja: Efeito Dunning-Kruger). Seja de um Conselho Geral bem-intencionado que lê em um artigo on-line que o consentimento é sempre necessário ou de um especialista de contratos dentro de uma organização que acredita que todos os fornecedores terceirizados são apenas processadores/subcontratantes porque, ué, está nos contratos, ou um escritório de advocacia desesperado para lucrar com a “corrida do ouro” pela privacidade; o grau de puro disparate propagado por advogados que pensam que sabem bastante sobre o tema é uma vergonha para a profissão como um todo. Chegou-se a um ponto em que sempre confiro duas vezes o aconselhamento sobre proteção de dados quando fico sabendo que o mesmo foi feito por advogados – e na grande maioria dos casos acho que é, na melhor das hipóteses, inadequado e enganoso; e na pior das hipóteses, totalmente impreciso.
Conselhos de proteção de dados desinformados e inexperientes de advogados negligentes custaram às organizações não apenas o dinheiro de taxas, mas também os recursos financeiros necessários para corrigir os problemas quando os erros são descobertos. Desperdiçam o tempo, o esforço e a vontade de fazer as coisas corretamente. Tais conselhos têm destruído desnecessariamente bancos de dados e, provavelmente, também acabaram com uma papelada equivalente a uma floresta. É chocante.
Minha experiência não parece ser incomum – na verdade, as hordas de advogados que deram conselhos ruins referentes ao GDPR estão sendo encorajadas a fazer reparações aos seus clientes devido aos danos que causaram. Vamos ver o que vai acontecer.
Sua formação profissional [como advogado] possivelmente o preparou para ver seus objetivos em termos de “vencer” ou “perder”. A proteção de dados, no entanto, não funciona assim. Ela não deixa de existir quando você cita cláusulas; seu objetivo não é fornecer a você clientes, renda ou prestígio. Diz respeito, isto sim, à proteção dos direitos humanos, da dignidade e das liberdades. Você não pode fazer isso com documentos ou com debate semântico inteligente, não importa o quanto você tente (ou quanto você cobre). O aconselhamento sobre proteção de dados não é uma batalha no tribunal; você não quer destruir o titular dos dados, mas ajudar seus clientes a entender e a aplicar a lei. Você precisa pensar de forma diferente sobre proteção de dados do que quando pensa em contratos, processos criminais ou litígios civis. Se você não pode fazer isso, mantenha seu bico*** fora disso.
Se você é um advogado que está se interessando pela proteção de dados, então ótimo – espero que você goste dessa área excitante, desafiadora e complexa da lei. Agora, por favor, mantenha-se de cabeça baixa até saber muito mais do que a faculdade de direito lhe ensinou. Coisas como…
Uma política de privacidade NÃO É UM MALDITO DE UM CONTRATO!! Não deve parecer ser um contrato, não deve ser lido como um contrato, não deve dar a impressão de ser um contrato. A informação de privacidade não é uma casca atrás da qual as intimidades desagradáveis do processamento de dados podem ser escondidas: é um mecanismo para a comunicação de informações importantes sobre a autonomia, os direitos e as responsabilidades dos envolvidos. Não é uma política interna nem os Dez Mandamentos. E certamente não faz parte de nenhum dos Termos e Condições. Usar eufemismos engenhosos e chavões ambíguos para se esquivar de dizer aos titulares de dados o que realmente está acontecendo pode ser um trabalho de advocacia inteligente, mas não é proteção de dados. Os avisos de privacidade escritos por advogados tendem a ser aqueles que menos se fundamentam na obrigação legal de transparência. Estranho.
Você (advogado) é provavelmente uma das pessoas menos adequadas para ser um encarregado de proteção de dados (DPO), especialmente se você já tiver uma função na organização e, mais ainda, se essa função for no Conselho Geral. Além de potencialmente carecer dos atributos e experiências profissionais descritas anteriormente, você também estará em uma situação em que existirá um enorme conflito de interesses. Como advogado, a organização é seu cliente. Como DPO, você tem dois “clientes” com interesses muitas vezes opostos os quais você deve equilibrar – a organização e os direitos e liberdades dos titulares de dados. Tais conflitos de interesse para um DPO são proibidos pelo GDPR. Se você é um DPO terceirizado, então você precisa ter alguns anos de experiência no lado prático da integração de proteção de dados dentro de uma organização, ou você precisa ter uma boa equipe de pessoas ao seu redor que possa compensar esta deficiência. Se você não tem nenhum dos dois, você é a nova roupa do Imperador e, mais cedo ou mais tarde, alguém vai ver aquilo que você realmente é.
Se você nunca ouviu falar da lei de privacidade eletrônica [e-Privacy law] e não consegue explicar as diferenças entre os Regulamentos 6 e 22 do PECR [lei do Reino Unido de transposição da Diretiva 2002/58/CE, relativa ao tratamento de dados pessoais e à proteção da privacidade no setor das comunicações eletrônicas – Diretiva e-Privacy], então você não está absolutamente qualificado para aconselhar sobre a legalidade das táticas de marketing por email ou do que fazer com cookies. Não invente.
Se você é um advogado de propriedade intelectual, então você precisa esquecer praticamente tudo o que aprendeu e começar de novo com uma mente aberta. Não há conceito de propriedade na lei de proteção de dados, apenas direitos de indivíduos e responsabilidades organizacionais. Argumentar de outra forma faz você parecer um palhaço. Os dados não são propriedade aos olhos da lei de privacidade. Repita isso todas as noites 100 vezes até que a ideia entre em seu cérebro e seu quociente de bufonaria seja reduzido. Direitos fundamentais estatutários não podem ser renunciados por contrato. Argumentar de outra forma faz com que você pareça um americano (o que não é intrinsecamente uma coisa ruim, mas é um forte indicador de que sua compreensão do direito europeu é insuficiente para se confiar em bons conselhos de proteção de dados. #NotAllAmericanLawyers, é claro).
Os contratos não determinam a realidade. Eles não são feitiços mágicos. Em teoria, os contratos supostamente refletem e documentam a realidade para referência futura (boa teoria, raramente encontrada na prática). Se um fornecedor/operador/subcontratante toma suas próprias decisões sobre o porquê e o que fazer com os dados pessoais que acessa ou recebe de seus clientes, o fornecedor é um controlador de dados, não importa o que a documentação diga. Eles podem estar tratando os dados ilegalmente, ou mesmo redefinindo o objetivo do tratamento dos dados, mas está fazendo isso como um controlador/responsável pelo tratamento. Pagar alguém não faz deles seu escravo, e pagar a outra empresa não faz dela seu operador/subcontratante, a menos que eles não possam se desviar de suas instruções (claras e detalhadas) sem a sua permissão.
Os termos “dados pessoais”, “tratamento” e “violação de proteção de dados” são definidos no Artigo 4 do GDPR. Leia-os. Você não consegue criar suas próprias definições apenas porque seu cérebro jurídico é maior do que o dos redatores do Regulamento.
Eu provavelmente já chateei um monte de gente agora, e se você é um deles, então talvez tire um minuto para examinar por que você está zangado. É porque as críticas apresentadas aqui não se aplicam a você? Ótimo, esqueça isso. É porque eles se aplicam a você e agora você está se sentindo atacado e vitimizado? Por favor, tente superar isso. Veja isso como uma oportunidade de aprendizado, não um como puxão de orelha. Prove-me que estou errada, vou ficar feliz. É porque usei palavras rudes? Nesse caso, por favor, desista e aprenda a distinguir o conteúdo daquele que o transmite.
Se você quer se tornar um profissional de proteção de dados incrível, além de um advogado, então venha, o mar é ótimo – mas comece a nadar no raso e mantenha suas boias, ou você vai fazer uma bagunça.
* A autora gentilmente permitiu-me a tradução e publicação do texto. Todos os créditos são dela. [The author kindly allowed me the translation and publication of the text. All the credits belong to her.]
** Apesar da sigla oficial em português ser “RGPD”, opta-se aqui pela manutenção da sigla em inglês.
** Viu o que eu fiz? Uma piada jurídica! Ria, caramba! [Em inglês “break” significa “bico” e também “magistrado” ou “juiz”.]