Os desafios da lei de proteção de dados: sua empresa está preparada para essa nova realidade?
Auro Ruschel
Já parou para pensar no quanto nossas vidas se transformaram nos últimos dez ou 15 anos, no que se refere às conexões virtuais? A mudança foi espantosa, e ultrapassou a seara dos contatos pessoais. Em pouquíssimo tempo, relações até então analógicas e baseadas no olho no olho (ou corpo a corpo) mudaram de condição, inclusive no mundo dos negócios: vivemos agora em uma realidade hiperconectada, em que passaram a fazer parte no nosso dia a dia novas mediações, como as realizadas via redes sociais, o uso de aplicativos para contratação de todo tipo de serviço, o arquivamento de informações na “nuvem” (servidores virtuais), compras pela internet via cartão de crédito ou outras moedas, bancos que operam exclusivamente pela web, etc, tudo isso suportado em grande parte pela tecnologia mobile, ou seja, via uso de aparelhos celulares, mas também notebooks e os “velhos” desktops.
E em meio a essa rede de comunicações e de relacionamentos virtuais, todo o tempo estamos disponibilizando no ambiente web nossos dados bancários, mas também pessoais, quanto a preferências, hábitos e localização geográfica. A pergunta que logo vem à tona é: qual a segurança do indivíduo de que não será feito mau uso dessas informações? E do ponto de vista empresarial, que limites devem ser respeitados, para que não se gerem efeitos negativos do uso de bancos de dados, ou seja, sanções administrativas, que podem ir de simples advertências a pesadas multas? Os escândalos de privacidade do Facebook – em que a empresa Cambridge Analytica utilizou dados dos usuários para fazer uma campanha política mais assertiva e customizada na eleição de Donald Trump, em 2016 – trouxeram ainda mais visibilidade para o assunto.
Trata-se de uma realidade recente e complexa, e recorrer a especialistas que tem como diferencial a capacidade de rapidamente se apropriar dos novos regramentos, e que podem orientar sobre as melhores condutas, é essencial – e estratégico.
O contexto verde-amarelo
Aqui no Brasil, nasceu, em meio a todo essa efervescência virtual, a Lei nº 13.709/2018, conhecida como Lei Geral de Proteção de Dados Pessoais (LGPD ou LGPDP), que regula as atividades de tratamento de dados pessoais e também altera os artigos 7º e 16 do Marco Civil da Internet no Brasil. Com seu surgimento, o País passou a fazer parte do grupo de nações que contam com uma legislação específica para proteção de dados e da privacidade dos seus cidadãos. Outros regulamentos similares são o General Data Protection Regulation (GDPR), que passou a ser obrigatório em 25 de maio de 2018 e aplicável a todos os países da União Europeia, e o California Consumer Privacy Act of 2018 (CCPA), nos Estados Unidos, implementado através de uma iniciativa em âmbito estadual e aprovado em 28 de junho de 2018.
Como fica claro pelas datas, são legislações muito recentes, e seus efeitos e impactos ainda estão em processo, por assim dizer. As sociedades se movem, e os regramentos das novas relações precisam também se assentar em alguma dinâmica. Até porque, no caso específico, estes dispositivos legais se fundamentam em uma grande amplitude de valores, que abrangem inúmeros segmentos econômicos, como o respeito à privacidade; à autodeterminação informativa; à liberdade de expressão, de informação, de comunicação e de opinião; à inviolabilidade da intimidade, da honra e da imagem; ao desenvolvimento econômico e tecnológico e a inovação; à livre iniciativa, livre concorrência e defesa do consumidor e aos direitos humanos liberdade e dignidade das pessoas.
De forma sintética, pode-se afirmar que o texto da nova legislação determina que todos os dados pessoais só podem ser coletados mediante o consentimento do usuário (manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada). Há casos em que o tratamento dos dados pessoais pode ser feito sem o consentimento do titular, e a lei prevê estas hipóteses específicas.
A propósito, este ordenamento jurídico se reveste de tantas novidades que foi necessário estabelecer inclusive uma espécie de glossário de forma a que se definam claramente a que se referem determinadas expressões. Por exemplo: a palavra tratamento diz respeito a toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
A pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais é chamada de controlador, enquanto processador é a pessoa natural ou jurídica, de direito público ou privado, que efetivamente realiza o tratamento de dados pessoais, em nome do controlador.
Mas, afinal de contas, quais são os dados pessoais passíveis de tratamento? São toda informação relacionada a pessoa natural identificada ou identificável, tal como nome, RG, CPF, e-mail, etc. Importante destacar que dados relativos a uma pessoa jurídica (tais como razão social, CNPJ, endereço comercial, etc.) não são considerados dados pessoais.
Dentro da categoria dados pessoais, há uma subdivisão: são os dados pessoais sensíveis. Eles englobam todo dado pessoal que possa gerar qualquer tipo de discriminação, tais como dados sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico.
A quem cabe a fiscalização e a regulação?
Várias instituições tem exercido protagonismo na defesa dos dados pessoais, em especial aquelas sediadas no estado de São Paulo, onde se concentram as sedes de boa parte das multinacionais que atuam no País. Em 2018, o Ministério Público Federal de São Paulo (MPF-SP) processou a Microsoft por coletas de dados dos usuários alegadamente sem autorização explícita. No final de julho de 2019, o Procon-SP cobrou explicações do FaceApp, Google e Apple sobre coletas de dados. Também em julho, o Ministério Público do Distrito Federal e Territórios (MPDFT) sinalizou um possível comércio entre órgãos públicos, onde o produto são os dados das pessoas, obtidos através de informações pessoais, como as informações da Carteira Nacional de Habilitação, sem que houvesse consentimento dos donos, o que violaria o Marco Civil da Internet e a própria LGPD. O Serpro negou as acusações.
Para dar conta deste novo cenário, foi criada, por meio de Medida Provisória (MP), a Autoridade Nacional de Proteção de Dados (ANPD), órgão de fiscalização vinculado à Presidência da República, mas com autonomia técnica e decisória. Dentre as competências da ANPD estabelecidas na legislação, estão a de zelar pela proteção dos dados pessoais, elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade, fiscalizar e aplicar sanções nos casos de descumprimento da legislação, promover o conhecimento das normas e políticas públicas sobre proteção de dados pessoais e das medidas de segurança; editar regulamentos e procedimentos sobre proteção de dados pessoais e privacidade; realizar auditorias e celebrar compromissos para eliminação de irregularidades.
A quem recorrer, para entender o cenário?
As novas regras estabelecidas pela Lei Geral de Proteção de Dados só entrarão em vigor em agosto de 2020. O período de adaptação foi definido pelos legisladores com o argumento de que os diversos atores envolvidos precisavam de tempo para se organizarem, de modo a dar conta das exigências. Sua empresa tem negócios que giram em torno da questão de proteção de dados pessoais? Os profissionais que tratam deste tipo de demanda estão a par de conceitos como consentimento, anonimização e pseudoanonimização? A equipe da Auro Ruschel Advogados está, e pode auxiliar nas melhores condutas neste que é um dos mais trepidantes temas da realidade empresarial no país.