A Lei Geral de Proteção de Dados: Primeiras Impressões
Por Natália Brotto e Aleff Ribeiro
1. O CONTEXTO SÓCIO-POLÍTICO PARA APLICAÇÃO DA LEI
O mundo está se aproximando através da tecnologia. Informações que antes demandavam anos para ser transmitidas hoje são acessadas com um clique. Conceitos como Big Data, Data Driven Economy, Internet das Coisas e Armazenamento em Nuvem não são apenas familiares, mas diretamente ingerentes em nosso cotidiano.
A transmissão de informações não está só facilitada, mas infinitamente mais veloz e volumosa. Milhões de cliques, acessos, compras e cadastros são realizados diariamente, e isso gera uma série de questões nunca tão visadas e discutidas como hoje: para onde vão esses dados? Quem armazena as minhas informações pessoais, e o que podem fazer com elas? Quais riscos corro ao fornece-las a terceiros?
A discussão não vem do acaso, revelando-se absolutamente necessária diante da conduta omissa e displicente dos grandes provedores e empresas de comunicação, que não vinham tratando os dados de seus clientes com a devida atenção.
Como consequência, vazamentos em massa de dados têm acontecido com indesejada frequência, podendo-se elencar alguns como da Uber, em 2016[1], de aproximados 57 milhões de clientes; da Netshoes, em 2017[2], de 2 milhões de clientes; do Facebook, em 2018[3], de 87 milhões de contas; do Banco Inter, em 2018[4], de cerca de 19 mil correntistas; da C&A, em 2018[5], de cerca de 2 milhões de clientes; e o último, no começo de fevereiro/2019[6], de diversos sites, foi de mais de meio bilhão de pessoas e já é considerado o maior vazamento desde 2003.
Essas informações (endereços de e-mail, senhas, conversas privadas, data de nascimento, fotos publicadas, “curtidas”, comentários e preferências nas redes sociais), em posse de agentes mal intencionados, são ilegalmente comercializadas, podendo, por exemplo, cair em mãos de empresas de análise de dados e comunicação estratégica, que conseguem facilmente categorizar a população e lhes vender produtos (ou ideias) específicos de acordo com seus gostos e opiniões[7].
Em meio a esse caótico cenário cibernético é que as lideranças mundiais têm buscado meios reguladores para assegurar a proteção dos dados pessoais. Neste sentido, a União Europeia, em 2016, aprovou o Regulamento Geral sobre a Proteção de Dados (GDPR), tratando sobre a proteção, privacidade e exportação de dados pessoais para fora da EU, objetivando ainda conferir aos cidadãos maneiras de controlar seus dados pessoais e unificar o quadro regulamentar europeu.
Esse ato regulador tem servido de modelo para a implementação de normas em outros países, como o California Consumer Privacy Act of 2018 (CCPA), aprovado em 28 de julho de 2018 no Estado Norte-Americano da Califórnia, cuja eficácia terá início em janeiro de 2020.
O Brasil não fez diferente, sancionando a Lei n.º 13.709 em 14 de agosto de 2018, denominada Lei Geral de Proteção de Dados (LGPD), a qual entrará em vigor 18 meses após sua publicação, em 15 de fevereiro de 2020, e muitos ainda desconhecem a (grande) amplitude de seus efeitos, cabendo aqui pontuais considerações nesse sentido.
2. A ABRANGÊNCIA E DISPOSIÇÕES DA LGPD
Até então, a legislação brasileira tem sido vaga quando a matéria é privacidade e dados pessoais, considerando-se o crítico contexto acima exposto, razão pela qual a LGPD vem com normas específicas, detalhadas e rigorosas, buscando assegurar o direito à privacidade e proteção dos dados pessoais dos cidadãos, colocando o Brasil no rol dos países empenhados nesta tarefa.
O primeiro passo é identificar os destinatários da lei, aqueles que deverão se adequar às novas normas, restando disposto no artigo primeiro que tanto a pessoa natural quanto a jurídica, de direito público ou privado, estão sob a sua égide.
Além do Titular, aquele detentor dos dados, a lei elenca, ainda, os Agentes de Tratamento de dados pessoais, subdividindo-os nas pessoas do Controlador (pessoa natural ou jurídica que toma as decisões referentes ao tratamento de dados) e do Operador (quem realizará o tratamento dos dados em favor do primeiro).
Existe um terceiro, o Encarregado – ou DPO, Data Protection Officer – que será pessoa indicada pelo controlador para atuar como canal de comunicação entre este, os titulares dos dados e a Autoridade Nacional de Proteção de Dados, a qual, além de fiscalizar toda essa transação de informações, será inicialmente responsável pela adequação da empresa às normas descritas na LGPD.
Vale destaque, ademais, às Empresas estrangeiras, que deverão seguir a legislação se realizarem a coletas de dados em território brasileiro, mesmo que deles tratem em outro país, e poderão transferi-los para sede ou filial estrangeiras apenas se no país de destino houver legislação que confira proteção semelhante aos dados.
O segundo passo é a definição de “dado pessoal”, restringindo-se e já delimitando-se os parâmetros interpretativos. Pois bem, segundo o art. 5º, I, da Lei, define-se por “informação relacionada a pessoa natural identificada ou identificável”, citando-se, por exemplo, o nome, apelido, fotos, endereço residencial, de e-mail e de IP.
Quanto à coleta de dados, a palavra-chave é consentimento. O usuário deve saber exatamente quais informações serão fornecidas e para qual intuito, autorizando expressamente (por escrito ou outro meio que demonstre sua manifestação de vontade) os agentes de tratamento a coleta-las. Qualquer mudança de finalidade ou repasse dos dados a terceiros exigirão novo consentimento, que poderá sempre ser revogado pelo titular.
Destaca-se, ainda, que o consentimento, tal como caracterizado na LGPD é bastante diferente daqueles que via de regra nos é apresentado, com concordâncias gerais e inespecíficas, que raramente os titulares efetivamente tomam conhecimento. Aqui o consentimento é específico e informado, e determina, diante dessa caracterização uma mudança de paradigma absolutamente radical para as empresas no âmbito de proteção da LGPD.
Além disso, a lei elenca ainda uma subcategoria de dados, os sensíveis, cujo uso será menos acessível e a proteção mais ferrenha, sendo proibida qualquer destinação para fins discriminatórios. Compreendem, então, todo “dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural[8].”
Estão excetuados da cobertura da lei os tratamentos de dados realizados por pessoa natural para fins exclusivamente particulares e não econômicos, jornalísticos, artísticos, acadêmicos, de segurança pública, defesa nacional, segurança do Estado, de atividades de investigação e repressão de ações penais, ou provenientes de fora do território nacional e que não sejam objeto de comunicação com agentes de tratamento brasileiros.
Por fim, em caso de vazamento de informações, como aqueles elencados no tópico anterior, além de divulgação do incidente pela empresa responsável, a Lei prevê aplicações desde de advertências a multa equivalente a 2% de seu faturamento por infração, com teto de R$ 50 milhões, sem contar as sanções administrativas, civis ou penais cabíveis.
3. CONCLUSÃO
Em 1990, as empresas viram o seu modus operandi radicalmente alterado com a edição do Código de Defesa do Consumidor. À época, a legislação procurava diminuir a assimetria informacional e de poder existente entre as empresas/fornecedores e os consumidores, normatizando um mercado então orientado pela manufatura.
A Lei Geral de Proteção de Dados, da mesma maneira que fez o Código de Defesa do Consumidor em 1990, vem demonstrar a mudança de paradigma em relação à orientação do mercado.
O ativo mais valioso passou a ser informação e, como tal, surge a necessidade de regular e limitar a atividade empresarial para que referido ativo não seja utilizado em detrimento dos direitos individuais e constitucionalmente garantidos.
A regulação normativa que se inicia, portanto, é de grande amplitude e, certamente, alterará o modo como o empresariado, de uma maneira geral, conduzirá seus negócios.
_________________________________________________________________________________________________________________________________________
[1] https://www.istoedinheiro.com.br/uber-pagara-us-148-milhoes-por-vazamento-de-dados/, acesso em 26/02, 18h35
[2] https://veja.abril.com.br/economia/netshoes-relata-vazamento-de-dados-de-clientes-aos-eua/, aceso em 26/02, 18h36
[3] https://exame.abril.com.br/tecnologia/o-escandalo-de-vazamento-de-dados-do-facebook-e-muito-pior-do-que-parecia/, acesso em 26/02, 18h39
[4] https://www.valor.com.br/financas/5744523/banco-inter-admite-vazamento-de-dados-de-clientes, acesso em 26/02, 18h40
[5] https://www1.folha.uol.com.br/tec/2018/09/ministerio-publico-vai-apurar-vazamento-de-dados-de-clientes-da-ca.shtml, acesso em 26/02, 18h41
[6] https://olhardigital.com.br/noticia/roubo-de-dados-descoberto-na-dark-web-prejudicou-mais-de-meio-bilhao-de-pessoas-confira-os-sites-afetados/82771, acesso em 26/02, 18h41
[7] Como exemplo, o caso do vazamento de dados dos usuários do facebook para a empresa de consultoria política Cambridge Analytica e sua grande contribuição para a eleição de Donald Trump nos EUA: https://oglobo.globo.com/mundo/facebook-cambridge-analytica-trabalharam-para-trump-apos-vazamento-de-dados-1-22510991
[8] Art. 5º, II, LGPD.