Vivemos um momento em que dados pessoais tornaram-se um grande ativo no mercado. Vemos isso não só nos recentes vazamentos orquestrados por hackers contra grandes bancos de dados (vide caso Equifax), mas também naqueles telefonemas que recebemos de empresas com as quais jamais tivemos contato, mas que mesmo assim conhecem nosso telefone, profissão, time de futebol, dentre outras informações.
Dessa forma, como não poderia ser diferente, o direito já voltou sua atenção para esse fenômeno. No Brasil, por exemplo, está em tramitação o PL 5276/16, iniciativa que, juntamente com outros projetos anteriores, busca melhor desenhar os limites legais relativos à proteção de dados pessoais e as condições para uso destes. A expectativa é de que logo tenhamos nossa lei específica acerca do assunto.
Não obstante, enganam-se as empresas brasileiras envolvidas com a coleta, o processamento e o armazenamento de dados pessoais que sua atenção deva estar voltada apenas à legislação brasileira. Especialmente com relação àquelas que atuam no ambiente digital, tais empresas devem estar cientes de que suas atividades podem ter o que o Direito Internacional Privado chama de elementos estrangeiros. Seja um comprador domiciliado em outro país, ou até mesmo a mera oferta de um produto/serviço capaz de atingir um mercado estrangeiro (algo recorrente com o uso da internet), tais fatos geram reflexos que, em determinados sistemas legais, podem ser suficientes para atrair a aplicação extraterritorial de leis estrangeiras.
A exemplo disso cito a recente Resolução 2016/679 da União Europeia (UE), melhor chamada de GDPR (General Data Protection Regulation), um conjunto de regras específicas que tratam da proteção de dados pessoais. Essa resolução, de aplicação mandatória nos estados membros da UE, foi aprovada em 2016 e entrará em vigor em maio de 2018. Possivelmente vocês que leem este texto, e que utilizam serviços de grandes corporações do ambiente digital, já receberam alguma comunicação relatando as adequações que estão sendo feitas em face a GDPR.
Essa resolução da UE traz inúmeras regras e conceitos que merecem uma leitura atenta de qualquer um que trabalhe com o processamento de dados pessoais, até porque, se não afetados diretamente por ela, suas disposições certamente servirão de modelo para futuras legislações concernentes ao tema. Em vista disso, gostaria de destacar alguns pontos de elevada importância dessa resolução europeia, especialmente pensando nas empresas brasileiras que certamente serão afetadas por essa norma.
O primeiro ponto a ser realçado, já antecipado acima, é a previsão de aplicação extraterritorial desse conjunto de regras. No artigo 3º do GDPR é definido que tal resolução é aplicável ao processamento de dados de pessoas naturais que estejam no território da UE, independente da localização da entidade/empresa que realiza tal atividade, quando esta é relacionada à oferta de produtos e serviços e/ou ao monitoramento de comportamento dessas pessoas.
Dessa forma, sendo possível que empresas brasileiras sejam alcançadas pelas normas da GDPR, mostra-se indispensável compreender o que o legislador europeu entende por dados pessoais e atividades de processamento de dados. Neste ponto a resolução foi bem detalhista, trazendo conceitos que merecem ser aqui reproduzidos:
(i) Dados Pessoais: significa qualquer informação relacionada a uma pessoa natural identificada ou passível de identificação. Uma pessoa natural passível de identificação é aquela que pode ser identificada, direta ou indiretamente, especialmente através de referências a um identificador como o nome, um nº de identidade, dados de localização, um identificador online, ou através de uma ou mais características relacionadas a identidade física, fisiológica, genética, mental, econômica, cultural ou social daquela pessoa natural;
(ii) Processamento: significa qualquer operação ou conjunto de operações que são executadas sobre dados pessoais ou em conjuntos de dados pessoais, por meio automatizado ou não, tais como: coleta, gravação, organização, estruturação, armazenagem, adaptação, alteração, recuperação, consulta, uso, revelação por transmissão, disseminação, tornar acessíveis de qualquer forma, combinação, restrição e destruição;
(iii) Controlador (Controller): significa a pessoa natural ou jurídica, autoridade pública, agência ou outra entidade que, sozinha ou em conjunto com outros, determina os motivos e as formas para processamento de dados pessoais;
Conforme se vê acima, em alguns dos diversos conceitos apresentados no artigo 4º da GDPR, o entendimento do legislador europeu é bem amplo no que tange ao que seriam dados pessoais, assim como o que configuraria uma atividade de processamento destes dados. Não suficiente, deve ser destacada também a figura do controller, que também estará sujeito às regras dispostas nesta resolução - tornando ainda mais amplo o alcance da GDPR.
No que tange à responsabilidade de entidades/empresas envolvidas com o processamento de dados pessoais, diversos são os deveres expressamente previstos na GDPR que exigirão adequações jurídicas e operacionais daquelas. No entanto, antes de elencar algumas das obrigações mais salientes instituídas nessa resolução, cumpre mencionar que aquele que atuar em desacordo com tais regras estará sujeito a multas de até 4% de seu faturamento global ou 20 milhões de euros - o que for maior.
Passando à análise de algumas das obrigações instituídas, a primeira a ser destacada diz respeito ao consentimento do sujeito detentor dos dados pessoais processados. As entidades/empresas envolvidas com atividades de processamento deverão indicar claramente quais os motivos para o uso dos dados pessoais captados, assim como obter a declaração de consentimento explícita do proprietário daqueles. Neste caso, não há falar em termos de uso extensos e repletos de outras disposições - trata-se de declaração objetiva, clara e explícita, por meio da qual o usuário inegavelmente torna-se ciente do que será feito com seus dados (e que seja de fácil comprovação futura).
Outra obrigação instituída na GDPR é a de que, frente a um evento de vazamento de dados, capaz de gerar risco às pessoas, a entidade/empresa responsável deverá, em até 72 horas contados da ciência deste fato, notificar a Autoridade Supervisora competente (cada Estado membro indicará uma autoridade para fiscalizar a aplicação da GDPR e receber esse tipo de comunicação). Da mesma forma, deverá notificar o quanto antes as próprias pessoas acerca desse acontecimento, mantendo uma comunicação transparente com as partes envolvidas.
Ao sujeito proprietário dos dados, a GDPR concedeu o direito de obter das entidades/empresas toda e qualquer informação relativa aos seus dados e como estes foram e estão sendo utilizados. A título de curiosidade, lembro-me de um artigo que li recentemente, escrito por Judith Duportail1, que utilizou essa prerrogativa da GDPR e solicitou ao Tinder a cópia dos dados que referida empresa possuía sobre ela (usuária do serviço) - recebendo um relatório de cerca de 800 páginas em resposta.
Existem inúmeras outras disposições dignas de uma análise específica, como o direito ao esquecimento, também previsto na GDPR, e a criação de categorias especiais de dados pessoais, como orientação sexual, opinião política, dados da saúde de pessoas, cujo processamento é proibido (com exceções). No entanto, deixo tal análise para outro momento, visto que demandaria um texto ainda maior.
Restrinjo-me aqui a sugerir a vocês a leitura da íntegra da GDPR, pois, em contraste com o que normalmente vemos em leis brasileiras com forte aplicação no ambiente digital, essa resolução eruopeia oferece um rico substrato para que as entidades/empresas afetadas possam pautar sua atuação com considerável segurança jurídica.
___________
1 I asked Tinder for my data. It sent me 800 pages of my deepest, darkest secrets. Acesso em 17/10/2017.
___________
*André de Oliveira Schenini Moreira é advogado, mestre em Direito Internacional Privado e sócio do escritório FMA - Feoli e Moreira Advogados.