A coleta indevida de dados pessoais de mais de 443 mil brasileiros pela Cambridge Analytica e, ainda, a utilização de informações constantes no Facebook pela consultoria política do presidente dos Estados Unidos na candidatura, são exemplos de acontecientos que sinalizaram a necessidade de nova lei de proteção de dados no âmbito internacional e nacional.
A lei de proteção de dados brasileira (lei 13.709/18) tem por objetivo proteger a transferência de dados pessoais, a fim de evitar a manipulação e redirecionamento de informações (nome, CPF, RG, religião, opinião politica etc) de forma indiscriminada e desconsentida.
A legislação não atinge apenas as empresas virtuais, redes sociais ou que comercializam dados (chamada Big Data). Na verdade, alcança qualquer estabelecimento que colete dados como, por exemplo, a farmácia de bairro ou lojas varejistas que exigem o cadastro do consumidor para fornecer descontos. Abarca, inclusive, as informações de empregados acondicionadas no setor de Recursos Humanos.
Isso significa que, independentemente do porte ou segmento da empresa, a partir de fevereiro de 2020 (início de vigência), toda operação com dados pessoais (coleta, utilização, acesso, reprodução, transmissão, arquivamento, armazenamento e transferência), deve respeitar as diretrizes da nova Lei.
Em linhas gerais, seguem as principais posturas a serem implementadas pelos estabelecimentos empresariais:
1. Coletar dados mínimos e indispensáveis para a finalidade da empresa (eliminar dados desnecessários);
2. Solicitar o consentimento expresso do cidadão para manipular as informações cedidas. Importante consignar de forma clara e objetiva todas as operações que os dados estarão sujeitos. Eis que as autorizações genéricas serão consideradas nulas.
3. Informar o propósito (interesse legítimo) na captura de dados. Caso a finalidade seja alterada, será imprescindível nova autorização;
4. Permitir a visualização, alteração e retirada dos dados pessoais sempre que solicitado;
5. Utilizar medidas técnicas e administrativas aptas a proteger os dados pessoais (mecanismos de segurança para impossibilitar vazamento de dados, perda e alteração). Existindo incidente, os dados pessoais afetados deverão se tornar ininteligíveis (impossível compreensão);
6. Limitar os funcionários que manipulam os dados para reduzir os riscos de transferência de informações. Em paralelo, treinar e orientar os encarregados sobre o normativo legal, responsabilidade no manuseio e as respectivas penalidades.
Eventual violação poderá ser questionada judicialmente, em qualquer órgão de defesa do consumidor e, a critério do juiz, o ônus da prova poderá ser invertido a favor do titular dos dados.
Dentre as penalidades previstas, estão: a advertência, aplicação de multa simples (até 2% do faturamento da pessoa jurídica, limitada, a cinquenta milhões de reais por infração) ou multa diária. As diretrizes propostas poderão inviabilizar ou, ao menos, minorar eventual condenação judicial.
Diante deste contexto, cabe à empresa adotar medidas eficazes e capazes de demonstrar o cumprimento das normas de proteção de dados pessoais. Tarefa essa adstrita, em especial, ao setor de Tecnologia da Informação, Recursos Humanos e a equipe de assessoria jurídica.
___________________
*O texto foi atualizado em 25/9/18.
___________________
*Ana Eliza Souza é advogada do escritório Cossart & Mussalem Advogados.