O assunto “proteção de dados” no Brasil está sendo tratado a todo vapor principalmente a partir da promulgação da Lei Geral de Proteção de Dados Pessoais, a LGPD, ou lei 13.709 de 14 de agosto de 2018.
A verdade é que ler uma lei e fazer sua interpretação literal, para entender como ela trata da proteção de dados não é uma tarefa das mais difíceis, basta ser alfabetizado - com o perdão da sinceridade.
Portanto o objetivo deste texto é ampliar a visão do leitor quanto aos contornos dessa nova legislação.
Trata-se de um regramento muito relevante, porque facilmente nota-se que várias empresas sabem quase tudo o que fazemos na internet, o que pesquisamos, quais são as nossas preferências, quem somos. Existem diversos modelos de negócio baseados no uso de dados. No entanto, torna-se difícil ao cidadão, sozinho, se livrar ou moldar esse monitoramento, sobretudo quando depende dos serviços prestados por estas empresas.
O real problema não é coletar os dados das pessoas, mas sim não dar transparência e não informar ao titular dos dados como exatamente será o uso do que está sendo coletado.
Neste contexto de LGPD, inicialmente acrescenta-se a edição da MP 869, de 27 de dezembro de 2018, que estabelece a criação da Autoridade Nacional de Proteção de Dados - ANPD - órgão vinculado à Presidência da República.
A criação de ANPD é muito importante, porque a LGDP estabelece o que deve ser feito na nova sistemática de proteção de dados, mas não regula exatamente como fazer - função da ANPD.
Ao se falar em proteção de dados, é necessário entender que se está falando de dados de pessoas, sejam eles “online” (digitais) ou offline e que para a proteção de tais dados é fundamental a compreensão do fluxo de dados dentro das empresas e dos órgãos públicos (sim, não é apenas o empresariado que se deve submeter a esse regramento).
Inclusive, ressalta-se que também são afetados por essa normativa os partidos políticos, as igrejas, os sindicatos e também os escritórios de advocacia - sendo que um alerta vermelho deve ser ligado neste ponto, pois normalmente é mais fácil hackear o escritório de advocacia do que a empresa que ele assessora.
Nesse contexto, deve-se ter uma grande atenção sobre quando os dados são captados, por quê e para que são captados, por quanto tempo serão usados e como podem ser apagados.
É necessário também fazer um data mapping, para entender quais dados pessoais estão sendo tratados em determinado momento, quais as fontes dos dados, com quem são compartilhados, enfim, mapear toda a realidade destes dados.
Por isso, trata-se de uma temática multidisciplinar, que aborda segurança, tecnologia, jurídico e compliance. Definitivamente, se enquadrar a este novo regramento apenas por meio do jurídico é impossível.
É importante notar também que a LGPD é uma lei reputacional, o que significa que independentemente de um eventual temor das multas por seu descumprimento, o que estará em jogo perante o mercado - e que pode ser afetada na visão de clientes e parceiros - será a reputação da corporação quanto sua forma de tratar os dados pessoais.
Inclusive, os reflexos internos do tratamento dos dados vão desde os dados dos CEOs até os dos trabalhadores e colaboradores das camadas mais rasas da corporação, passando também pela definição dos níveis de acesso que cada colaborador terá aos dados externos tratados pela corporação.
Se pensarmos nos impactos da LGPD nas relações contratuais, deve-se atentar que, efetivamente, para o devido enquadramento jurídico à LGPD todos os contratos atuais precisarão serem revistos. Inclusive, mesmo as corporações que não atendam pessoa física devem se enquadrar a essa regulamentação da proteção de dados, porque elas possuem funcionários, que são pessoas físicas, portanto devem ter seus dados protegidos.
No contexto do recrutamento de pessoas, o jurídico e o setor de RH de uma corporação precisarão definir que tipo de informações são realmente necessárias de serem coletadas. Inclusive, neste ponto, levanta-se questionamentos: o que fazer com os currículos das pessoas que não foram contratadas? O que fazer com todos os dados coletados antes da vigência da lei?
Neste ponto, deve-se atentar para a amplitude das atividades consideradas abrangidas pela LGPD. O art. 5º, X, abarca “toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento,
eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração”.
Outro ponto relevante é o fluxo de responsabilidade solidária trazido pela LGPD, no art. 42, que tende a gerar um efeito cascata no mercado, no qual as corporações que tratarem os dados de forma correta terão a preferência para o fornecimento de bens e serviços.
Isso porque, nesse novo cenário de responsabilidade solidária a partir do compartilhamento dos dados, a exposição negativa, perante o mercado, pela violação de dados é a mesma tanto para a corporação que coletou e compartilhou os dados, quanto para a corporação que recebeu esses dados e não garantiu a segurança adequada deles.
Juridicamente, ambas são solidárias a partir do compartilhamento dos dados, sendo necessário, então, à corporação que queira se precaver, identificar detalhadamente todos os seus fornecedores que recebem dados, auditar os sistemas de segurança deles e exigir que tais sistemas internos se adaptem a requisitos mínimos de segurança. Não havendo a devida segurança destes dados, a tendência é mesmo o rompimento comercial e a procura de parceiros enquadrados a um compliance de dados.
E por falar em compartilhamento de dados, a medida provisória 869, de 27 de dezembro de 2018 criou, como autoridade reguladora, um órgão da administração pública direta, ligado à Presidência da República. Não se trata do modelo ideal, vez que o preferível seria a criação de uma autarquia, uma autoridade que tivesse autonomia e independência para fiscalizar, inclusive, o próprio poder público.
Isso porque, o poder público normalmente possui as bases de dados mais valiosas e atualizadas, já que o fornecimento e atualização de muitos deles são obrigatórios aos cidadãos. Porém, fica o questionamento acerca do nível e da qualidade de proteção dos dados pelo poder público, cujas obrigações nessa seara são menores do que as do setor privado e, ainda, sendo fiscalizado por um órgão vinculado à administração direta federal, portanto, sem independência e autonomia.
Neste contexto, inclusive, é fundamental que as empresas consigam firmar com o poder público cláusulas de confidencialidade, para proteger os dados não apenas dentro do contexto da LGPD, mas também da concorrência e de eventuais “haters”, como por exemplo, os dados extraídos pelas empresas de transporte de aplicativo, como endereço, conta bancária e veículo dos motoristas.
Outro ponto relevante na análise é sobre o consentimento para o uso/ tratamento dos dados.
A verdade é que o consentimento (livre, inequívoco, informado, específico - e acrescento ainda, em destaque) é apenas uma dentre as várias formas de se legitimar o tratamento de dados pessoais.
De todo modo, quanto ao consentimento, a LGPD traz transparência e cria a necessidade das informações serem passadas, desde o início, de forma mais clara, com menos termos técnicos, com fácil visualização e gestão (elementos que se enquadram no que se chama de Privacy by Design - e que carrega informações muito mais amplas que aqui não será tratado de forma minuciosa).
E experiência demonstra que praticamente ninguém lê todos os termos de uso e políticas de privacidade. O problema é que no momento em que o usuário concorda, ele está dando seu consentimento que é justamente uma das bases legais para o processamento de dados, segundo a LGPD.
No entanto, como já dito, além do consentimento há várias outras formas que legitimam o uso de dados pessoais, tratadas pela LGDP como “exceções”, que dão uma ampla gama de possibilidades interpretativas.
Assim, mesmo sem o consentimento do titular dos dados, eles poderão ser utilizados, segundo o art. 7º e o ar. 11, para o cumprimento de obrigação legal/regulatória pelo controlador; para a execução de políticas públicas; para pesquisas por órgãos de pesquisas; para o exercício regular de direito, inclusive em processo judicial, administrativo ou arbitral; para a proteção da vida; para a proteção da saúde; e para a proteção do crédito (em claro atendimento ao lobby do setor financeiro).
Outro ponto de atenção é o da entrada em vigor da LGPD. Com a edição da MP 869/18 esse prazo se estendeu para agosto de 2020 - sendo possível que se alargue ainda mais, pois há pressão empresarial nesse sentido.
Este tempo para adequação das corporações parece amplo, mas a experiência europeia de proteção de dados, pelo General Data Protection Regulation (GDPR), mostra que na verdade é menos do que o necessário.
Um exemplo deste argumento é a multa imposta ao Google pela autoridade francesa de proteção de dados, no valor de 50 milhões de euros, em janeiro de 2019. A data aqui é importante porque a GDPR entrou em vigor em maio de 2018, sendo que na Europa as corporações também tiveram o prazo de 24 meses da publicação da lei até a entrada em vigor, para se adequarem.
Ao que se vê, o prazo não foi suficiente, ainda mais se considerarmos que por lá há norma que regula a questão desde 1995 (a chamada “Diretiva Europeia de Proteção de Dados Pessoais”), enquanto que no Brasil o tema é ainda muito novo - apesar de alguns direitos anteriormente estabelecidos no Marco Civil da Internet (a lei 12.965/14) -.
No caso atual da multa aplicada ao Google, ela se motivou por falta de transparência quanto ao consentimento do uso de dados e pela falta de consentimento válido quanto à personalização de publicidade.
Especificamente no Brasil, nota-se que a grande maioria das corporações sequer possuem Termos de Uso e Política de Privacidade - e fala-se aqui, inclusive, de corporações gigantescas, com grande relevância -. Porém, pela força da nova lei, todas elas serão obrigadas a terem tais documentos - e se não tiverem podem ser punidas, inclusive com a aplicação de multas pesadas.
Por se falar em multa, a LGDP, estabelece no art. 52 a possibilidade de aplicação de penalidade de até 2% (dois) por cento do faturamento da empresa, podendo chegar até R$50.000.000,00 (cinquenta milhões de reais) por infração, multa essa não aplicável às pessoas jurídicas de Direito Público.
Quanto a este valor - que pode parecer assustador - uma simples análise econômica pode questionar a efetividade desta punição, haja vista que certamente haverá diversas situações nas quais “compensará” ser multado se comparado a alguns custos operacionais envolvidos e/ou a ganhos relacionados à negociação irregular de dados - sem contar que as multas administrativas poderão ser questionadas judicialmente, visando serem excluídas ou diminuídas.
Ocorre que, como já dito no início deste texto, a LGDP é uma lei reputacional, de modo que a multa, por incrível que pareça, pode não ser o maior prejuízo, ou o maior elemento desencorajador para as empresas.
Explico. A maior preocupação de um empresário é ter um negócio saudável, que funcione bem, que tenha clientes e dê lucro. A LGDP cria/reforça uma cultura das pessoas procurarem empresas que tratam melhor seus dados pessoais - e da mesma forma, outras corporações procurarão esse tipo de empresa.
No momento em que há um vazamento de dados, que pode expor os dados dos clientes e até mesmo expor sua própria empresa e empresas parceiras, o empresário corre o risco de perder seus clientes e seus melhores parceiros, o que pode ser um golpe fatal para o negócio.
Neste ponto, é importante mencionar que não há na LGPD diferenciação de tratamento e obrigações entre as grandes empresas e as médias e pequenas empresas quanto às adequações ao regramento de proteção de dados. Este apontamento é importante porque o enquadramento à LGPD é potencialmente custoso - por envolver necessidade de serviços conjuntos de segurança, tecnologia, jurídico e compliance - o que significará mais uma dificuldade significativa sobretudo aos pequenos negócios.
Temos no Brasil uma realidade na qual diversas empresas não possuem proteções jurídicas mínimas, como contratos personalizados e bem formulados com fornecedores e prestadores de serviço, enquadramentos às regras consumeristas, regimentos internos que reflitam uma cultura empresarial desejada, enquadramentos fiscais corretos ou ainda sem elementos básicos de governança e compliance. Nesse cenário fica o questionamento de como serão tratadas as determinações da LGPD para empresas que já ignoram determinações legais provenientes de normas anteriores, em outras temáticas jurídicas.
A conclusão que se chega ao analisar a LGDP além do óbvio é de que se trata de uma lei a ser construída no cotidiano das empresas e das pessoas, com uma multa aqui e outra ali para “servir de exemplo”, mas que com o tempo provavelmente ganhará força e relevância maior na qualidade reputacional das corporações.
O ideal é se adaptar desde já. O dia 28 de janeiro, Dia Internacional da Privacidade de Dados é um bom momento para se atentar ao óbvio e ao não óbvio desta temática.
__________
*Marcílio Guedes Drummond é sócio do Marcelo Tostes Advogados, responsável pela área de Direito das startups.